"Atkosts" arī cryptolocker vīruss CryptoHost

[samurajs]

Labi, ka moderno kriptovīrusu autori reizēm pieļauj stulbas kļūdas. Tas palīdz vienam otram upurim izkļūt sveikā bez bitmonētu maksāšanas vai datu zaudēšanas. Viens no jaunākajiem kriptovīrusiem ir CryptoHost. Atšķirībā no citiem, šis kaitēklis neko nekriptē, bet gan pārvieto 34 nozīmīgākos failu tipus uz direktoriju C:Users[username]AppDataRoaming un tur samet RAR arhīvā ar paroli. Arhīva nosaukums ir SHA-1 hashsumma no CPU ID, HDD un mātesplates sērijas numuriem, un satur 41 simbolu bez faila paplašinājuma. Kad arhīvs gatavs, lietotājs saņem uzaicinājumu maksāt. CryptoHost nemaz nav attālinātā servera; vienkārši ik pēc laiciņa vīruss pats pārbauda vai ir samaksāts.

[img]https://notepad.lv/userpix/28_cryptohostoriginal_1.png[/img]

Atarhivēt pastrādātos nedarbus ir vienkāršāk par vienkāršu. RAR parole sastāv no faila nosaukuma (41 simbols) + lietotājvārds. Tātad manā gadījumā parole varētu būt A457FBABB0C4A40BBEF5A257FBCBB0C4A41BAEF58samurajs.

1. Apturam procesu Cryptohost.exe

[img]https://notepad.lv/userpix/28_endprocess_1.png[/img]

2. Ejam uz C:Users[username]AppDataRoaming un meklējam tur savus datus. Atarhivējam tos ar 7Zip. Kad prasīs paroli, ievadām kombināciju no faila nosaukuma un username (kā augstāk rakstīts). Kas ir īpaši slinks un grib visu gatavu – ir pieejams gatavs paroļu ģenerators. Kad atarhivēšanas process beidzies, atveram mapi un saturu iekopējam C:/ saknes katalogā. Faili ir atpakaļ. PROFIT!

3. Turpat C:Users[username]AppDataRoaming jābūt pašam kaitēklim Cryptohost.exe. Dzēšam to.

4. Apmeklējam sistēmas reģistru un nodzēšam pēdējās pēdas:

[img]https://notepad.lv/userpix/28_ran_1.jpg[/img]

CryptoHost darbības loģika ir tāda, ka to pamana jebkurš daudzmaz normāls antivīruss. Tātad ar kaitēkli inficējas tikai rūdīti antivīrusu noliedzēji.

Sīkāk

[akms47]

Žel, ka vēl nekā kas atšifrē Cryptowall. Varētu dažam murmulim palīdzēt atgūt bildes.

[Autors]

Ieraksti