Just nu i M3-nätverket
Jump to content

Crypt0wall Ransomware (Help Your Files)


PCsnubben

Recommended Posts

Hade precis en bekant som råkat ut för att få sina filer krypterade av Crypt0wall.

Tittade på datorn och konstaterade att han faktiskt hade en fungerande backup på separat disk,

samt att en orörd backupkopia även låg i C:\Temp 

Inte alltid man har sån tur.

 

Även alla filer i den öppna Dropbox-mappen var krypterade (men fanns backup på)

Inget av de rensingsprogram jag testade hittade något !
Malwarebytes Antimalware

JRT
Adwcleaner

Superantispyware

Hittade några saker i registret manuellt.
Exempelvis hänvisning till C:\\Users\\Kontoret\\AppData\\Roaming\\VFFiWwxx\\helppane.exe

Sedan insåg jag att inget rensningsprogram förmodligen skulle lyckas rensa bort det som Crypt0wall ställt till.
Hittade massor av nycklar där ett tillägg i namnet hade adderats., tex hjwryudlsfglgdx

Vilket program kan rätta till originalnycklar i registret....?
Skulle behövas något som SFC, fast för Registret då, och något sådant har jag inte sett till.

Bifogar några bilder

 

Datorn är nu ominstallerad !

 

 

 

 

 

post-9064-0-01417700-1449184367_thumb.png

HELP_YOUR_FILES.TXT

post-9064-0-52031600-1449184443_thumb.jpg

Link to comment
Share on other sites

Malwarebytes Antimalware

JRT

Adwcleaner

Superantispyware

Det där är program för att ta bort reklam, skräp och skadliga program som inte är virus, och när det gäller Cryptowall och annan Ransomware är det nog bättre att kolla upp datorn med antivirusprogram i stället.

 

Information om Cryptowall, vad man bör göra om man råkar ut för det och hur man kan förebygga att filer blir krypterade om datorn blir infekterad av Cryptowall: http://www.bleepingcomputer.com/virus-removal/cryptowall-ransomware-information

Där står t ex följande:

When CryptoWall encrypts a file it will store the file and its path as a value in the Windows Registry. The location of the subkey is in the following format:

 

HKCU\Software\<unique computer id>\<random id>

 

With an actual example being HKCU\Software\03DA0C0D2383CCC2BC8232DD0AAAD117\01133428ABDEEEFF. CryptoWall will then create a value for each file that it encrypts under this key.

 

Ominstallation av Windows är bästa åtgärden.

Link to comment
Share on other sites

Ja, ominstallation it is....

 

Antivirusprogrammen jag testade gjorde ingenting bättre.
Därför testade jag även med andra rensningsprogram, som brukar hitta sånt som INTE Antivirusprogrammen hittar.

 

Och visst, Cryptowall  skapar de nycklar du nämnde, också.

Men även de som syns på bilden under HCR/Local Settings/Software/Microsoft/Windows/Current Version/Appmodel/SystemAppData/

 

 

 

 

 

Link to comment
Share on other sites

Riktigt tråkigt ransomware det där.

Speciellt jobbigt om man har många viktiga filer/bilder utan backup. Bästa rådet är att alltid ha offline backuper på sin data samt ominstallera Windows när det händer. 

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.



×
×
  • Create New...