CryptoWall Virus
Geschreven door Tomas Meskauskas op (bijgewerkt)
CryptoWall virus verwijderingsinstructies
Wat is CryptoWall?
CryptoWall is een ransomware virus dat het besturingssysteem van gebruiker infiltreert via besmette e-mailberichten en valse downloads, bijvoorbeeld frauduleuze videospelers of valse flash updates. Na succesvolle infiltratie versleutelt dit kwaadaardige programma bestanden die opgeslagen zijn op de computer van de gebruiker (*.doc, *.docx, *.xls, *.ppt, *.psd, *.pdf, *.eps, *.ai, *.cdr, *.jpg, enz.) en het vraagt om een losgeld te betalen van $500 (in Bitcoins) om deze bestanden te ontsleutelen. De cybercriminelen die verantwoordelijk zijn voor het ontwikkelen van dit frauduleuze programma hebben ervoor gezorgd dat het werkt op alle versies van Windows (Windows XP, Windows Vista, Windows 7 en Windows 8). De CryptoWall ransomware creëert de bestanden DECRYPT_INSTRUCTION.txt, DECRYPT_INSTRUCTION.html en DECRYPT_INSTRUCTION.url in elke map die versleutelde bestanden bevat.
Deze bestanden bevatten instructies over hoe gebruikers hun bestanden kunnen ontsleutelen. Die instructies omvatten het gebruik van de Tor browser (een anonieme web browser). Cybercriminelen gebruiken Tor om hun identiteit verborgen te houden. PC gebruikers zouden moeten weten dat alhoewel het niet moeilijk is de besmetting zelf te verwijderen, het ontsleutelen van de bestanden (die versleuteld werden met de RSA 2048 versleuteling) die getroffen werden door dit kwaadaardige programma onmogelijk is zonder het betalen van het losgeld. Op het moment van onderzoek waren er geen programma's of hulpmiddelen beschikbaar om de bestanden die versleuteld werden door CryptoWall te ontsleutelen. Merk op dat de private sleutel die kan gebruikt worden om de bestanden te ontsleutelen opgeslagen staat op de CryptoWall command-and-control servers die beheerd worden door cybercriminelen. De ideale oplossing zou zijn het ransomware virus te verwijderen en vervolgens je data te herstellen vanaf een backup.
Schermafbeelding van een bericht dat getoond wordt in DECRYPT_INSTRUCTION.txt, DECRYPT_INSTRUCTION.html en de DECRYPT_INSTRUCTION.url bestanden:
Ransomware besmettingen zoals CryptoWall (bijvoorbeeld CryptoDefense, CryptorBit en Cryptolocker) zouden een goede reden moeten zijn om steeds een backup te maken van je opgeslagen data. Merk op dat het betalen van het losgeld dat door deze ransomware gevraagd wordt gelijk staat aan het sturen van geld naar cybercriminelen. Op die manier zou je hun kwaadaardige zakenmodel steunen en er zijn bovendien geen garanties dat de bestanden ooit ontsleuteld zullen worden. Om te vermijden dat je computer besmet raakt met zulke ransomware besmettingen zouden gebruikers erg voorzichtig moeten zijn met het openen van e-mailberichten. Cybercriminelen gebruiken aanlokkelijke onderwerpregels om PC gebruikers te verleiden de besmette bijlages van deze e-mails te openen, zoals bijvoorbeeld "UPS Uitzondering Notificatie". Recent onderzoek toont ook aan dat cybercriminelen P2P-netwerken en valse downloads gebruiken die gebundeld worden met ransomware om zo CryptoWall te verspreiden
Boodschap die getoond wordt in de DECRYPT_INSTRUCTION.txt, DECRYPT_INSTRUCTION.html en DECRYPT_INSTRUCTION.url bestanden:
Wat is er met je bestanden gebeurd?
Al je bestanden werden beschermd met een sterke versleuteling met RSA-2048 via CryptoWall. Meer informatie over de encryptie-sleutels die RSA-2048 gebruiken kan je hier vinden: en.wikipedia.org/wiki/RSA_(crypto system)
Wat betekent dit?
Dit betekent dat de structuur en data in deze bestanden onherroepelijk gewijzigd werden. Je zal er niet meer mee kunnen werken, ze kunnen lezen of zien. Het is hetzelfde als ze voor altijd kwijt zijn maar met onze hulp kan je ze herstellen.
Hoe kon dit gebeuren?
Speciaal voor jou genereerde onze server een geheim sleutelpaar RSA-2048 - publiek en privaat. Al je bestanden werden versleuteld met de publieke sleutel die verzonden werd naar je computer via het internet. Het ontsleutelen van je bestanden is enkel mogelijk met de hulp van de private sleutel en het ontsleutelingsprogramma dat zich op onze geheime server bevindt.
Wat moet ik doen?
Helaas, als je niet de nodige stappen zet binnen de opgegeven tijd dan zullen de voorwaarden voor het bekomen van de private sleutel gewijzigd worden. Als je waarde hecht aan je data dan suggereren we je tijd niet te verliezen met het zoeken naar oplossingen want deze bestaan niet. Voor meer specifieke instructies bezoek je je persoonlijke pagina die je kan bereiken via de onderstaande adressen:
1. hxxps://kpai7ycr7jxqkilp.torexplorer.com/3koe
2. hxxps://kpai7ycr7jxqkilp.tor2web.org/3koe
3. hxxps://kpai7ycr7jxqkilp.onion.to/3koe
Als deze adressen niet bereikbaar zijn volg dan deze stappen:
1. Download en installeer de tor-browser: hxxp://www.torproject.org/projects/torbrowser.html.en
2. Na succesvolle installatie open je de browser en wacht je tot deze is opgestart.
3. Typ in de adresbalk: kpai7ycr7jxqkilp.onion/3koe
4. Volg de instructies op de site.
Schermafbeelding van een besmet e-mailbericht dat gebruikt wordt om CryptoWall te verspreiden:
Tekst die getoond wordt in de besmette e-mailberichten:
Van: UPS Quantum View [auto-notify (at) ups.com]
Onderwerp: UPS Uitzondering Notificatie, Tracking Nummer 1Z522A9A6892487822Ontdek meer over UPS: Bezoek ups.com
Op verzoek van de verzender laten we je weten dat de aflevering van het volgende pakket opnieuw werd ingepland.Belangrijke afleveringsinformatie
Tracking Nummer: 1Z522A9A6892487822
Nieuwe afleverdatum: 14-April-2014
Reden van de uitzondering: De klant was niet aanwezig op de eerste poging tot afleveren. Een tweede poging zal ondernomen worden op de volgende werkdag.
Detail van de verzending: 1Z522A9A6892487822
Schermafbeelding van de pagina ter betaling van het CryptoWall losgeld:
Boodschap die getoond wordt op de CryptoWall pagina ter betaling van het losgeld:
Ontsleutelingsdienst
Je bestanden werden versleuteld.
Om de sleutel te verkrijgen zodat je je bestanden kan ontsleutelen moet je 500 USD/EUR betalen. Als de betaling niet wordt uitgevoerd voor [datum] dan zal de prijs voor het ontsleutelen van de bestanden 2 maal verhoogd worden en 1000 USD/EUR per dag bedragen. Tijd vooraleer het bedrag verhoogd wordt: [timer die aftelt]
We presenteren je een speciale software - CryptoWall Decrypter - die toelaat de bestanden te ontsleutelen en je de controle over je versleutelde bestanden terug te geven. Hoe kan je de CryptoWall decrypter kopen?
1. Je moet een Bitcoin portefeuille registreren
2. Bitcoins kopen - hoewel het niet gemakkelijk is bit coins te kopen wordt dit elke dag eenvoudiger.
3. Zend 1.22 BTC naar het volgende Bitcoin adres: 1BhLzCZGY6dwQYgX4B6NR5sjDebBPNapvv
4. Voer het transactie ID in en selecteer het bedrag.
5. Controleer de betalingsinformatie en klik op "Betalen".
Merk op dat op het moment dat we dit artikel schreven er geen hulpmiddelen bestonden die de bestanden versleuteld door CryptoWall konden ontsleutelen zonder het losgeld te betalen. Door het volgen van deze verwijderingsgids zal je in staat zijn deze ransomware van je computer te verwijderen maar de getroffen bestanden zullen versleuteld blijven. We zullen dit artikel aanpassen zodra er meer info is over het ontsleutelen van de getroffen bestanden.
CryptoWall virus verwijdering:
Onmiddellijke automatische malwareverwijdering:
Handmatig de dreiging verwijderen, kan een langdurig en ingewikkeld proces zijn dat geavanceerde computer vaardigheden vereist. Combo Cleaner is een professionele automatische malware verwijderaar die wordt aanbevolen om malware te verwijderen. Download het door op de onderstaande knop te klikken:
▼ DOWNLOAD Combo Cleaner
De gratis scanner controleert of uw computer geïnfecteerd is. Om het volledige product te kunnen gebruiken moet u een licentie van Combo Cleaner kopen. Beperkte proefperiode van 7 dagen beschikbaar. Combo Cleaner is eigendom van en wordt beheerd door Rcs Lt, het moederbedrijf van PCRisk. Lees meer. Door het downloaden van software op deze website verklaar je je akkoord met ons privacybeleid en onze algemene voorwaarden.
Snelmenu:
- Wat is CryptoWall?
- STAP 1. CryptoWall virus verwijderen via veilige modus met netwerk.
- STAP 2. CryptoWall ransomware verwijderen via Systeem Herstel.
Stap 1
Windows XP en Windows 7 gebruikers: Tijdens het opstartproces van je computer druk je verschillende keren op de F8 toets op je toetsenbord tot het Geavanceerde Opties menu van Windows verschijnt. Dan selecteer je Veilige Modus met netwerk uit de lijst en druk je op ENTER.
Video die toont hoe Windows 7 te starten in "Veilige Modus met Netwerk":
Windows 8 gebruikers: Ga naar het Windows 8 Start Scherm, typ Geavanceerd, in de zoekresultaten selecteer je Instellingen. Klik op geavanceerde startopties, in het geopende "Algemene PC-instellingen" scherm selecteer je Geavanceerde Opstart. Klik op de "Nu herstarten"-knop. Je computer zal nu herstarten in het "Geavanceerde Opstartopties menu". Klik op de "Probleemoplosser"-knop, klik dan op de "Geavanceerde Opties"-knop. In het geavanceeerde opties scherm klik op "Opstart Instellingen". Klik op de "Herstarten"-knop. Je PC zal nu herstarten naar het Opstart Instellingen scherm. Druk 5 om in Veilige Modus met commando-prompt te starten.
Video die toont hoe Windows 8 te starten in "Veilige Modus met Netwerk":
Stap 2
Log in op het account dat besmet is met het CryptoDefense Virus. Start je Internet browser en download een legitiem anti-spyware programma. Werk de anti-spyware software bij en start een volledige systeemscan. Verwijder alle verwijzingen die het detecteert.
Als je je computer niet kan starten in veilige modus met netwerk probeer dan systeemherstel uit te voeren.
Video die toont hoe het ransomware virus te verwijderen via de "Veilige Modus met commando-prompt" en "Systeemherstel":
1. Start je computer in Veilige Modus met commando-prompt - Tijdens het opstartproces van je computer druk je verschillende keren op de F8 toets op je toetsenbord tot het Geavanceerde Opties menu van Windows verschijnt. Dan selecteer je Veilige Modus met commando-prompt uit de lijst en druk je op ENTER.
2. Als de commando-prompt modus geladen is typ dan de volgende regel: cd restore en druk op ENTER.
3. Typ vervolgens deze regel: rstrui.exe en druk op ENTER.
4. In het geopende venster klik "Volgende".
5. Selecteer één van de beschikbare herstelpunten en klik "Volgende" (dit zal je computer herstellen naar een eerdere tijd en datum, voor deze ransomware je PC geïnfiltreerd had).
6. In het geopende venster klik "Ja".
7. Na het herstellen van je computer naar een eerdere datum download en scan je je PC met aanbevolen anti-spyware software om enige achtergebleven delen van het CryptoWall virus te elimineren.
Om individuele bestanden te herstellen die werden versleuteld door deze ransomware zouden PC-gebruikers de Vorige Versie-functie van Windows kunnen proberen te gebruiken. Deze methode is enkel effectief als de Systeem Herstel-functie geactiveerd was op het besmette besturingssysteem. Merk op dat sommige versies van de CryptoWall ransomware de schaduwvolume-kopies van bestanden verwijderen dus deze methode zal niet altijd werken.
Om een bestand te herstellen klik met de rechtermuisknop op het bestan, ga naar Eigenschappen en selecteerd de Vorige Versie-tab. Als het geselecteerde bestand een herstelpunt heeft, selecteer dit dan en klik op de "Herstellen"-knop.
Als je je computer niet kan starten in veilige modus met netwerk (of met commando-prompt) dan zou je je computer moeten opstarten met een hersteldisk. Sommige varianten van deze ransomware schakelen de veilige modus uit waardoor het verwijderen ervan nog moeilijker wordt. Om deze stap uit te voeren zal je toegang moeten hebben tot een andere computer.
Andere programma's waarvan geweten is dat ze de CryptoWall ransomware kunnen verwijderen:
Bron: https://www.pcrisk.com/removal-guides/7844-cryptowall-virus
▼ Toon discussie