Jak usunąć Cryptolocker (wirus szyfrujący pliki)

ZT_miniaturaO wirusie/malware Cryptolocker zrobiło się głośno kilka miesięcy temu i mimo, iż większość programów antywirusowych dzisiaj potrafi nas przed nim obronić, to możecie się natknąć na jego nowsze modyfikację, których Wasz antywirus jeszcze nie wykrywa.

Moja styczność z tym złośliwym programem miała miejsce na niezabezpieczonej antywirusem maszynie prywatnej – można by śmiało rzec, że infekcja była spodziewana, właściciel komputera to gapa 🙂 FACEPALM

Cryptolocker to przykład złośliwego oprogramowania z grupy „RansomWare”, czyli takich, które żądają okupu za odblokowanie lub oddanie czegoś (pamiętacie jeszcze Weelsof, wirus który blokuje komputery?). Cryptolocker jest jest jeszcze wredniejszy – szyfruje pliki i żąda okupu za podanie klucza de-szyfrującego (oryginalnie było to symboliczne 100$).

Jak działa Cryptolocker?

Istnieje wiele dróg rozprzestrzeniania się tego ustrojstwa (załączniki w mailach, dyski przenośne). Wirus ten stosuje szyfrowanie RSA z użyciem klucza prywatnego (patrz ang. Wiki) –  do odszyfrowania pliku służy klucz, który wygenerował serwer przestępców. Klucz ten rzekomo dostaniemy po zapłaceniu okupu. To nie wszystko: od momentu zaszyfrowania pliku uruchamia się zegar, który informuje nas, iż klucz ten zostanie skasowany bezpowrotnie po 72 godzinach.

cryptolocker

Próba edycji zaszyfrowanego pliku niestety się nie uda..

encrypted_file_edit

Jak odzyskać zaszyfrowane pliki nie płacąc bandytom okupu?

Nie mam dla Was dobrych wiadomości. Odszyfrowanie plików w warunkach domowych jest niemożliwe. Ratunkiem jest oczywiście odzyskanie z backupu. Mam nadzieję, że należycie do grupy wykonującej backupy, a nie tej drugiej, która dopiero zacznie 🙂

Istnieje czysto hipotetyczna możliwość odzyskania pliku zaraz po zainfekowaniu. Wirus najpierw wykonuje kopię pliku, następnie szyfruje ją, potem kasuje oryginał. W teorii, jeśli plik nie został nadpisany, może uda się go odzyskać np. opisywanym kiedyś programem Recuva. jeśli Wam się udało – koniecznie napiszcie to w komentarzu.

Jak usunąć Cryptolocker??

Musicie przeskanować swój system programem typu AntiMalware ze stajni Malwarebytes. Na forum tego narzędzia istnieje wiele potwierdzeń, iż faktycznie odnalazł i usunął infekcję. Polecaliśmy go do walki z wirusem Weelsof i CouponDropdown – sprawdzi się i tym razem 🙂 Polecam, wykonać długie, pełne skanowanie.

A Wy, macie jakieś doświadczenia z Cryptolockerem lub jego modyfikacjami?

Łukasz Skalikow

Obecnie Manager IT. Przez lata byłem Inżynierem systemów. Jestem entuzjastą i specem od vSphere, Windows serwer, GPO. Od zawsze byłem zwolennikiem wiersza poleceń i automatyzacji. Obecnie, ze względu na pracę, rodzinę i wyjazdy służbowe, dużo mniej udzielam się na blogu, ale mam nadzieję, że pośród kilkuset porad opublikowanych na spece.it, wiele osób znajdzie dla siebie coś przydatnego :)

Przeczytaj także...

13 komentarzy

  1. Rafał pisze:

    Warto zapoznać się z tutkiem odnośnie zabezpieczenia komputerów w sieci z domeną lub bez :

    http://community.spiceworks.com/topic/396103-cryptolocker-prevention-kit-updated

    • małgosia pisze:

      zniechęcona i przygnębiona utratą plików a w szczególności zdjęć po różnych próbach reanimacji „cudownymi programami” całkiem przypadkiem zaczęłam bawic się jednym z plików. Jeśli po właściwej nazwie pliku został dodany wyraz „encrypted” (jak w moim przypadku), to wystarczy go usunąć- zmienić nazwę-zapisać to rozszerzenie i ponownie przywrócić poprzednia wersję pliku. Gotowe. jest jeden minus: każdy plik z osobna poprawiam recznie. Nic to. Ważne, że wspomnienia w postaci zdj.zostały odzyskane.

    • Iwona pisze:

      mogłabyś dokładniej opisać jak to zrobić

    • Iwona pisze:

      u mnie to nie działą, brak poprzednich wersji

  2. Anonim pisze:

    Niestety u mnie…format

  3. mrwochu pisze:

    Potwierdzam że Malwarebytes usuwa wirusa.

  4. banan pisze:

    koledzy jak kiedyś sie trafi i będziecie chcieli odzyskać pliki które sa już zaszyfrowane wystarczy program do odzyskiwania skanowanych plików mi pomogło odzyskałem wszystkie zdjęcia

    • Eryk pisze:

      Mógłbyś powiedzieć coś więcej na ten temat? Jaki to dokładnie program, i czy na pewno zadziała.. Straciłem wszystkie pamiątkowe zdjęcia..

    • Eryk, spróbuj tego: https://www.decryptcryptolocker.com/. Podsyłasz im jeden zaszyfrowany plik i podajesz adres mailowy, a oni odsyłają Ci link do programu odszyfrowującego pliki wraz z kluczem. Nie korzytałem z tego, więc nie wiem, czy działa, czy to ściema. Daj cynk czy się udało 😉

  5. SOSPC pisze:

    Po infekcji warto sprawdzić dla win 7 i wyżej warto sprawdzić „poprzednie wersje” dla dysku.
    No i włączyć ta opcje.

  6. Damian pisze:

    Kurcze moze juz ktos rozwiazal ten problem?

  7. Pablo pisze:

    Wszystko ok jeśli masz doczynienia z tym zagrożeniem zaraz po infekcji można próbować odzyskać recuvią itp problem jest natomiast jeśli masz same pliki a dane na źródle zostały wielokrotnie nadpisane co uniemożliwia ich odzyskanie. Czy zna ktoś możliwość odkodowania plików? może jakieś pomysły?

  8. Marek Markowski pisze:

    W ostatnim czasie tego typu wirusy to istna plaga. Grunt to świadomość użytkowników. Jeżeli nie będziemy informować ludzi o istniejącym niebezpieczeństwie to daje będą występować tego typu sytuacje:
    „A wie pan, Hela z sekretariatu przesłała mi link to uruchomiłam. A teraz nie działa mi program do księgowości.”
    Ostatnio trafiłem na firmę, która miała taką sytuację u siebie. Rozstali się z informatykiem, ale co im po tym, gdy stracili dane z siedmiu lat działalności. Gdyby ktoś miał chęć się zapoznać z historią to zapraszam do siebie. Blog Askomputer 😉

Dodaj komentarz