Salut prieteni, in tutorialul de astazi vom vorbi despre infectia de tip ransomware numita CryptoLocker. Mai exact o sa vedem cum dezinfectam un calculator infectat cu CryptoLocker, cum prevenim infectarea cu acest ransomware si cum putem recupera fisierele infectate cu CryptoLocker.
Ce face CryptoLocker ?
Asa cum va spuneam si mai sus acest tip de infectie face parte din clasa ransomware si odata infectat cu CryptoLocker acesta cauta si cripteaza fisierele din calculatorul vostru. Fisierele pe care le cripteaza acesta sunt: *.odt, *.ods, *.odp, *.odm, *.odc, *.odb, *.doc, *.docx, *.docm, *.wps, *.xls, *.xlsx, *.xlsm, *.xlsb, *.xlk, *.ppt, *.pptx, *.pptm, *.mdb, *.accdb, *.pst, *.dwg, *.dxf, *.dxg, *.wpd, *.rtf, *.wb2, *.mdf, *.dbf, *.psd, *.pdd, *.pdf, *.eps, *.ai, *.indd, *.cdr, *.jpg, *.jpe, *.jpg, *.dng, *.3fr, *.arw, *.srf, *.sr2, *.bay, *.crw, *.cr2, *.dcr, *.kdc, *.erf, *.mef, *.mrw, *.nef, *.nrw, *.orf, *.raf, *.raw, *.rwl, *.rw2, *.r3d, *.ptx, *.pef, *.srw, *.x3f, *.der, *.cer, *.crt, *.pem, *.pfx, *.p12, *.p7b, *.p7c
Odata ce fisierele au fost criptate, nu veti mai putea deschide, utiliza sau vizualiza respectivele fisiere. Desi la un moment dat CryptoLocker va va oferi “sansa” (falsa) de va recupera fisierele prin plata sumei de 300 dolari sau 300 euro in schimbul carora veti primi o cheie pentru decriptarea fisierelor voastre, nu va sfatuiesc sa faceti acest lucru! Nu va garanteaza nimeni ca veti primi intr-adevar cheia de decriptare si veti ramane si fara toti banii de pe card-ul sau contul dumneavoastra bancar.
Ce fac daca m-am infectez cu CryptoLocker ?
Va recomandam sa deconectati de la calculator toate perfifericele (imprimanta, fax, stick USB, card SD, hard disk extern si alte medii de stocare), scoatei cablul de internet din placa de retea al calculatorului infectat pentru a nu raspandi infectia in retea si catre alte calculatoare conectate la aceasta. Deasemenea nu mai conectati medii de stocare amovibile (stick-uri USB, carduri de memorie sau hard disk-uri externe) la calculatorul infectat.
Cum dezinfectez un calculator infectat cu CryptoLocker ?
Metoda prin care va puteti debarasa de aceasta infectie este destul de simpla aceasta fiind prezentata detaliat in tutorialul video. Primul pas este sa intrati on Safe Mode asa cum s-a aratat in tutorialul video. Indiferent de versiunea de Windows folosita, puteti face acest lucru apasand tastele Windows + R si in casuta Run scrieti “msconfig” apoi apasati tasta Enter. In fereastra care va apare mergeti pe tabul Boot si bifati casuta Safe boot apoi click pe Apply si OK si restartati calculatorul urmand ca acesta sa intre singur in Safe Mode cand va reveni din restart.
O alta metoda prin care puteti intra in Safe Mode este sa restartati calculatorul si imediat dupa ce vedeti logo-ul producatorului placii de baza, apasati repetitiv tasta F8.
Ajunsi in Safe Mode va trebui sa accesam Registry Editor pentru a sterge intrarile pe care si le face CryptoLocker in sistemul de operare. Apasam tastele Windows + R si in casuta Run scriem “regedit” si apasam tasta Enter.
De obicei CryptoLocker va avea cateva key in urmatoarele locatii:
HKEY_CURENT_USER\Software\CryptoLocker
HKEY_CURENT_USER\Software\CryptoLocker_0388
HKEY_CURENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
Dupa ce am curatat registry de intrarile CryptoLocker va trebui sa facem vizibile extensiile pentru fisiere, folderele si fisierele ascunse precum si folderele protejate de sistem. Cum se face acest lucru s-a aratat in tutorialul video.
Vom accesa folderele “C:\Users\NumeleVostruDeUtilizator\AppData\Local” precum si “C:\Users\NumeleVostruDeUtilizator\AppData\Roaming” si vom sterge orice fisier cu denumire dubioasa avand extensia .exe. De obicei executabilele folosite de CryptoLocker si alte tipuri de infectii nu au un inteles in denumirea lor, de exemplu acestea poat fi denumite “aldkkgjhoipporh.exe”
Dupa ce am terminat de facut acesti pasi va trebui sa repornim calculatorul. Cand revenim din restart descarcam si instalam Malwarebytes, il rulam si facem o scanare. Dupa finalizarea scanarii inlaturam din interfata acestuia infectiile gasite.
Cum prevenim infectarea calculatorului cu CryptoLocker ?
Pentru a preveni infectarea cu CryptoLocker este bine sa aveti un antivirus, un antimalware sau o suita de securitate cu update-urile ce contin baza de date cu semnaturile pentru virusi, la zi. Multi utilizatori stau nepasatori si linistiti doar pentru ca vad iconita unui antivirus in System tray (dreapta jos a ecranului langa ceas) fara sa se asigure ca acesta este functional sau daca si cand si-a facut ultima data update-urile ce contin semnaturile pentru virusi.
O masura in plus pentru prevenirea infectiei cu CryptoLocker este si CryptoPrevent, un mic utilitar care poate fi instalat sau poate fi folosit ca aplicatie portabila. CryptoPrevent face unele modificari in Group Policy pentru a bloca drepturile de executie a executabilelor alflate in %appdata% si %localappdata% precum si protejarea impotriva exploit-ului RLO (Right to Left Override)
Aceasta unealta trebuie folosita cu precautie caci poate bloca si un fisier legitim care se poate afla in %appdata% sau %locaappdata%. Daca se intampla ca un fisier legitim sa fie blocat, puteti deschide interfata aplicatiei CryptoPrevent si sa adaugati fisierul respectiv in White List (lista alba) o lista ce va contine fisierele adaugate de voi si care vor avea dreptul de a fi executate.
Cum recuperez fisierele criptate de CryptoLocker ?
Din pacate recuperarea fisierelor criptate de CryptoLocker nu este garantata de nici o metoda sau soft minune. Totul tine de setarile pe care le-ai avut si le ai in sistemulde operare. Daca pana sa te infectezi ai avut tot timpul System Restore si Previous Versions oprite, nu mai poti recupera fisierele criptate. System Restore si Previous Versions lasate activate va vor permite sa reveniti la o stare anterioara pe care o avea fisierul inainte ca acesta sa fi fost infectat si criptat. Puteti totusi sa utilizati Shadow Explorer pentru a afla daca in sistemul de operare exista versiuni anterioare pentru fisierele criptate. Daca veti gasi unul sau mai multe fisiere intr-o stare anterioara infectiei si doriti sa le restabiliti, faceti click dreapta pe acestea din interfata aplicatiei ShadowExplorer si alegeti din meniul contextual optiunea Export.
Pe final concluzia este una singura. UN BACKUP pe care foarte multi utilizatori evita sa il faca, v-ar fi scutitit de toate aceste batai de cap. Faceti backup macar pentru fisierele vitale pentru voi, pastrati copii ale acestora chiar si in 10 locatii diferite daca este nevoie caci nu se stie niciodata cum le poti pierde, fie printr-o infectie urata de genul CryptoLocker, fie printr-un dezastru natural (calamitate), furt sau pur si simplu iti cedeaza hard disk-ul intr-o zi. Exista SUTE de solutii gratuite pentru backup, avem o gramada de tutoriale legate de acest subiect indiferent ca doriti sa salvati backup-urile local sau in servicii cloud.
