A HowDecrypt (vagy a hozzá hasonló CryptoBit) egy veszélyes malware, azon belül is a ransomware, cryptovirus kategóriába tartozó vírus. Támadása az összes Windows operációs rendszert fenyegeti (Windows XP, Windows Vista, Windows 7 és a Windows 8).
A probléma:
Ha megfertőzi a gépét a HowDecrypt vírus, először végignézi a számítógépen található összes adatot, majd függetlenül a fájlok típusától és kiterjesztésétől, titkosítja azokat.
Elsősorban a képeket (.JPG), a dokumentumokat (.DOC, .DOCX, .PDF, .XLS, .XLSX, .PST) és a multimédiás (.WAV, .MP3) fájlokat támadja meg, lekódolja azokat, így nem lehet többé megnyitni őket.
A pánik:
A vírus létrehoz egy HowDecrypt.txt szöveges fájlt, és egy HowDecrypt.gif kép fájlt minden olyan mappában, amit titkosított.
A GIF és TXT fájlok, amik letöltődnek a vírussal együtt, utasításokat tartalmaznak arról, hogy hogyan lehet hozzáférni ahhoz a hamis fizetési honlaphoz, ahol be lehet fizetni a hamis váltságdíjat, hogy visszakódolja a fájlokat és feloldja a rendszer zárolását.
(A HowDecrypt fizetős oldala a Tor hálózaton található, és csak Bitcoin fizetőeszközzel lehet fizetni rajta.)
All files including videos, photos, and documents, etc on your computer are encrypted. Encrypition was produced using a unique public key genereated for this computer. To decrypt files, you need to obtain the private key. The single copy of the private key, which will allow you to decrypt the files, located on a sevrec server on the Internet; the server will destroy the key after a time specified in this window. After that, nobody and never will be able to restore files.
1. In order to decrypt the files, open site
4sfxctgp53imlvzk.onion.to/index.php and follow the instructions.
(end sample, start new sample
File Decryption costs ~ $ 500.
In order to decrypt the files, you need to perform the following steps:
1. You should download and install this browser http://www.torproject.org/projects/torbrowser.html.en
2. After installation, run the browser and enter the address: 4sfxctgp53imlvzk.onion
3. Follow the instructions on the web-site. We remind you that the sooner you do, the more chances are left to recover the files.
Guaranteed recovery is provided within 10 days.
IMPORTANT INFORMATION:
Your Personal CODE: 00000001-xxxxxx
(Felhívjuk figyelmét, hogy az üzenetek és a lock-képernyők eltérhetnek a fentitől, több változatban létezhetnek!)
Mint látható, az üzenet elsősorban meg akarja ijeszteni áldozatait ezzel a veszélyes számítógépes fertőzéssel. De ez igazából csak egy fenyegetés! A valóságban, a fájlok nincsenek titkosítva, és ezt az üzenet csak azért hozták létre, hogy további bonyodalmakat okozzon.
Amikor a HowDecrypt „titkosít” egy fájlt, igazából nem kódolja le azokat, hanem csak lecseréli a fájl első 512 byte méretű fejlécét, ami pontosan elég ahhoz, hogy a rendszer sérült fájlnak ítélje meg, és ne tudja megnyitni.
Ha befizetjük az állítólagos bírságot, akkor a helyzet csak még rosszabb lesz. Az ilyen fajta vírusokra külön definíciót találtak ki:
„A ransomware olyan malware, azaz rosszindulatú számítógépes program, amely valamilyen fenyegetéssel próbál pénzt kicsikarni a felhasználóból. Ez rendszerint azt jelenti, hogy használhatatlanná teszi a számítógépet vagy elérhetetlenné a rajta lévő adatokat, és csak pénzért vásárolható meg az a kód, aminek a hatására visszaállítja az eredeti állapotot.”
Ha megfertőzte a HowDecrypt vírus, kérjük, hagyja figyelmen kívül a vírus üzeneteit, NE FIZESSE KI A BÍRSÁGOT, és ne kattintson a hivatkozásokra az üzenetekben!
Helyette használja az ingyenes eltávolító programokat, amiket javaslunk, vagy kérjen szakszerű segítséget!
A megoldás:
1. Elvisszük egy számítógép szervizbe, ahol leirtják nekünk a vírust és visszaállítják a fájlokat.
vagy, ha mi magunk csináljuk:
2. A gépen belül, csökkentett módban leirtjuk a vírust.
3. Visszaállítjuk a „lekódolt” fájlokat egy korábbi, eredeti állapotukba.
1. módszer:
Természetesen vállaljuk a vírus szakszerű leirtását, amennyiben el tudja hozni készülékét a szervizünkbe (1132 Budapest, Visegrádi utca 58/B.).
Akár házhoz is tudunk menni, de érdemesebb elhozni, vagy hogy mi elhozhassuk a szervizbe a készüléket, mivel a teljes gép vírus ellenőrzése 2-3 óra is lehet, mivel általában az a tapasztalatunk, hogy ahol egy ilyen vírus felbukkan, ott más vírusok is vannak a gépen.
2. módszer:
1. lépés: A számítógép bekapcsolása után mielőtt elkezdi a windowst tölteni, nyomjuk le az F8 billentyűz, hogy feljöjjön a rendszerindító menü.
2. lépés: Indítsuk el csökkentett mód, hálózattal módban a rendszerünket.
3. lépés: Töltsük le a következő vírusirtót: Malwarebytes Anti-Malware
4. lépés: Telepítés után indítsuk el a vírusirtót, és futtassuk le a Teljes vizsgálatot.
5. lépés: Miután végzett a kereséssel, kattintsunk a jobb oldalt alul megjelenő Eredmények megjelenítése gombra, és az ott található teljes listát jelöljük ki és töröljük!
6. lépés: A vírusok letörlése után indítsuk újra a gépünket, és ha minden igaz, eltűnt a vírus.
7. lépés: Ez után érdemes a rendes vírusirtónkkal (javasoljuk például az Avast ingyenes verzióját) szintén átnézetni a gépet, hátha maradt még rajta más vírus is.
3. módszer
Amennyiben be van kapcsolva a Rendszer-visszaállítás (Vezérlőpult\Rendszer és biztonság\Rendszer\Speciális rendszerbeállítások\Rendszervédelem) funkció a Windows-ban (a funkció elérhető Windows XP Service Pack 2, Windows Vista, Windows 7 és Windows 8), a rendszer készít egy „árnyék másolatot”, vagyis biztonsági mentést a rendszerbeállításokról és a fájlokról.
Ezekből a mentésekből lehetőségünk van visszaállítani a fájlokat egy olyan állapotba, amikor még nem lettek megfertőzve a vírussal. Sajnos ez nem egy tökéletes megoldás, mert elképzelhető, hogy nem a legfrissebb állapota van lementve a fájlnak, hanem csak egy régebbi változata.
Amennyiben a Rendszervédelem ki van kapcsolva a számítógépen, és nincs lehetősége a Rendszer-visszaállításra, érdemes szakemberhez fordulni, hogy visszaállítsa adatait megfelelő állapotukra.
Hogyan lehet visszaállítani a CryptorBit által titkosított fájlokat a Shadow Explorer segítségével:
A fertőzött fájlokat a Shadow Explorer (letöltés itt) programmal tudjuk visszaállítani egy korábbi állapotra.
Amikor elindítja a programot, akkor a bal felső sarokban megjelennek a meghajtók és a dátumok, az elérhető biztonsági mentésekről.
Válassza ki a meghajtót, hogy honnan, és az időpont, hogy mikori állapotra szeretné visszaállítania fájlokat.
Ha egy teljes könyvtárat szeretne visszaállítani, akkor kattintson jobb gombbal a könyvtár nevére és válassza ki az Export funkciót. Ekkor a program megkérdezi, hogy hova mentse ki a könyvtár tartalmát.
Remélem sikerült segítenünk, sok sikert a vírus irtásához!
A cikket írta: Hautzinger Attila, yszerviz.hu
Amennyiben hasznosnak találta a cikkünket, kérjük, segítse munkánkat egy Like-al a facebookon: http://facebook.com/yszerviz
Köszönjük!
A kérdésem az lenne, hogy XP gépen miért nem működik a Shadow Explorer.
Az írja ki, hogy nem kompatibilis a rendszerrel.
Mivel lehetne dekódolni az állományaimat?
Nekem a HELP_DECRYPT nevű fájlokat készítő titkosító vírust sikerült kifognom, nagy szerencsémre még az elején, amikor elkezdett dolgozni, és mivel az Avast jelezte a jelenlétét, tudtam követni, hogy melyik mappában ügyködik. (Az Avast jelzett, de nem állította le, bár ezt írta ki.) Az értékesebb adataimat úgy sikerült megmentenem, hogy új mappát nyitottam, és gyorsan áttettem oda, amit csak tudtam, de hagytam neki nagy mappákat, amin sokáig dolgozott, és közben külső adathordozóra lementettem az adataimat. Szerencsére szép sorban ment végig a meglevő mappákon és fájlokon, de az új mappát ás az oda áttett fájlokat nem bántotta. Amikor végigtarolta az új mappán kívül az összeset, egyszerűen eltűnt. Két napja a rengeteg HELP_DECRYPT fájlon és a titkosított fájlokon kívül semmi nyoma nincs. A számítógép hibátlanul működik. Sem az Avast, sem a Kaspersky, sem az F-secure nem találja a vírus nyomát.
Egyik kérdésem az volna, hogy ez hogyan lehetséges? Hova tűnt a vírus? Hogyan találhatnám meg? Szeretném kiirtani, és megtisztítani a külső adathordozókat is, amikre az adatokat kimentettem, de ha egyik vírusírtó sem találja meg, nem tudom, hogyan szabadulhatok tőle. A másik kérdésem, hogy Androidos telefonra, ugye nem tud átmenni? Az volt még a számítógépre csatlakoztatva a fertőzés időpontja környékén.
Végül azt kérdezném még, hogy mennyi a valószínűsége, hogy ha elviszem a gépet a szervizbe, vissza tudják állítani a titkosított fájlokat? A legértékesebb adataimat sikerült lementenem, de van néhány, zömében wav és mp3 fájl, amit talán megérne 5000 forintot, de csak ha biztos, hogy vissza lehet állítani.
XP-rendszernél ezt írja ki:
ShadowExplorer is not designed to work on this operating system.
Hogyan tovább?