Una nuova e migliorata variante del ransomware CryptoWall è stato infettare i computer in tutto il mondo in questi ultimi giorni. Il nuovo CryptoWall 3.0 utilizza un messaggio di riscatto localizzato e passa il traffico verso un sito web dove le vittime possono pagare per la chiave di decrittazione necessaria per sbloccare i propri file attraverso Tor e I2P reti anonime.

CryptoWall è un tipo di file con crittografia di minaccia, che una volta attivato sulla macchina infetta cripta alcuni file su di esso e richiede una multa di $ 500 al fine di fornire alla vittima con la chiave di decrittazione. Il riscatto deve essere pagato in moneta digitale Bitcoin nelle prime 168 ore.

Le nuove funzionalità di CryptoWall 3.0

Nuova Tor di gateway web sono utilizzati dalla nuova versione di CryptoWall: torman2.com, torforall.com, torroadsters.com, e torwoman.com. Uno di essi reindirizza la vittima alla stessa pagina web contenente le istruzioni per il pagamento, ma gli ID per il monitoraggio dei pagamenti sono unici.

Il termine di pagamento è esteso da cinque giorni per una settimana intera, al termine del quale la tassa è sollevata a $ 1000.

I truffatori hanno creato ulteriori file che contengono informazioni sul pagamento e il ripristino dei dati crittografati:

HELP_DECRYPT.HTML: usa il browser web per visualizzare le informazioni sulla minaccia, crittografia e metodi di pagamento
HELP_DECRYPT.PNG: contiene dettagli su CryptoWall 3.0
HELP_DECRYPT.TXT: lo stesso come il precedente, ma con testo in chiaro
HELP_DECRYPT.URL: usa il browser web corrente per visualizzare la Decrypt Servizio CryptoWall 3.0 quando Windows viene caricato

Il messaggio visualizzato dal riscatto CryptoWall 3.0 recita:
What happened to your files?
All of your files were protected by a strong encryption with RSA-2048 using CryptoWall 3.0.
More information about the encryption keys using RSA-2048 can be found here: http://en.wikipedia.org/wiki/RSA_(cryptosystem)

What does this mean?
This means that the structure and data within your files have been irrevocably changed, you will not be able to work with them, read them or see them, it is the same thing as losing them forever, but with our help, you can restore them.

How did this happen?
Especially for you, on our server was generated the secret key pair RSA-2048 – public and private.
All your files were encrypted with the public key, which has been transferred to your computer via the Internet.
Decrypting of your files is only possible with the help of the private key and decrypt program, which is on our secret server.
What do I do?
Alas, if you do not take the necessary measures for the specified time then the conditions for obtaining the private key will be changed.
If you really value your data, then we suggest you do not waste valuable time searching for other solutions because they do not exist.

Traduzione italiana:

Che cosa è successo ai file?
Tutti i file sono stati protetti da una crittografia forte con RSA-2048 usando CryptoWall 3.0.
Maggiori informazioni sulle chiavi di crittografia utilizzando RSA-2048 può essere trovato qui: http://en.wikipedia.org/wiki/RSA_(cryptosystem)

Cosa significa questo?
Ciò significa che la struttura ed i dati all’interno dei file sono stati irrevocabilmente cambiato, non sarà in grado di lavorare con loro, leggere o vedere loro, è la stessa cosa di perdere per sempre, ma con il nostro aiuto, è possibile ripristinare .

Come è successo?
Soprattutto per voi, sul nostro server è stato generato il segreto coppia di chiavi RSA-2048 – pubblica e privata.
Tutti i tuoi file sono stati crittografati con la chiave pubblica, che è stato trasferito al computer tramite Internet.
Decifrare dei file è possibile solo con l’aiuto della chiave privata e decifrare programma, che è sul nostro server segreto.
Cosa faccio?
Purtroppo, se non si prendono le misure necessarie per il tempo specificato poi le condizioni per ottenere la chiave privata verranno modificati.

Se davvero apprezzi i dati, quindi vi consigliamo di non perdere tempo prezioso alla ricerca di altre soluzioni, perché non esistono.
Una volta che il processo di criptatura file è finita, i file originali vengono eliminati. Nel caso in cui non si dispone di un backup dei file, è possibile utilizzare un software affidabile per ripristinarli o parte di essi dalle copie shadow di Windows. Qui di seguito troverete le istruzioni dettagliate su come farlo.

Collegamento a I2P non riesce

La nuova versione di CryptoWall è stato rilevato dagli esperti di sicurezza di Microsoft e il ricercatore francese Kafeine, che ha riferito che la comunicazione con il server C & C (Command and Control) è codificato con l’algoritmo RC4 e utilizza il protocollo I2P.

Come Kafeine cercato di testare il campione della nuova minaccia, ha ricevuto un messaggio di errore ogni volta che ha tentato di collegarsi ai proxy. La notifica, il ricercatore ha ricevuto, ha dichiarato che il sito I2P non era disponibile a causa di vari motivi – impossibilità di connettersi a sistemi o della rete congestionata. Gli hacker sembravano essere pronti per i casi come questo, perché hanno fornito istruzioni dettagliate su come accedere al servizio di decrittazione sulla rete Tor.

Cryptowall 3.0 metodi di distribuzione nuovi

Come si Cryptowall 3.0 lasciato cadere sul sistema?

ransomware Cryptowall è stato intorno abbastanza a lungo per i ricercatori di raccogliere informazioni dettagliate sui suoi metodi. Il ransomware è distribuito principalmente tramite e-mail con allegati .zip. Questi ultimi contengono file eseguibili mascherati come file PDF. I file in questione possono essere di qualsiasi forma di comunicazione commerciale come ad esempio:

Fatture
Gli ordini di acquisto (OP)
Fatture
Denunce, contestazioni

Una volta che il PDF dannoso viene lanciato, CryptoWall verrà installato sul sistema. I file dannosi sarà situato in una delle due cartelle% AppData% o% Temp%. Poi, la minaccia inizierà la scansione dei driver del sistema per trovare i file per crittografare. Tutte le lettere di unità verranno esaminati, le unità di assorbimento, le condivisioni di rete e DropBox mappatura inclusi. Ogni lettera di unità sul sistema infetto verrà controllato per i file di dati.

Ecco un elenco di tutti i luoghi in cui CryptoWall 3.0 possono essere situati:

% Temp%
C: \ [random] \ [random] .exe
% AppData%
%Dati del programma%
% LocalAppData%

Posso trovare il file cifrati da CryptoWall 3.0?

I file crittografati da CryptoWall 3.0 saranno conservati insieme con i loro percorsi nel Registro di Windows. La posizione sottochiave è nel seguente formato:

HKCU \ Software \ [ID univoco del computer] \ [ID casuale]

Un esempio reale si presenta così:

HKCU \ Software \ 03DA0C0D2383CCC2BC8232DD0AAAD117 \ 01133428ABDEEEFF

Il processo sarà ripetuto per ogni file crittografato sotto la chiave menzionata.

ListCwall può essere utilizzato come bene. E ‘uno strumento creato da Bleeping computer per automatizzare il ritrovamento e l’esportazione dei file crittografati. Lo strumento può anche eseguire il backup dei file bloccati in un’altra posizione, nel caso in cui l’utente ha bisogno di archiviare le e riformattare il PC.

Inoltre, ecco un elenco di estensioni di file che CryptoWall 3.0 cerca di crittografare:

.3dm, .3ds, .3fr, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .DBA, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod,. bene, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, portafogli, .wotreplay, .xxx,. disc, .py, .m3u, .flv, js, css, .RB, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .NRW, .mrwref, .MEF, .erf, .kdc, .dcr , .CR2, .crw, .bay, .sr2, .srf, .arw, .3fr, .DNG, .3g2, .3gp, .3pr, .7z, .ab4, .accdb, sql, .mp4,. 7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb , .gho, .cas, SVG, .map, .wmo, .itm, .SB, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout,. DMP, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, Psd , dbf, mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, pst, .accdb, .mdb, pptm, pptx, ppt, .xlk, xlsb,. XLSM, .xlsx, .xls, wps, .docm, .docx, .doc, .odb, odc, .odm, .odp, .ods, .odt, .accde, .accdr, .accdt, .ach, .acr, .act, .adb

Rimuovere CryptoWall 3.0 e ripristinare i file crittografati

Seguire le istruzioni riportate di seguito per rimuovere tutte le tracce di questo ransomware. Tenete a mente che il modo migliore e più sicuro per farlo è quello di utilizzare un forte programma anti-malware.