Jak usunąć Cryptolocker (wirus szyfrujący pliki)
O wirusie/malware Cryptolocker zrobiło się głośno kilka miesięcy temu i mimo, iż większość programów antywirusowych dzisiaj potrafi nas przed nim obronić, to możecie się natknąć na jego nowsze modyfikację, których Wasz antywirus jeszcze nie wykrywa.
Moja styczność z tym złośliwym programem miała miejsce na niezabezpieczonej antywirusem maszynie prywatnej – można by śmiało rzec, że infekcja była spodziewana, właściciel komputera to gapa 🙂 
Cryptolocker to przykład złośliwego oprogramowania z grupy „RansomWare”, czyli takich, które żądają okupu za odblokowanie lub oddanie czegoś (pamiętacie jeszcze Weelsof, wirus który blokuje komputery?). Cryptolocker jest jest jeszcze wredniejszy – szyfruje pliki i żąda okupu za podanie klucza de-szyfrującego (oryginalnie było to symboliczne 100$).
Jak działa Cryptolocker?
Istnieje wiele dróg rozprzestrzeniania się tego ustrojstwa (załączniki w mailach, dyski przenośne). Wirus ten stosuje szyfrowanie RSA z użyciem klucza prywatnego (patrz ang. Wiki) – do odszyfrowania pliku służy klucz, który wygenerował serwer przestępców. Klucz ten rzekomo dostaniemy po zapłaceniu okupu. To nie wszystko: od momentu zaszyfrowania pliku uruchamia się zegar, który informuje nas, iż klucz ten zostanie skasowany bezpowrotnie po 72 godzinach.
Próba edycji zaszyfrowanego pliku niestety się nie uda..
Jak odzyskać zaszyfrowane pliki nie płacąc bandytom okupu?
Nie mam dla Was dobrych wiadomości. Odszyfrowanie plików w warunkach domowych jest niemożliwe. Ratunkiem jest oczywiście odzyskanie z backupu. Mam nadzieję, że należycie do grupy wykonującej backupy, a nie tej drugiej, która dopiero zacznie 🙂
Istnieje czysto hipotetyczna możliwość odzyskania pliku zaraz po zainfekowaniu. Wirus najpierw wykonuje kopię pliku, następnie szyfruje ją, potem kasuje oryginał. W teorii, jeśli plik nie został nadpisany, może uda się go odzyskać np. opisywanym kiedyś programem Recuva. jeśli Wam się udało – koniecznie napiszcie to w komentarzu.
Jak usunąć Cryptolocker??
Musicie przeskanować swój system programem typu AntiMalware ze stajni Malwarebytes. Na forum tego narzędzia istnieje wiele potwierdzeń, iż faktycznie odnalazł i usunął infekcję. Polecaliśmy go do walki z wirusem Weelsof i CouponDropdown – sprawdzi się i tym razem 🙂 Polecam, wykonać długie, pełne skanowanie.
A Wy, macie jakieś doświadczenia z Cryptolockerem lub jego modyfikacjami?
Warto zapoznać się z tutkiem odnośnie zabezpieczenia komputerów w sieci z domeną lub bez :
http://community.spiceworks.com/topic/396103-cryptolocker-prevention-kit-updated
zniechęcona i przygnębiona utratą plików a w szczególności zdjęć po różnych próbach reanimacji „cudownymi programami” całkiem przypadkiem zaczęłam bawic się jednym z plików. Jeśli po właściwej nazwie pliku został dodany wyraz „encrypted” (jak w moim przypadku), to wystarczy go usunąć- zmienić nazwę-zapisać to rozszerzenie i ponownie przywrócić poprzednia wersję pliku. Gotowe. jest jeden minus: każdy plik z osobna poprawiam recznie. Nic to. Ważne, że wspomnienia w postaci zdj.zostały odzyskane.
mogłabyś dokładniej opisać jak to zrobić
u mnie to nie działą, brak poprzednich wersji
Niestety u mnie…format
Potwierdzam że Malwarebytes usuwa wirusa.
koledzy jak kiedyś sie trafi i będziecie chcieli odzyskać pliki które sa już zaszyfrowane wystarczy program do odzyskiwania skanowanych plików mi pomogło odzyskałem wszystkie zdjęcia
Mógłbyś powiedzieć coś więcej na ten temat? Jaki to dokładnie program, i czy na pewno zadziała.. Straciłem wszystkie pamiątkowe zdjęcia..
Eryk, spróbuj tego: https://www.decryptcryptolocker.com/. Podsyłasz im jeden zaszyfrowany plik i podajesz adres mailowy, a oni odsyłają Ci link do programu odszyfrowującego pliki wraz z kluczem. Nie korzytałem z tego, więc nie wiem, czy działa, czy to ściema. Daj cynk czy się udało 😉
Po infekcji warto sprawdzić dla win 7 i wyżej warto sprawdzić „poprzednie wersje” dla dysku.
No i włączyć ta opcje.
Kurcze moze juz ktos rozwiazal ten problem?
Wszystko ok jeśli masz doczynienia z tym zagrożeniem zaraz po infekcji można próbować odzyskać recuvią itp problem jest natomiast jeśli masz same pliki a dane na źródle zostały wielokrotnie nadpisane co uniemożliwia ich odzyskanie. Czy zna ktoś możliwość odkodowania plików? może jakieś pomysły?
W ostatnim czasie tego typu wirusy to istna plaga. Grunt to świadomość użytkowników. Jeżeli nie będziemy informować ludzi o istniejącym niebezpieczeństwie to daje będą występować tego typu sytuacje:
„A wie pan, Hela z sekretariatu przesłała mi link to uruchomiłam. A teraz nie działa mi program do księgowości.”
Ostatnio trafiłem na firmę, która miała taką sytuację u siebie. Rozstali się z informatykiem, ale co im po tym, gdy stracili dane z siedmiu lat działalności. Gdyby ktoś miał chęć się zapoznać z historią to zapraszam do siebie. Blog Askomputer 😉