CryptXXX Ransomware - Hur Tar Man Bort?

 

CryptXXX ransomware är ansluten till ”Reveton Screen Locking” ransomware familjen. Denna filkrypterare agerar som ett spionprogram bortsett från den vanliga krypteringsegenskapen som är typisk för ransomwares. Det kommer göra ett försök att stjäla dina Bitcoins om du försöker att utföra betalningen. Detta ransomware samlar in information som relaterar till din FTP klient, Instant Messenger klient, E-poster och sökmotorer. Det finns för nuvarande tre versioner av CryptXXX ransomware som har släppts. Version 1.0 släpptes i mitten av April 2016, Version 2.0 under 6’e Maj 2016 och Version 3.0 under 23’e Maj 2016.

Om CryptXXX ransomware

Detta ransomware använder sig av den asymmetriska krypteringsalgoritmen RSA-4096. Under krypteringen genereras två krypteringsnycklar: En offentlig krypteringsnyckel och en privat dekrypteringsnyckel. Den privata dekrypteringsnyckeln lagras på kontrollservrar (Command & Control) som kaparna ansvarar för. CryptXXX ransomware lägger till .crypt som filändelse till alla krypterade filnamn. Nya versioner av denna parasit använder .crypz eller .cryp1 som filändelser med. Tre filer skapas: de_crypt_readme.txt placeras i varje mapp av de krypterade filerna, de_crypt_readme.bmp byter ut din skrivbordsbakgrund och de_crypt_readme.html startas varje gång du öppnar en sökmotor. Dessa filer innehåller ett meddelande med lösensumman som begärs. Lösensumman är för tillfället 1.2 BTC vilket motsvarar 641.92 USD. Men kompensationen för en återställning av data kan vara dubbel, alltså 2.4 BTC som motsvarar 1283.81 USD om inte instruktionerna följs och en överföring utförts inom den angivna tiden. Om instruktionerna nonchaleras helt så kommer du hotas med att dekrypteringsnyckeln kommer förstöras permanent. De kriminella inom internetvärlden erbjuder dekrypteringsnyckeln för en av de krypterade filerna gratis för att bevisa att de har en fungerande dekrypteringsnyckel. Detta kan göras genom att följa länken till .onion sidan via nätverket TOR. Meddelandet med lösensumman lyder som följande:

NOT YOUR LANGUAGE? USE //translate.google.com

What happened to your files?

All of your files were protected by a strong encryption with RSA4096

More information about the encryption keys using RSA4096 can be found here: http://en.wikipedia.org/wiki/RSA_(cryptosystem)

How did this happen?

!!! Specially for your PC was generated personal RSA4096 Key , both public and private.

!!! ALL YOUR FILES were encrypted with the public key, which has been transferred to your computer via the Internet.

Decrypting of your files is only possible with the help of the private key and decrypt program , which is on our Secret Server

What do I do ?

So , there are two ways you can choose: wait for a miracle and get your price doubled, or start obtaining BITCOIN NOW! , and restore your data easy way

If You have really valuable data, you better not waste your time, because there is no other way to get your files, except make a payment

Your personal ID: xxxxxxxxxxxxxxxx

For more specific instructions, please visit your personal home page, there are a few different addresses pointing to your page below:

1 – http://2zqnpdpslpnsqzbw.onion.to

2 – http://2zqnpdpslpnsqzbw.onion.cab

3 – http://2zqnpdpslpnsqzbw.onion.city

If for some reasons the addresses are not available, follow these steps:

1 – Download and install tor-browser: http://www.torproject.org/projects/torbrowser.html.en

2 – After a successful installation, run the browser

3 – Type in the address bar – http://2zqnpdpslpnsqzbw.onion

4 – Follow the instructions on the site

Be sure to copy your personal ID and the instruction link to your notepad not to lose them.

 

 

Hur sprids CryptXXX ransomware?

Skräppostmeddelanden och deras skadliga bifogade innehåll är brottslingen som sprider CryptXXX ransomware. Ransomware trojanen sprids även via Angler Exploit Kit. Av den anledningen är det starkt rekommenderat att inte öppna meddelanden som hamnar i skäppostlådan (oavsett hur legitima de än verkar att vara) och installera samt uppdatera ett pålitligt säkerhetsprogram på din dator.

Hur dekrypterar man filer som krypterats av CryptXXXransomware?

Det finns ett Kaspersky RannohDecryptor verktyg tillgängligt för gratis hjälp på support.kaspersky.com under sektionen virusbekämpande verktyg (virus-fighting utilities). Du kommer behöva finna det största paret av två filer: en krypterad fil och en okrypterad fil. Paret kommer låta dekrypteraren besluta dekrypteringsnyckeln för att skadad data. Endast de mindre filerna kommer att kunna återställas med nyckeln. Det är av den anledningen som det största paret måste köras först. Använd dig av ett knep som föreslås av säkerhetsexperten Gabber – Ta vara på möjligheten av en gratis dekrypteringsnyckel som erbjuds av uvecklarna av CryptXXX ransomware för att dekryptera den största filen. På så sätt kommer du få den största krypterade filen och den största dekrypterade filen. Om det av någon anledning inte fungerar (du vet om att man inte kan lita på kapare), använd dig då av förslagsbilderna i mappen på C: hårddisken. Deras okrypterade versioner kan laddas ned från en annan dator. Slutligen, för att starta den faktiska dekrypteringen behöver du ladda ned Kaspersky RannohDecryptor.exe. Dubbel-klicka på den. Klicka sedan på Start knappen. Lägg till den krypterade filen och de okrypterade filerna, Programmet kommer att börja fastställa dekrypteringsnyckeln. Efter att den hittats så kommer dina filer att dekrypteras.

Det finns även ett Kaspersky dekrypteringsprogram tillgängligt för CryptXXX 2.0 versionen. Dock fungerar inte Kaspersky RannohDecryptor på den senaste 3.0 versionen för tillfället (den som använder .cryp1 filändelsen). För tillfället rekommenderas du att använda dig av systemåterställning om du har någon. Om inte så kan du försöka att återställa via Shadow Volume kopior. Om det inte fungerar, kör då ett filåterställningsprogram som t.ex. PhotoRec eller R-Studio. Ha dock i åtanke att filåterställningsprogram måste köras efter att viruset tagits bort. Använd dig av ett professionellt verktyg som t.ex. Reimage eller SpyHunter för att ta tag i borttagningen av detta otäcka virus samt andra medföljande hot. Om dekypteraren används, skapa då en kopia eller bild på din hårddisk innan borttagningen av detta ransomware. Manuell borttagning är också ett alternativ, dessa instruktioner finner du nedan.



Automatisk CryptXXX ransomware verktyg för borttagning

 
 
Notera: Reimage försök ger detektion av parasiten som CryptXXX Ransomware och hjälper till dess avlägsnande gratis. Du kan ta bort upptäckta filer, processer och poster registret själv eller köpa en full version.  We might be affiliated with some of these programs. Full information is available in disclosure

Hur du tar bort CryptXXX ransomware genom systemåterställning:

Starta om din dator i Felsäkert Läge med Kommandotolken


För Windows 7/ Vista/ XP
  • Start -> Stäng av -> Starta om -> OK.
  • Tryck på F8 upprepade gånger tills uppstartsalternativen visas.
  • Välj Felsäkert Läge med Kommandotolken. Windows 7 enter safe mode

För Windows 8/ 10
  • Tryck på Av/ På ikonen vid Windows inloggningssida. Tryck och håll sedan ned Shift knappen medans du klickar på Starta om. Windows 8-10 restart to safe mode
  • Välj Felsök -> Avancerade alternativ -> Startinställningar -> Starta om.
  • När det laddas upp, välj Aktivera Felsäkert Läge med Kommandotolken från listan med uppstartsalternativen.Windows 8-10 enter safe mode

Återställ systemfiler och inställningar.
  • När Kommandotolken laddar, skriv in CD Restore och tryck Enter.
  • Skriv sedan in Rstrui.exe och tryck Enter igen. CMD commands
  • Klicka på "nästa" i fönstret som visas. Restore point img1
  • Välj en av Återställningarna som finns tillgängliga innan CryptXXX virus infiltrerade datorn och klicka sedan på "nästa". Restore point img2
  • För att starta systemåtersällning, klicka "Ja". Restore point img3

2. Total borttagning av CryptXXX ransomware

Efter återställningen av din dator så rekommenderas det att genomsöka datorn med ett anti-skadeprogram som t.ex. Reimage, Spyhunter och ta bort alla skadliga filer som relaterar till CryptXXX virus.


3. Återställ CryptXXX ransomware påverkade filer med hjälp av Shadow Volume kopior

Om du inte använder dig av Systemåterställning med ditt operativsystem så finns det en chans att använda sig av så kallade Shadow Copy Snapshots. De lagrar kopior av dina filer till den tid då dessa skapades. Oftast försöker CryptXXX virus radera alla möjliga Shadow Volume kopior, så den här metoden fungerar inte på alla datorer. Dock kan skadan misslyckas.

Shadow Volume kopior finns endast tillgängliga på Windows XP Service Pack 2, Windows Vista, Windows 7 och Windows 8. Det finns två sätt att återfå dina filer via Shadow Volume kopior på. Du kan använda Windows egna tidigare versioner, eller Shadow Explorer.

a) Windows egna tidigare versioner

Högerklicka på en krypterad fil och välj Egenskaper ->Tidigare versioner. Nu ser du alla möjliga kopior av den specifika filen och tiden då den lagrades i en Shadow Volume kopia. Välj en version av filen du vill återfå och klicka på Kopiera om du vill spara den till en egen vald plats, eller så återställer du ifall du vill byta ut den nuvarande krypterade filen. Om du vill se innehållet av filen klickar du bara på "öppna".
Previous version

b) Shadow Explorer

Det är ett program som kan hittas på Internet gratis. Du kan ladda ned antingen en full eller en portabel version av Shadow Explorer. Öppna programmet. Vid vänsta hörnet högst upp väljer du enhet som filen du letar efter är lagrad. Du kommer att kunna se alla mappar på den enheten. För att återfå en hel mapp så högerklickar du på den och väljer "exportera". Välj sedan vart du vill ha den lagrad. Shadow explorer

OBS: I många fall så är det omöjligt att återställa datafiler som har påverkats av ett modernt Ransomware. Av den anledningen rekommenderar vi ett vettigt Moln-program för att ha en backup ifall att. Vi rekommenderar att du tar en titt på Carbonite, BackBlaze, CrashPlan eller Mozy Home.

       
 

Om författaren

 
augusti 18, 2016 09:49, augusti 18, 2016 09:49
 
   
 

Kommentera

E-postadressen publiceras inte. Obligatoriska fält är märkta *