Cryptolocker – Preventie, informatii si cum scapi de acest virus

Cryptolocker este un tip relativ nou de malware cunoscut sub denumirea de ransomware, detectat pentru prima data in luna septembrie a.c. Ransomware-ul cripteaza fisierele, astfel ca nu vor mai putea fi accesate de catre utilizator.

Cryptolocker este deosebit de periculos, folosind doua tipuri de chei pentru criptare, facand imposibila decriptarea unui fisier. Virusul afiseaza o notificare prin care i se solicita utilizatorului infectat sa plateasca o suma de bani (intre 100 si 300$) pentru a decripta fisierele. Daca aceasta cerinta nu este indeplinita intr-un termen de 72 sau 96 ore, fisierele vor fi pierdute definitiv.

cryptolocker

Odata rulat, virusul se va instala sub o denumirea aleatorie in folderul %AppData% si de asemenea va crea urmatoarele chei registry:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run “CryptoLocker”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce “*CryptoLocker”

Fisierele criptate vor fi doar cele cu urmatoarele extensii: *.odt, *.ods, *.odp, *.odm, *.odc, *.odb, *.doc, *.docx, *.docm, *.wps, *.xls, *.xlsx, *.xlsm, *.xlsb, *.xlk, *.ppt, *.pptx, *.pptm, *.mdb, *.accdb, *.pst, *.dwg, *.dxf, *.dxg, *.wpd, *.rtf, *.wb2, *.mdf, *.dbf, *.psd, *.pdd, *.eps, *.ai, *.indd, *.cdr, ????????.jpg, ????????.jpe, img_*.jpg, *.dng, *.3fr, *.arw, *.srf, *.sr2, *.bay, *.crw, *.cr2, *.dcr, *.kdc, *.erf, *.mef, *.mrw, *.nef, *.nrw, *.orf, *.raf, *.raw, *.rwl, *.rw2, *.r3d, *.ptx, *.pef, *.srw, *.x3f, *.der, *.cer, *.crt, *.pem, *.pfx, *.p12, *.p7b, *.p7cThe

Cum se propaga Cryptolocker?

prin atasamente infectate trimise cu email-uri ce pretind a proveni de la companii de curierat: FedEx, UPS, DHS etc.
descarcat de anumite infectii Zbot deghizandu-se ca atasamente PDF
prin exploit-uri aflate pe site-uri compromise si care se folosesc de vulnerabilitatile din sistemul victimei pentru a instala infectia
prin troieni care pretind a fi programe necesare rularii unor clipuri video online (intalnite de regula pe site-urile pornografice)

Cum poti preveni infectia?

Ruleaza unul din programele de securitate de top si asigura-te ca ai ultimele definitii instalate. Recomandam de asemenea si Malwarebytes Anti-Malware Pro sau COMODO Internet Security, primul pentru definitiile la zi, al doilea pentru blocarea eficienta pe baza comportamentului.

Cum poti recupera totusi fisierele criptate si sa-ti devirusezi astfel sistemul?

Singura metoda viabila este activarea System Restore pe calculator. Acesta va recupera versiunile anterioare ale fisierelor criptate. Acestea nu vor fi totusi neaparat si cea mai recenta versiune a fisierului respectiv. Aceasta functie este disponibila doar pe Windows XP Service Pack 2, Windows Vista, Windows 7, Windows 8.

Pentru a afla care fisiere sunt criptate, descarcati si rulati acest program:
http://download.bleepingcomputer.com/grinler/ListCrilock.exe

Pentru a restaura fisierele, dati click-dreapta pe fisierul criptat, apoi alegeti Properties -> Previous version.
Restaurarea manuala a fiecarui fisier poate dura o vesnicie, de aceea se poate utiliza un program care restaureaza un folder intreg. Acesta se numeste Shadow Explorer. Puteti folosi versiunea portabila a acestuia pentru usurinta si prevenirea infectarii kitului in sine.

Informatii in plus despre acest virus aflati din urmatoarele doua clipuri, dar si din aceasta postare:

Administrator FaraVirusi.com
voluntar al Comodo Malware Research Team, expert Malwarebytes Anti-Malware

15 responses to “Cryptolocker – Preventie, informatii si cum scapi de acest virus”

  1. MUGUREL IRIMIA

    De ce oferiti informatii ptr. clienti care sa visiteze un site periculos (http://www.shadowexplorer.com/downloads.html) sau vreti sa vedeti cum uni chiar isi strica PC.Stima

  2. Adi

    Sfatul sa nu ajungeti la asa ceva: nu dati click pe orice, ca nu va salveaza nimeni, daca faceti asta.

  3. drwoo

    Thank you for this article, I found it very useful!

  4. Care au fost cele mai viralizate articole pe bloguri si site-uri de stiri in 21-27.10? | refresh.ro

    […] Cryptolocker – Preventie, informatii si cum scapi de acest virus – faravirusi.com12 shares 1 comment 9 likes 1 tw. trackback 317 tw. followers […]

  5. yonut
    1. virus2009
  6. Marian S

    Buna seara, am si eu o intrebare, daca se poate.
    Eu (si nu numai eu) nu salvez documente in folderul C, sub windows. De regula, daca un sistem este atacat, se “rade“ complet partitia C si se reinstaleaza totul. Nu am ajuns sa fac asta la mine, dar am vazut la multi si ramane singura solutie radicala.

    Intrebare simpla, raspuns… complicat? Acest virus ataca numai fisierele din partitia cu sistemul de operare sau este deja capabil sa se mute in alte partitii? Sau, mai clar, daca a apucat sa infecteze computerul, ataca fisiere din D atata timp cat acestea nu sunt accesate?

    Multumesc mult pentru raspuns.

    1. virus2009

      Acest tip de infectie cauta dupa anumite extensii pe tot hardul, stick, etc…,sunt multe infectii ce se raspindesc nu numai pe partitia C. Poti sa formatezi doar C: ca nu rezolvi mare lucru in anumite cazuri, de aceia se recomanda acel backup la informatii si nu numai pe medii externe sau online.

  7. Politia locala plateste suma de bani ceruta de CryptoLocker pentru a-si recupera fisierele

    […] CryptoLocker este un malware aparut recent de tip ransomware (aplicatie care iti restrictioneaza accesul la calculator iar apoi cere o suma de bani pentru a elimina restrictia) care iti cripteaza fisierele (poze, documente, etc) iar pentru a le putea accesa din nou platesti o suma de bani sau ramai fara fisiere. Mai multe detalii despre modul de operare CryptoLocker aici. […]

  8. Cryptolocker – virusul care iti transforma calculatorul in ostatic | BLOG
  9. Claudiu

    Salutare. Si eu am patit-o. Nu ma prea pricep la tehnologia asta IT. asa ca as avea o intrebare: Ma puteti indruma catre cineva care sa se ocupe de decriptarea datelor din laptop-ul meu in locul meu? Multumesc anticipat

    1. ocsi

      a) daca fiserele encriptate au extensia ccc fa ce zice aici: http://www.bleepingcomputer.com/news/security/latest-teslacrypt-ransomware-adds-the-ccc-extension-to-encrypted-files/
      b) daca fisierele enciptate au extensia “un fel de adresa emai (ex. numefisier.dochelpme@)” fa ce zice aici: https://www.cert-ro.eu/articol.php?idarticol=990
      c) dupa dezindectarea si curatarea PC-ului (Malwarebytes Anti-Malware, CCleaner, restart PC) incearca recuperarea fisierelor cu sata de aici: https://noransom.kaspersky.com/
      Bafta!

Leave a Reply