Инструкция по удалению вируса CryLocker

Вирус CryLocker (CSTO) был обнаружен на прошлой неделе исследовательской командой MalwareHunterTeam, а буквально через пару дней, второй образец нашли специалисты из компании TrendMicro. Сначала вирус назывался просто Cry, а потом появилось текущее название CryLocker. Приставка CSTO (Central Security Treatment Organization) переводится как Центральная организация Лечения Безопасности. Эта надпись, вместе с официальной с виду печатью и шапкой появляется на платежном сайте вируса. Само собой, такой организации не существует в природе, и подобный ход говорит нам разве что о том, что разработчики вируса – знатные шутники. Помимо этого, вирус пользуется сложной системой связи и передачи информации, имеет защищенное шифрование и использует публичные файлообменники для хранения данных о жертвах. Сума выкупа составляет приблизительно 1,1 Биткоина, или 625 долларов, по текущему курсу.

 

CryLocker вирус

 

Сейчас мы опишем вам основные отличия вируса CryLocker от его «собратьев». Эти отличия почти никак не влияют на пользователя, и представляют интерес только для узкого сегмента исследователей или специалистов по борьбе с вирусами. Так что, если вы просто хотите удалить вирус со своего компьютера – вам следует перейти непосредственно к инструкции по удалению. Для тех же, кому это интересно – продолжаем.

Сбор данных

Подавляющее большинство вирусов-вымогателей собирает и хранит всего два вида данных: присвоенный компьютеру пользователи ID, и ключи шифрования. Однако, CryLocker собирает не только эти данные. Он также собирает информацию о конфигурации компьютера пользователя, параметрах его ЦП, версии установленной ОС и её разрядности. Все эти данные отсылаются в командный центр.

Связь с командным центром

Как и печально известный Cerber, CryLocker использует единый командный центр для координирования действий и хранения данных. Связь с ним осуществляется по протоколу UDP, причем вирус пересылает данные одновременно на 4095 IP-адресов по всему миру. Фактически, очень сложно определить, за каким именно адресом прячется настоящий сервер.

Использование файлообменников

Для подстраховки, помимо отправки данных непосредственно в командный центр, вирус также использует публичные банки изображений, такие как Imgur.com и Pastee.org. После завершения шифрования вирус загружает всю собранную информацию о пользователе на один из этих ресурсов, под видом фальшивой картинки в формате .png. Ресурсы присваивают каждому изображению свой уникальный код, и уже этот код в зашифрованном виде отсылается в командный центр (а точнее, в один из 4095 предполагаемых командных центров).

Информация о местоположении пользователя

Эта функция пока что ставит в тупик всех исследователей. Дело в том, что в процессе своей работы, вирус собирает данные о местоположении компьютера жертвы, с помощью SSID ближайшей беспроводной сети. Получив SSID, с помощью API Google Maps вирус узнает, где находится жертва, с точностью до нескольких сотен метров. Пока что непонятно, зачем хакерам эта информация, и как они собираются её распоряжаться. Пользователям остается только надеяться, что хакеры просто ведут точную статистику, и хотя знать, в какой стране их продукт наиболее «популярен».

 

В сумме эти особенности показывают, что к созданию вируса его разработчики отнеслись весьма серьезно (несмотря на Организацию Лечения Безопасности), и на расшифровку шифра или взлом кода уйдет немало времени. Помимо прочих новостей, доподлинно известно, что вирус стирает теневые копии зашифрованных файлов, так что этот, самый простой способ восстановления данных сразу же отпадает. Также, работу исследователей затрудняет тот факт, что вирус всё еще находится в разработке, а хакеры периодически «выкатывают» новые версии, с небольшими изменениями и дополнениями.

Как удалить CryLocker с компьютера

Удаление вируса можно произвести вручную, следуя нашим инструкциям, или же с помощью специального ПО, которое быстро и качественно выполнит все процедуры за вас. Ручное удаление не должно вызывать никаких сложностей, так как CryLocker не предусматривает какой-либо защиты от удаления, или штрафов за удаление. Однако, использование антивируса всё равно более выгодно, так как антивирус работает быстрее любого пользователя, и помимо сиюминутного удаления, сможет в дальнейшем защитить ваш ПК от подобных неприятностей. Мы рекомендуем воспользоваться антивирусом Spyhunter, который отлично, быстро и качественно удалит любой вирус с вашего компьютера. Нажмите здесь, чтобы скачать SpyHunter и удалить вирус программно

Шаг 1. Запустить систему в безопасном режиме

  • Нажмите «Пуск»
  • Введите Msconfig и нажмите «Enter»

Запуск в безопасном режиме. Шаг 1

 

  • Выберите вкладку «Загрузка»

Запуск в безопасном режиме. Шаг 2

 

 

  • Выберите «Безопасная загрузка» и нажмите OK

Шаг 2. Показать все скрытые файлы и папки

    • Нажмите «Пуск»
    • Выберите «Панель управления»

Показать все скрытые файлы и папки. Шаг 1

 

    • Выберите «Оформление и персонализация»

Показать все скрытые файлы и папки. Шаг 2

 

    • Нажмите на «Параметры папок»
    • Перейдите во вкладку «Вид»
    • Выберите «Показывать скрытые файлы, папки и диски»

Показать все скрытые файлы и папки. Шаг 3

 

  • Нажмите OK

Шаг 3. Удалить файлы вируса

Проверьте следующие папки на предмет наличия в них файлов вируса:

  • %TEMP%
  • %APPDATA%
  • %ProgramData%

Шаг 4. Очистить реестр (для опытных пользователей)

  • Нажмите «Пуск»
  • Введите «Regedit.exe» и нажмите «Enter»
  • Проверьте папки автозапуска на наличие подозрительных записей:
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
  • Аналогично для папки HKEY_CURRENT_USER
  • Удалите из этих папок вредоносные файлы

О восстановлении (расшифровке) файлов .cry

К сожалению, пока что мы не можем написать здесь что-либо стоящее вашего внимания. Вирус удаляет теневые копии, так что использование обычных программ для восстановления сразу же отпадает. В данный момент у вас остается только один вариант: удалить вирус, собрать зашифрованные файлы в отдельную папку и ожидать релиза расшифровывающей программы. Чтобы облегчить вам поиски, скажем, что вам следует ожидать новостей о создании программы на таких сайтах, как Лаборатория Касперского, MalwareHunterTeam, TrendMicro и EmsiSoft. Помимо этого, вам может помочь только загрузка сделанных вовремя бэкапов, или же уплата выкупа.

 

ВНИМАНИЕ! Если вы все-таки собираетесь платить хакерам за ваши собственные данные, то вам следует знать: на платежном сайте присутствует специальный сервис для демонстрации расшифровки файлов. Хакеры предлагают расшифровать бесплатно один файл на ваш выбор. На момент написания статьи эта служба не работала: загруженные туда файлы просто обрабатывались до тех пор, пока нам не надоедало ждать. Мы серьезно сомневаемся в том, что хакеры сами могут (или хотят) восстанавливать файлы, даже после уплаты выкупа. Будьте осторожны, и помните о том, что каждая копейка, которую вы заплатите мошенникам, пойдет на дальнейшее развитие кибер-преступности, и в конце концов будет использована вам во вред.

  • Нажмите «Пуск»
  • Выберите «Панель управления»

Восстановление системы. Шаг 1

 

  • Нажмите «Система и безопасность»

Восстановление системы. Шаг 2

 

  • Выберите «Архивация и восстановление»

Восстановление системы. Шаг 3

 

  • Выберите «Восстановление файлов из архива»
  • Выберите точку сохранения

 

Видео инструкция

 

 

 

 

1 1 1 1 1 1 1 1 1 1 Рейтинг 0.00 [0 Голоса (ов)]

Добавить комментарий

Защитный код
Обновить

Norton_scan_results

Google_SafeBrowsing_scan_results