1 of 3
Veszély szintje 9
Típus: Trójai programok
Általános fertőzésre utaló jelek:
  • A Vezérlőpulton keresztül nem lehet törölni
  • Engedély nélküli telepítés
  • A rendszer összeomlik

CryptoJoker Ransomware

A CryptoJoker Ransomware biztos, hogy nem az a fertőzés, amit figyelmen kívül hagyhatna, vagy komolytalanul vehetne. Ehelyett, inkább lehet ez a legrosszabb rémálma. Bár úgy tűnik, hogy ez a Trójai még nem terjedt el széles körben, de az biztos, hogy több szeletét ki fogja idővel tenni a kártevő fertőzések "tortájának". A lényegen persze nem változtat, hogy jelenleg éppen mennyire "népszerű", akkor is tudnia kell, hogy ez egy komoly és veszélyes fenyegetés az Ön operációs rendszerére és a saját személyes fájljaira nézve. Ha ez a kártevő fertőzés felkúszik a fedélzetre és beteljesíti misszióját, valószínűleg búcsút mondhat minden dokumentumának, képeinek és adatbázisainak, melyeket egyetlen perc alatt titkosításra kerülhetnek, hacsak Ön nem egy biztonságra törekvő felhasználó, aki folyamatosan biztonsági másolatokat készít a fájljairól egy külső meghajtóra. Ez az egyetlen módja, hogy visszaállíthassa a fájlokat, mert még ha ki is fizetné a váltságdíjat, amit ez a Trójai megpróbál kicsikarni Öntől, az sem biztos, hogy segíteni fog. Ha nem távolítja el a CryptoJoker Ransomware-t azonnal, akkor nem csak a fájlokat fogja elveszíteni, de lehet, hogy a számítógépét sem fogja tudni újra használni.

Egy PDF fájlként álcázza magát ennek a Trójainak a telepítője. Ezért, vélhetően főként spam e-mailekben terjed. A Trójai programok fertőzésének elkerülése érdekében, az egyik legfontosabb szabály, hogy soha ne nyisson meg ismeretlen leveleket, és soha ne kattintson linkekre és csatolmányokra még ismerős vagy hivatalosnak tűnő levelekben sem -- hacsak nem számít azokra -- mert a spam levelek bárki nevében jöhetnek, akár hivatalosnak tűnő intézmények nevében is. Az egész a megtévesztésről szól természetesen. A beérkező levelek listáján (inbox) végigmenve, talán nem is gondolja meg kétszer, hogy megnyissa a leveleket, melyek például egy közismert vagy a saját internetszolgáltatójától jönnek. Nyilvánvalóan, az internetes bűnözők kifinomult technikákat használnak, hogy biztosak lehessenek abban, hogy Ön rákattint a levelekben levő linkekre vagy a csatolt fájlokra; ez esetben a .pdf dokumentumra. De amint egyet kattint, nincs visszaút; a Trójai az Ön számítógépén landol, és azonnal elkezdi piszkos dolgát. Az egyetlen módja, hogy ezt megakadályozhassa az, ha van egy megbízható és korszerű kártevő eltávolító eszköze, ami a háttérben fut.

Ez a Trójai fertőzés jó néhány fájlt használ, hogy feladatát véghezvigye. Először is, létrehozza vagy letölti a következő szöveges fájlokat az Ön asztalára: GET MY FILES.txt, READ NOW.txt, read this file.txt, READ.txt, README!!!.txt, readme.txt, DECRYPT FILES.txt, ПРОЧТИ.txt és РАСШИФРОВАТЬ ФАЙЛЫ.txt. Ezek főként a váltságdíj üzenet szövegét tartalmazzák angol és orosz nyelven, valamint a megcélzott kiterjesztéseket. A %Temp% könyvtárban szintén létrehozza a következő fájlokat: drvpci.exe, windefrag.exe, windrv.exe, winpnp.exe, crjoker.html, GetYouFiles.txt, imgdesktop.exe, README!!!.txt, és new.bat. Ezek után ez a kártevő a következő rendszerleíró-adatbázis (registry) bejegyzéseket hozza létre, hogy a drvpci.exe, windefrag.exe, és winpnp.exe futtatható fájlok automatikusan indulhassanak a Windows indulásakor:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  • drvpci “C:\Users\user\AppData\Local\Temp\drvpci.exe”
  • windefrag “C:\Users\user\AppData\Local\Temp\windefrag.exe”
  • winpnp “C:\Users\user\AppData\Local\Temp\winpnp.exe”

Ezeken a fájlokon kívül, még két fájlt létrehoz az %Appdata% könyvtárban, a baefefbed.exe fájlt, amely egy véletlenszerűen generált név, és a README!!!.txt22 nevű fájlt. A következő registry kulcsot adja hozzá az adatbázishoz ez a Trójai: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run baefefbed “C:\Users\user\AppData\Roaming\baefefbed.exe.” Ezek az előzőekben említett fájlok mind különféle feladatokat hajtanak végre, mint például információ küldése a C&C (irányító) szervernek, minden Feladatkezelői és Registry szerkesztői folyamat ellenőrzése és bezárása, és így tovább.

Úgy találtuk, hogy a CryptoJoker Ransomware a következő dokumentum, kép és adatbázis kiterjesztéseket támadja: .txt, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .jpg, .png, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .xml, .psd, .java, .jpeg, .pptm, .pptx, .xlsb, .xlsm, .db, .docm, .sql, .pdf. Amikor ez a váltságdíj-program elkezdi az Ön fájljainak a titkosítását, az Ön összes elérhető meghajtóját végigellenőrzi, beleértve a hálózati meghajtókat, hogy a megcélzott kiterjesztéseket felkutassa. Amikor egy fájl titkosításra került, ez a kártevő egy .crjoker kiterjesztést csatol a fájl nevéhez, pl.: myphoto.jpg.crjoker. Ez a Trójai fertőzés az AES-256 titkosítási rendszert használja az Ön fájljainak a titkosítására, amely egy beépített titkosítási rendszer a Windows-ban, ezért az egész folyamat valószínű, nem fog tovább tartani egyetlen percnél. Tehát, láthatja, hogy a fertőzés eltávolítása a feladatának befejezése előtt gyakorlatilag lehetetlen, hacsak nem rendelkezik varázserővel, és milliszekundumok alatt tud reagálni, miután felfedezi, hogy nem tudja elérni a fájljait, vagy, hogy a kiterjesztéseik megváltoztak az engedélye nélkül.

Amikor ez a váltságdíj-program befejezi pusztító ámokfutását az elérhető meghajtókon, egy kis ablakot jelenít meg az asztalon, minden aktív ablak felé helyezve, angol és orosz instrukciókkal ellátva. Ez a fertőzés arról is gondoskodik, hogy ne tudja futtatni a Feladatkezelőt és a Beállításszerkesztőt saját védelme érdekében. Egy batch fájlt is lefuttat (new.bat), amely az árnyékfájlokat távolítja el, hogy ezeket a fájlokat ne lehessen automatikusan kijavítani. A váltságdíj üzenet informálja Önt arról, hogy küldenie kell egy e-mailt a fizetési instrukciók végett, a következő címek egyikére: file987@sigaint.org, file9876@openmail.cc, vagy file987@tutanota.com.

Bár a váltságdíj üzenet azt állítja, hogy a fájljait az RSA-2048 rendszerrel titkosította, valójában, csupán az Ön személyes kódját titkosította a fertőzés ezzel a módszerrel, amit az e-mailben kell elküldenie. 72 órája van, hogy átutalja ezeknek a bűnözőknek a pénzt, különben megnövelik a díjat. Arról is értesítik Önt, hogy ne próbáljon a fertőzéssel és a fájljaival "játszani", mert annak pótolhatatlan adatvesztés lesz az eredménye. Természetesen, nincs arra garancia, hogy megkapja valóban az ígért kulcsot és a dekódolót; soha sincs. Ez az, amikor nagyon jól jönnek a biztonsági másolatok. Ha egy külső merevlemezre vagy pendrive-ra menti a személyes fájljait, akkor azokat bármikor visszamásolhatja a gépére. Azonban, fontos, hogy meggyőződjön előtte arról, hogy a rendszere teljesen biztonságos. Ezért, azt javasoljuk, hogy törölje a CryptoJoker Ransomware-t amint csak lehet, és azután elkezdheti a fájlok visszaállítását.

Ha nem rendelkezik a fájlok biztonsági másolatával, akkor sajnos semmiféle jelenleg elérhető eszközzel nem fogja tudni dekódolni azokat. Lehetséges, hogy a jövőben, amikor ez a váltságdíj-program több számítógépet is megfertőz, és a szakemberek találnak rá módot, hogy a fájlokat dekódolják, lesznek majd ingyenes eszközök erre az interneten. De addig is, nem tehet mást, mint hogy megtisztítja a rendszerét ettől a veszélyes betolakodótól.

Az egyetlen módja a CryptoJoker Ransomware kiiktatásának az, hogy a számítógép újraindítása után a "Csökkentett mód hálózattal" opciót (Safe Mode with Networking) választja bootoláskor. Azután, eltávolíthatja a fertőzés által létrehozott fájlokat és registry kulcsokat. De mielőtt ezt megtenné, győződjön meg arról, hogy láthatóak az Intézőben a rejtett fájlok és mappák, különben nem fogja megtalálni az %Appdata% könyvtárat. Azonban, ha azt tervezi, hogy mégis kifizeti a váltságdíjat, akkor ne törölje le az asztalra létrehozott szöveges fájlokat, mert azok tartalmazzák az utasításokat, az Ön egyedi titkosított kódját és az e-mail címeket, amelyek szükségesek. Kérjük, kövesse nagyon figyelmesen az alábbi instrukcióinkat, mert ha véletlenül nem a megfelelő registry kulcsokat törli, akkor többet árthat a rendszerének, mint gondolná. Valójában, a kézi eltávolítást főként a tapasztalt felhasználóknak javasoljuk, akik tisztában vannak ennek veszélyeivel. A biztonságosabb és hatékonyabb törlés érdekében, azt ajánljuk, használjon professzionális kártevő eltávolító eszközt.

Hogyan indítsa a gépét Csökkentett módban hálózattal

Windows 8, Windows 8.1, és Windows 10

  1. Nyomja le a Win+I kombinációt, és kattintson a Főkapcsoló (Power) ikonra.
  2. Nyomja le és tartsa úgy a Shift billentyűt, kattintson az Újraindításra.
  3. Válassza a Hibaelhárítás (Troubleshoot) opciót, majd a Speciális lehetőségeket (Advanced Options).
  4. Válassza az Indítási beállítások (Startup Settings) opciót.
  5. Kattintson az Újraindításra.
  6. Nyomja le az F5 billentyűt a számítógép Csökkentett módban hálózattal való indításához (Safe Mode with Networking).

Windows XP, Windows Vista, és Windows 7

  1. Indítsa újra a számítógépét, és nyomja le az F8 billentyűt.
  2. Válassza a Csökkentett mód hálózattal (Safe Mode with Networking) opciót a menüből, és nyomjon Entert.

Rejtett elemek megjelenítése a Windows intézőben

Windows 8, Windows 8.1, és Windows 10

  1. Nyomja le a Win+E kombinációt.
  2. Válassza a Nézet menüt, és pipálja ki a Rejtett elemek négyzetet.

Windows Vista és Windows 7

  1. Nyomja le a Win+E kombinációt.
  2. Kattintson a Rendezés gombra, és válassza a Mappa és keresés beállításai menüpontot.
  3. Válassza a Nézet fület.
  4. Válassza a Rejtett fájlok és mappák megjelenítését.
  5. Kattintson az OK gombra.

Windows XP

  1. Nyomja le a Win+E kombinációt, és menjen az Eszközök menübe.
  2. Válassza a Mappa beállításai pontot.
  3. Kattintson a Nézet fülre.
  4. Válassza a Rejtett fájlok és mappák megjelenítését.
  5. Kattintson az OK gombra.

A CryptoJoker Ransomware eltávolítása

  1. Nyomja le a Win+E kombinációt, és keresse meg a C:\Users\user\AppData\Local\Temp könyvtárat.
  2. Találja meg és törölje a következő fájlokat: drvpci.exe, windefrag.exe, windrv.exe, winpnp.exe, crjoker.html, GetYouFiles.txt, imgdesktop.exe, README!!!.txt, és new.bat.
  3. Találja meg a C:\Users\user\AppData\Roaming mappát.
  4. Találja meg és törölje a következő fájlokat: baefefbed.exe és README!!!.txt22.
  5. Nyomja le a Win+R kombinációt, és írja be a mezőbe, hogy regedit. Kattintson az OK gombra.
  6. Találja meg és törölje a következő registry bejegyzéseket:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    \drvpci “C:\Users\user\AppData\Local\Temp\drvpci.exe”
    \windefrag “C:\Users\user\AppData\Local\Temp\windefrag.exe”
    \winpnp “C:\Users\user\AppData\Local\Temp\winpnp.exe”
  7. Találja meg és távolítsa el a következő registry bejegyzést:
    HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
    \baefefbed “C:\Users\user\AppData\Roaming\baefefbed.exe.”
  8. Indítsa újra az operációs rendszerét.
Töltse le a Kémprogram Eltávolító eszközt, hogy eltávolítsa ezt:* CryptoJoker Ransomware
  • Gyors & tesztelt megoldás a(z) CryptoJoker Ransomware eltávolításához.
  • 100% Ingyenes ellenőrzés Windows-ra
disclaimer
Disclaimer

Hozzászólások

  1. Gerrie Apr 18, 2016

    That's a genuinely imivesspre answer.

  2. Flip Apr 18, 2016

    Always the best content from these

  3. Judith Apr 19, 2016

    It's a real plsrueae to find someone who can think like that

  4. Hannah Apr 20, 2016

    Oh yeah, fauluobs stuff there you!

Hozzászólás — SZÜKSÉGÜNK VAN A VÉLEMÉNYÉRE!

Hozzászólás:
Név:
Kérjük, adja meg a biztonsági kódot:
This is a captcha-picture. It is used to prevent mass-access by robots.