• info@manhtu.com.vn
  • (083) 9350079 - Hotline: 0912 78 79 38
  • cuu du lieu cuu du lieu
Virus ma hoa du lieu cryptodefense va cryptolocker cach xu ly va thong tin can biet - Virus Mã hóa dữ liệu CryptoDefense và Cryptolocker. Cách xử lý và Thông tin cần biết | CứuDữLiệu.com

Tài liệu kỹ thuật

Virus Mã hóa dữ liệu CryptoDefense và Cryptolocker. Cách xử lý và Thông tin cần biết


Đây là bài viết được cuumaytinh dịch từ internet  với mục đích giúp mọi người có được thông tin thêm về loại virut cực kỳ nguy hiểm này.

Có rất nhiều khách hàng yêu cầu DRCare Recovery  xử lý dữ liệu này nhưng chúng tôi không muốn coi đây là một một cơ hội kiếm tiền . mà chúng tôi muốn hướng dẫn cho mọi người tự làm . Chúng tôi sẽ liên tục cập nhật thông tin mới tại trang web .! Hi vọng mọi người cảnh báo cho nhau về sự nguy hiểm của virut này .

Trong bài có một số tools có thể xử lý,giải mã được dữ liệu một số dòng virut.

Bài viết được lấy từ nguồn http://www.bleepingcomputer.com/virus-removal/cryptodefense-ransomware-informat

 

Mục lục

  1. Làm thế nào để được giúp đỡ với CryptoDefense
  2. CryptoDefense hoặc HOW_DECRYPT.txt ransomware là những gì
  3. Làm thế nào để giải mã các file mã hóa bằng CryptoDefense
  4. Làm thế nào để khôi phục lại các tập tin được mã hóa bằng cách sử dụng Emsisoft CryptoDefense Decryptor
  5. Làm thế nào để khôi phục lại các tập tin được mã hóa bằng cách sử dụng bản sao bóng CryptoDefense Khối lượng
  6. Thông tin về CryptoDefense Giải mã trang web dịch vụ phát triển phần mềm độc hại của
  7. Biết Bitcoin địa chỉ thanh toán cho CryptoDefense

 

 

Nếu máy tính của bạn đã bị nhiễm CryptoDefense có thể có một cơ hội để khôi phục lại các tập tin của bạn. Fabian Wosar của Emsisoft phát hiện ra một phương pháp cho phép bạn để giải mã các tập tin của bạn nếu bạn bị nhiễm bệnh trước ngày 01 tháng 4 năm 2014. Thật không may, điều này chỉ hoạt động cho 50% các trường hợp nhiễm trùng nhưng vẫn cung cấp một cơ hội tốt để nhận được các tập tin của bạn trở lại.

Để được hướng dẫn làm thế nào để làm điều này, xin vui lòng đọc phần này:

Làm thế nào để giải mã các file mã hóa bằng CryptoDefense

Nếu bạn cần trợ giúp với các hướng dẫn ở trên, xin vui lòng hỏi trongCryptoDefense Topic .

 

Làm thế nào để được giúp đỡ với CryptoDefense

Nếu bạn bị nhiễm với CryptoDefense, hoặc HOW_DECRYPT.txt, ransomware bạn có thể sử dụng hướng dẫn này để tìm hiểu thêm về sự lây nhiễm và những gì bạn có thể làm khi bạn đang bị nhiễm bệnh. Tại thời điểm này, có một phương pháp để giải mã các tập tin của bạn mà làm việc 50% thời gian. Để được hướng dẫn làm thế nào để giải mã các tập tin của bạn, xin vui lòng xem phần này . Tôi muốn cảm ơn Fabian Wosar, DecrypterFixer và Steven Wooton để được hỗ trợ có với thu thập thông tin về bệnh này.

Có một chủ đề hỗ trợ CryptoDefense hoạt động, trong đó có thảo luận và kinh nghiệm của một loạt các chuyên gia tư vấn CNTT, người dùng cuối, và công ty đã bị ảnh hưởng bởi CryptoDefense. Chủ đề này cũng chứa thông tin về làm thế nào để cố gắng khôi phục tập tin đã được mã hóa bằng CryptoDefense. Nếu bạn quan tâm đến bệnh này hoặc muốn đặt câu hỏi về nó, vui lòng truy cập này CryptoDefense hỗ trợ chủ đề . Một lần vào chủ đề này, và nếu bạn là một thành viên, bạn có thể đăng ký với nó để nhận thông báo khi có ai đó cho biết thêm thông tin đến chủ đề.

 

CryptoDefense hoặc How_Decrypt ransomware là những gì

CryptoDefense là một chương trình ransomware đã được phát hành vào khoảng cuối tháng 2 năm 2014 mà mục tiêu tất cả các phiên bản của Windows bao gồm Windows XP, Windows Vista, Windows 7 và Windows 8. Khi một máy tính bị nhiễm, nhiễm trùng sẽ thực hiện các bước sau:

  • Kết nối với máy chủ lệnh và kiểm soát tải lên và khóa riêng của bạn.
  • Xóa tất cả các bản sao bóng Khối lượng để bạn không thể khôi phục lại các tập tin của bạn hình thành Tập Shadow. Điều này có nghĩa bạn chỉ có thể khôi phục lại các tập tin của bạn bằng cách khôi phục từ bản sao lưu hoặc trả tiền chuộc. Trong một số trường hợp nhiễm trùng không đúng cách xóa các bản sao bóng, vì vậy bạn có thể muốn sử dụng các hướng dẫn dưới đây để xem bạn có thể khôi phục lại từ họ.
  • Quét máy tính của bạn và các tập tin mã hóa dữ liệu như các tập tin văn bản, file ảnh, file video, và các tài liệu văn phòng.
  • Tạo ra một ảnh chụp màn hình của màn hình hoạt động Windows của bạn và tải nó lên máy chủ Command & kiểm soát của họ. Ảnh chụp màn hình này sẽ được đưa vào trang thanh toán của bạn trên của họ Decrypt dịch vụ trang web, được giải thích thêm trong FAQ này.
  • Tạo ra một How_Decrypt.txt và How_Decrypt.html tập tin trong mỗi thư mục mà tập tin đã được mã hóa. Các tập tin HTML và TXT sẽ có hướng dẫn về cách truy cập một trang web thanh toán có thể được sử dụng để gửi các khoản tiền chuộc.
  • Tạo ra một khóa registry HKCU \ Software \ <unique id> \ và các cửa hàng thông tin cấu hình khác nhau trong đó. Nó cũng sẽ liệt kê tất cả các tập tin được mã hóa dưới HKCU \ Software \ <unique id> \ quan trọng được bảo vệ.

 

 

Ảnh chụp màn hình CryptoDefense
Ảnh chụp màn hình CryptoDefense 
Để biết thêm ảnh chụp màn hình của nhiễm trùng này click vào hình ảnh ở trên. 
Có tổng cộng 1 hình ảnh bạn có thể xem.

 

 

Trang web thanh toán này nằm trên Tor mạng và bạn chỉ có thể thực hiện thanh toán trong Bitcoins. Mặc dù nhiễm trùng này có nhiều điểm tương đồng với CryptoDefense hoặc CryptorBit , không có bằng chứng cho thấy chúng có liên quan. Để mua decryptor cho các tập tin của bạn, bạn cần phải trả một khoản tiền chuộc USD $ 500 trong Bitcoins. Nếu bạn không trả tiền chuộc trong vòng 4 ngày sẽ tăng gấp đôi đến $ 1,000 USD. Họ cũng nói rằng nếu bạn không mua một decryptor trong vòng một tháng, họ sẽ xóa khóa riêng của bạn và bạn sẽ không còn có thể giải mã các file của bạn.

Các tập tin được mã hóa bằng cách sử dụng mã hóa RSA-2048, mà làm cho họ không thể giải mã thông qua các phương pháp bạo lực. Vào đầu của mỗi tập tin được mật mã có hai chuỗi văn bản. Các chuỗi đầu tiên được! Crypted! Và chuỗi thứ hai là một định danh duy nhất cho các máy tính bị nhiễm. Một định danh ví dụ là 18177F25DA00CD4CBC3D1b8B9F55F018. Tất cả các file mã hóa trên cùng một máy tính sẽ có các định danh duy nhất giống nhau. Định danh này có lẽ được sử dụng bởi các trang web Decrypt dịch vụ để xác định các khóa riêng có thể được sử dụng để giải mã các tập tin khi thực hiện một thử nghiệm giải mã. Bạn có thể thấy những chuỗi văn bản trong một trình soạn thảo hex như hình dưới đây:

Hex Editor hiện mã hóa tập tin

Dựa trên nghiên cứu thực hiện bởi DecrypterFixer , có vẻ như nhiễm trùng này được cài đặt thông qua các chương trình mà giả vờ là flash cập nhật hoặc chơi video cần thiết để xem video trực tuyến. Khi các tải đang chạy, rất nhiều phần mềm quảng cáo sẽ được cài đặt cùng với CryptoDefense. Từ ảnh chụp màn hình của máy tính bị nhiễm khác, nó cũng không phải là không phổ biến cho máy tính bị nhiễm để cũng cóCryptoDefense hoặc CryptorBit cài đặt trên họ là tốt.

 

Làm thế nào để giải mã các file mã hóa bằng CryptoDefense

Nếu bạn đã bị nhiễm bởi CryptoDefense trên ngày 01 tháng 4 năm 2014 hoặc trước, sau đó có một cơ hội bạn có thể khôi phục lại chìa khóa giải mã có thể được sử dụng để giải mã các tập tin của bạn. Điều này là do các nhà phát triển phần mềm độc hại đã có một lỗ hổng trong chương trình CryptoDefense mà để lại chìa khóa giải mã công cộng. Fabian Wosar của Emsisoft phát hiện ra lỗ hổng này và đã tạo ra một Decrypter có tiềm năng có thể lấy chìa khóa và giải mã tập tin của bạn. Fabian, và những người khác, sau đó được giúp đỡ nạn nhân tư nhân về cách sử dụng công cụ này để các nhà phát triển phần mềm độc hại sẽ không biết làm thế nào để sửa chữa lỗ hổng trong chương trình của họ. Thật không may, Symantec đã quyết định viết blog về lỗ hổng này, thay vì giữ nó yên tĩnh, dẫn các nhà phát triển phần mềm độc hại để cập nhật CryptoDefense do đó, nó không còn để lại chìa khóa. Theo tôi, điều này là vô trách nhiệm như Symantec đã chọn công khai trên giúp các nạn nhân.

Với điều này cho biết, nếu bạn bị nhiễm CryptoDefense trước ngày 01 Tháng Tư năm 2014, bạn nên đọc phần sau đây để cố gắng để lấy chìa khóa của bạn và giải mã tập tin của bạn:

Làm thế nào để khôi phục lại các tập tin được mã hóa bằng cách sử dụng Emsisoft CryptoDefense Decryptor

Nếu công cụ của Emsisoft là không thể lấy chìa khóa giải mã của bạn, sau đó chỉ phương pháp khác của bạn là để thử và khôi phục từ một bản sao bóng. Như CryptoDefense cố gắng để xóa các bản sao bóng của bạn khi nó được cài đặt này có thể không làm việc, hoặc. Xin lưu ý rằng Shadow Copies Khối lượng chỉ có sẵn với Windows XP Service Pack 2, Windows Vista, Windows 7, và Windows 8.

Làm thế nào để khôi phục lại các tập tin được mã hóa bằng cách sử dụng bản sao bóng CryptoDefense Khối lượng

Thật không may, nếu không có phương pháp trên làm việc, lựa chọn duy nhất của bạn sẽ được khôi phục lại từ một sao lưu có sẵn.

 

Làm thế nào để khôi phục lại các tập tin được mã hóa bằng cách sử dụng Emsisoft CryptoDefense Decryptor

Nếu bạn đã bị nhiễm bệnh trước ngày 01 tháng 4 năm 2014 sau đó bạn có thể đã bị nhiễm một biến thể nhầm lẫn lại chìa khóa giải mã tin sau trên máy tính. Để bắt đầu xin vui lòng tải decrypt_cryptodefense.zip từ URL sau đây và lưu nó vào máy tính để bàn của bạn.

http://tmp.emsisoft.com/fw/decrypt_cryptodefense.zip

Một khi tập tin đã được tải về, nhấp chuột phải vào file và chọn Extract All …. Một hướng dẫn khai thác sẽ mở ra sẽ hướng dẫn bạn thông qua quá trình mã hóa. Nếu bạn để lại tất cả các điểm kiểm tra đã kiểm tra trong các hướng dẫn khai thác, thư mục trích xuất sẽ tự động mở.

Bên trong thư mục, bạn sẽ thấy hai tập tin. Một tập tin là một công cụ gọi là CryptoOffence (CryptoOffense.exe) có thể được sử dụng để trích xuất các khóa giải mã vào một tập tin gọi là secret.key. Bạn chỉ cần sử dụng tập tin này nếu bạn muốn giải mã các file mã hóa bằng cách sử dụng một máy tính khác nhau. Để biết thêm thông tin về cách sử dụng công cụ này, xin vui lòng xem Làm thế nào để xuất khẩu quan trọng của bạn và giải mã từ một máy tính khác dưới đây.

Thư mục cũng có một công cụ gọi là decrypt_cryptodefense.exe. Chương trình này là một Decrypter CryptoDefense rằng chúng tôi sẽ được sử dụng để tự động trích xuất các khóa mã hóa từ máy tính của bạn và giải mã tập tin của bạn. Nếu bạn đang đăng nhập vào máy tính bị nhiễm như người sử dụng bị nhiễm bệnh, xin vui lòng bấm đúp chuột vào tập tin decrypt_cryptodefense.exe để khởi động công cụ Emsisoft CryptoDefense Decrypter. Khi bạn chạy tập tin này, nếu nó được phát hiện bởi phần mềm chống virus của bạn, hãy nghỉ yên tâm rằng tập tin là vô hại. Bạn có thể danh sách trắng các tập tin trong phần mềm chống virus của bạn hoặc vô hiệu hóa hệ thống chống virus của bạn cho thời gian của giải mã. Để được hướng dẫn làm thế nào để làm điều đó, xin vui lòng tham khảo hướng dẫn của phần mềm chống virus của bạn.

Các Emsisoft CryptoDefense Decrypter sẽ được đưa ra và bạn sẽ được hiển thị một màn hình tương tự như dưới đây.

 

Emsisoft Decrypter

 

Chương trình này đệ quy sẽ quét tất cả các thư mục được bổ sung cho các tập tin được mã hóa. Khi bạn đã sẵn sàng để bắt đầu quá trình giải mã chỉ cần nhấp vào nút Decrypt.

Emsisoft bây giờ sẽ cố gắng để trích xuất các khóa giải mã từ đăng nhập tài khoản. Nếu một phím được phát hiện, bạn sẽ thấy thông báo sau trong nhật ký:

Nạp khóa riêng từ lưu trữ quan trọng của người dùng hiện tại!

Nếu một phím được phát hiện nó sẽ tự động bắt đầu để giải mã các tập tin được mã hóa trên máy tính của bạn. Quá trình này có thể mất nhiều thời gian, vì vậy hãy kiên nhẫn trong khi nó xử lý các tập tin của bạn. Trong khi các chương trình giải mã các tập tin của bạn, nó có thể xuất hiện để treo trên một tập tin cụ thể và chương trình sẽ xuất hiện để không trả lời. Điều này là bình thường và khi nó đã hoàn tất giải mã các tập tin nó sẽ bắt đầu trả lời một lần nữa.

Khi bạn chạy decrypt_cryptodefense.exe, nếu không thể trích xuất các chính nó sẽ hiển thị cảnh báo dưới đây và tiếc là không có khả năng giải mã các file của bạn.

Không tìm thấy chính Báo

Nếu chương trình đã có thể phục hồi và tải các khóa, nhưng bạn nhận được lỗi mà nhà nước tập tin không thể Decrypter đúng. Bỏ qua …sau đó chìa khóa của bạn có thể đã bị ghi đè. Ví dụ về điều này xảy ra có thể được nhìn thấy trong hình dưới đây.

 

Emsisoft Decrypter

 

Trong trường hợp này chúng ta có một cơ hội cuối cùng của thể phục hồi chìa khóa giải mã của bạn. Chìa khóa giải mã được lưu trữ trong thư mục% appdata% \ Microsoft thư mục \ Crypto \ RSA. Nếu bản sao Volume Shadow của bạn còn nguyên vẹn, bạn có thể khôi phục lại thư mục đó để một phiên bản trước với hy vọng rằng bạn sẽ được khôi phục lại quan trọng được mã hóa các tập tin của bạn. Sau đó bạn có thể chạy các chương trình decrypt_cryptodefense.exe một lần nữa và xem nó có thể tải các khóa đúng và giải mã tập tin của bạn.

Trước khi bạn khôi phục lại thư mục RSA của bạn đó là mạnh mẽ đề nghị bạn sao lưu% appdata% \ Microsoft thư mục \ Crypto \ RSA của bạn. Ngoài ra nếu bạn đang sử dụng EFS, sau đó cẩn thận với khôi phục thư mục RSA của bạn. Ở một mức tối thiểu bạn phải sao lưu giấy chứng nhận của bạn bằng cách sử dụng các hướng dẫn trong này tài liệu Microsoft .

Để tìm hiểu làm thế nào để khôi phục lại các thư mục RSA từ bản sao bóng Khối lượng bạn có thể đọc phần này:

Làm thế nào để khôi phục lại các tập tin được mã hóa bằng cách sử dụng bản sao bóng CryptoDefense Khối lượng

Nếu bạn chạy vào bất kỳ vấn đề hoặc không cảm thấy hoàn toàn thoải mái theo các hướng dẫn trên của riêng bạn, xin vui lòng yêu cầu hướng dẫn ở những CryptoDefense Topic .

Làm thế nào để xuất khẩu quan trọng của bạn và giải mã từ một máy tính khác

Nếu bạn muốn giải mã các file được mã hóa từ một máy tính khác, bạn sẽ cần phải thực hiện một số bước bổ sung. Như decrypt_cryptodefense.exe sẽ cố gắng để tự động lấy chìa khóa từ máy tính bị nhiễm, điều này rõ ràng sẽ không làm việc nếu bạn chạy chương trình từ một máy tính khác nhau. Thay vì đầu tiên bạn sẽ cần phải xuất khẩu các khóa giải mã trên máy tính bị nhiễm như là một tập tin gọi là secret.key và sau đó sao chép nó vào máy tính mà muốn thực hiện giải mã.

Để làm điều này, sao chép các tập tin CryptoOffense.exe từ decrypt_cryptodefense.zip tập tin vào máy tính bị nhiễm. Khi đăng nhập như người sử dụng bị nhiễm bệnh, chạy chương trình CryptoOffense.exe. Nếu mọi thứ hoạt động, bạn sẽ thấy đầu ra như thế này:

CryptoOffense v1.0 – Một dumper CryptoDefense khóa riêng – Sử dụng có nguy cơ của riêng bạn!
Được viết bởi Fabian Wosar – Emsisoft GmbH – [url = http://www.emsisoft.com] http://www.emsisoft.com [/ url]Tìm thấy một đặc điểm phù hợp với CryptoDefense quan trọng! (2048, Không xuất khẩu)
Lực lượng xuất khẩu chính 0x00169C18 nộp secret.key …
Vá CryptoAPI … thành công!
Viết 1.176 byte nộp secret.key … thành công!Bấm phím bất kỳ để đóng ứng dụng …

Bây giờ bạn sẽ tìm thấy một tập tin mới có tên là “secret.key” trong cùng thư mục với chương trình CryptoOffense.exe bạn chỉ cần chạy.Sau đó bạn có thể sao chép tập tin vào máy tính secret.key giải mã của bạn và đặt nó trong cùng thư mục với các công cụ decrypt_cryptodefense.exe. Bây giờ khi bạn chạy decrypt_cryptodefense.exe trên máy tính giải mã nó sẽ tự động tải các secret.key và cho phép bạn để giải mã các tập tin.

 

Làm thế nào để khôi phục lại các tập tin được mã hóa bằng cách sử dụng bản sao bóng CryptoDefense Khối lượng

Nếu bạn đã Khôi phục hệ thống được kích hoạt trên máy tính, Windows sẽ tạo ra bức ảnh chụp bản sao bóng tối có chứa bản sao của tập tin của bạn từ thời điểm đó khi khôi phục hệ thống ảnh chụp được tạo ra. Những bức ảnh chụp có thể cho phép chúng ta khôi phục lại một phiên bản trước của tập tin của chúng tôi từ trước khi họ đã được mã hóa. Phương pháp này không được đánh lừa bằng chứng, mặc dù, như là mặc dù những tập tin này có thể không được mã hóa họ cũng có thể không phải là phiên bản mới nhất của tập tin. Ngoài ra, CryptoDefense cố gắng để xóa các bản sao bóng, vì vậy họ có thể không chứa các tài liệu của bạn sau khi bạn bị nhiễm trùng. Xin lưu ý rằng Shadow Copies Khối lượng chỉ có sẵn với Windows XP Service Pack 2, Windows Vista, Windows 7, và Windows 8.

Lưu ý: phiên bản mới hơn của CryptoDefense sẽ cố gắng để xóa tất cả các bản sao bóng tối khi bạn bắt đầu bất kỳ thực thi trên máy tính của bạn sau khi bị nhiễm. Rất may, nhiễm trùng không phải là luôn luôn có thể loại bỏ các bản sao bóng tối, vì vậy bạn nên tiếp tục cố gắng khôi phục lại các tập tin bằng cách sử dụng phương pháp này.

Trong phần này chúng tôi cung cấp hai phương pháp mà bạn có thể sử dụng để khôi phục lại các tập tin và thư mục từ Sao chép Bóng Khối lượng. Phương pháp đầu tiên là sử dụng tính năng Windows bản địa và phương pháp thứ hai là sử dụng một chương trình gọi là Shadow Explorer. Nó không làm tổn thương để thử cả hai và xem những phương pháp làm việc tốt hơn cho bạn.

Sử dụng bản Windows các phiên bản trước:

Để khôi phục lại các tập tin cá nhân, bạn có thể nhấp chuột phải vào tập tin, đi vào Properties và chọn tab Previous Versions. Tab này sẽ liệt kê tất cả các bản sao của tập tin đã được lưu trữ trong một bóng Khối lượng Sao chép và ngày họ đã được sao lưu như thể hiện trong hình dưới đây.

 

Phiên bản trước Tab cho một tập tin

 

Để khôi phục lại một phiên bản đặc biệt của tập tin, chỉ cần nhấp vào nút Copy và sau đó chọn thư mục bạn muốn khôi phục lại các tập tin.Nếu bạn muốn khôi phục lại các tập tin được lựa chọn và thay thế một hiện có, nhấp vào nút Restore. Nếu bạn muốn xem nội dung của tập tin thực tế, bạn có thể nhấp vào nút Open để xem nội dung của tập tin trước khi bạn khôi phục lại nó.

Phương pháp này tương tự có thể được sử dụng để khôi phục lại toàn bộ thư mục. Đơn giản chỉ cần nhấp chuột phải vào thư mục và chọnProperties và sau đó là tab Previous Versions. Sau đó bạn sẽ được trình bày với một màn hình tương tự như ở trên, nơi bạn có thể sao lưu đã chọn Sao chép của thư mục đến vị trí mới hoặc khôi phục nó trong thư mục hiện có.
Sử dụng bóng Explorer:

Bạn cũng có thể sử dụng một chương trình gọi là bóng Explorer để khôi phục lại toàn bộ thư mục cùng một lúc. Khi tải về chương trình, bạn có thể sử dụng cài đặt tải đầy đủ hoặc phiên bản di động khi cả hai thực hiện các chức năng tương tự.

Khi bạn khởi động chương trình bạn sẽ được hiển thị một màn hình liệt kê tất cả các ổ đĩa và các ngày mà một bản sao bóng được tạo ra.Chọn ổ đĩa (mũi tên màu xanh) và ngày (mũi tên màu đỏ) mà bạn muốn khôi phục lại từ. Điều này được thể hiện trong hình dưới đây.

Khôi phục những file với Shadow Explorer

Để khôi phục lại toàn bộ thư mục, nhấn chuột phải vào tên thư mục và chọn Export. Sau đó bạn sẽ được nhắc nhở như là nơi bạn muốn khôi phục lại nội dung của thư mục.

 

Thông tin về CryptoDefense Decryptor trang web phát triển phần mềm độc hại của

Khi bạn bị nhiễm CryptoDefense, nhiễm trùng sẽ tạo ra How_Decrypt.txt và How_Decrypt.html các tập tin có chứa thông tin về làm thế nào để trả tiền chuộc. Dưới đây là nội dung của các tin nhắn How_Decrypt.txt và How_Decrypt.html:

How_Decrypt.txt:

Tất cả các file bao gồm video, hình ảnh và tài liệu về máy tính của bạn được mã hóa bởi CryptoDefense phần mềm.

Mã hóa được sản xuất bằng cách sử dụng một khóa công khai RSA-2048 độc đáo tạo ra cho máy tính này. Để giải mã tập tin bạn cần để có được khóa riêng.

Các bản sao của khóa riêng, mà sẽ cho phép bạn để giải mã các tập tin nằm trên máy chủ bí mật trên Internet;
máy chủ sẽ phá hủy khóa sau một tháng. Sau đó, không ai và không bao giờ có thể khôi phục tập tin.

Để giải mã các tập tin, mở trang cá nhân của bạn trên trang web https://rj2bocejarqnpuhm.onion.to/XXX và làm theo hướng dẫn.

Nếu https://rj2bocejarqnpuhm.onion.to/XXX không mở, hãy làm theo các bước dưới đây:

1. Bạn phải tải về và cài đặt trình duyệt này http://www.torproject.org/projects/torbrowser.html.en
2. Sau khi cài đặt, chạy trình duyệt và nhập vào địa chỉ: rj2bocejarqnpuhm.onion/XXX
3. Thực hiện theo các hướng dẫn trên trang web. Chúng tôi nhắc nhở bạn rằng các bạn sớm làm, cơ hội nhiều hơn là trái để phục hồi các tập tin.

THÔNG TIN QUAN TRỌNG:

TRANG cá nhân của bạn: https://rj2bocejarqnpuhm.onion.to/XXX
TRANG cá nhân của bạn (sử dụng TorBrowser): rj2bocejarqnpuhm.onion/XXX
Mã cá nhân của bạn (nếu bạn mở trang web trực tiếp): XXX

How_Decrypt.html

How_Decrypt.Html tập tin
Nhấp chuột vào hình trên để xem kích thước đầy đủ và hình ảnh liên quan khác.

Các hướng dẫn cho các nạn nhân rằng để trả món tiền chuộc họ cần phải đi đến một trang web Decrypt Dịch vụ đặc biệt, nơi họ có thể nhập mã số cá nhân của họ và truy cập trang thanh toán họ. Trang web này có thể được truy cập thông qua Tor địa chỉrj2bocejarqnpuhm.onion hoặc thông qua https://rj2bocejarqnpuhm.onion.to sử dụng một trình duyệt bình thường. Khi người dùng truy cập các trang web Decrypt dịch vụ họ sẽ được trình bày với một trang có chứa thông tin về bao nhiêu họ cần phải trả tiền để mua các chương trình giải mã. Các trang web cũng sẽ có một câu hỏi thường gặp, một trang hiển thị ảnh chụp màn hình của màn hình hoạt động Windows của bạn từ khi bạn trở thành bị nhiễm bệnh, và một trang nơi bạn có thể thực hiện giải mã thử nghiệm trên một tập tin.

CryptoDefense Giải mã trang web dịch vụ
Nhấp chuột vào hình trên để xem kích thước đầy đủ và hình ảnh liên quan khác.

Để trả tiền chuộc, bạn sẽ cần phải gửi Bitcoins yêu cầu đến địa chỉ Bitcoin được liệt kê. Một khi bạn gửi Bitcoins sau đó bạn cần phải gửi ID giao dịch trên trang web của họ và nhấp vào nút trả tiền. Sau khi giao dịch đã được xác minh, bạn sẽ nhận được một liên kết mà bạn có thể tải về các decryptor, được thể hiện dưới đây.

 

CryptoDefense Decryptor

 

Khi bạn chạy decryptor nó sẽ đọc registry để tìm các tập tin cần phải được giải mã. Nếu các mục đăng ký không tồn tại nó sẽ nhắc bạn chỉ định một thư mục để quét cho các tập tin được mã hóa.

 

Biết Bitcoin địa chỉ thanh toán cho CryptoDefense

CryptoDefense cho phép bạn chỉ phải trả tiền chuộc bằng cách gửi Bitcoins đến một địa chỉ hiển thị trong trang CryptoDefense Giải mã dịch vụ. Bitcoins hiện có giá trị trên $ 600 USD trên một số Bitcoins sàn. Các địa chỉ Bitcoin được sử dụng bởi CryptoDefense nhận thanh toán là:

https://blockchain.info/address/19DyWHtgLgDKgEeoKjfpCJJ9WU8SQ3gr27

Bạn có thể sử dụng các liên kết ở trên để xem các giao dịch vào ví và ra khỏi ví. Bạn thường có thể cho biết các khoản thanh toán đến địa chỉ này là từ các nạn nhân đòi tiền chuộc như sẽ có nhiều khoản thanh toán với số tiền tương tự.

 

Phân loại mối đe dọa:

 

Thông tin chi tiết:

Xem các tập tin CryptoDefense.
Xem CryptoDefense Registry Thông tin.

 

Hướng dẫn cập nhật:

03/19/14 – ban đầu dẫn tạo 
03/19/14 – Nhập thông tin bổ sung. 
03/19/14 – Thông tin cập nhật về Shadow Copies Khối lượng bị xóa. 
04/01/14 – Thêm thông tin về phương pháp giải mã. 
04/04/14 – Thêm chi tiết về possibles phương pháp để giải mã tập tin.

 


 

Liên CryptoDefense Files:

% UserProfile% \ Desktop \ HOW_DECRYPT.HTML
% UserProfile% \ Desktop \ HOW_DECRYPT.TXT
% UserProfile% \ Desktop \ HOW_DECRYPT.URLĐịa chỉ nộp Ghi chú:

% UserProfile% đề cập đến thư mục hồ sơ của người dùng hiện hành. Theo mặc định là C: \ Documents and Settings \ <Current User> cho Windows 2000/XP, C: \ Users \ <Current User> cho Windows Vista/7/8, và c: \ winnt \ profiles \ <Current User > cho Windows NT.

 

Thông tin liên quan CryptoDefense Windows Registry:

HKEY_CURRENT_USER \ Software \ <unique id>
HKEY_CURRENT_USER \ Software \ <unique id> \ BẢO
HKEY_CURRENT_USER \ Software \ <unique id> “kết thúc” = “1″

 



Các tài liệu khác