Trojan.Ransom PClock.
Je trójsky kôň, ktorý šifruje súbory a požaduje platbu za dešifrovanie súborov.Trojan vytvorí nasledujúce súbory.
% Userprofile%\Application Data\WinCL\wincl.exe
% Userprofile%\Application Data\WinC\last_chance.txt
% Userprofile%\Application Data\WinCL\wincl.jpg
% Userprofile%\Application Data\WinCL\enc_files.txt
% Userprofile%\Application Data\WinC\last_chance.txt
% Userprofile%\Application Data\WinCL\wincl.jpg
% Userprofile%\Application Data\WinCL\enc_files.txt
Trojan potom vytvorí nasledujúce položky databázy Registry, ktoré spustí pri každom štarte Windows.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"wincl" = "%userprofile%\Application Data\WinCL\wincl.exe"
HKEY_CURRENT_USER\Software\VB and VBA Program Settings\CLOC\SDAT
HKEY_CURRENT_USER\Software\VB and VBA Program Settings\CLOCK\eDate
HKEY_CURRENT_USER\Software\VB and VBA Program Settings\CLOC\SDAT
HKEY_CURRENT_USER\Software\VB and VBA Program Settings\CLOCK\eDate
Trojan potom zašifruje súbory a odstráni všetky tieňovej kópie operačného systému.
Použije nasledujúci obrázok zmení pozadie pracovnej plochy:
%Userprofile%\Application Data\WinCL\wincl.jpg
Trojan potom zobrazí správu s nasledujúcim alebo podobným textom.
CryptoLocker
Your important files encryption produced on this computer: photos, videos, documents, etc.
If you see this text, but do not see the "CryptoLocker" window, then your antivirus deleted "CryptoLocker" from computer.
If you need your files, you have to recover "CryptoLocker" from the antivirus quarantine, or find a copy of "CryptoLocker" in the Internet and start it again.
You can download "CryptoLocker from the link given below.
"Váš osobný súbory sú šifrované!
Vaše osobné súbory sú šifrovane: fotky, videá, dokumenty atď Šifrovanie bol vyrobený za použitia verejného kľúča RSA-2048.
Na dešifrovanie súborov je potrebné získať jednu kópiu súkromného kľúča, ktorý umožní dešifrovať súbory, ktorý sa nachádza na tajnom serveri na internete.
Server zničí kľúč po uplynutí doby stanovenej v tomto okne. Za to, že sa nikto a nikdy nebude môcť obnoviť súbory
Dešifrovanie súborov.
Existuje decryptor ktorý vytvoril,Fabian Wosar.1: PClock CryptoLocker používa jedinečný kľúč pre šifrovanie súborov. Aby bolo možné dešifrovať súbory správne Decrypter musí najprv obnoviť ten kľúč.
2:Ak pri použití decryptera obdržali Chybového hlásenie ,znamená,že Decrypter nebol schopný nájsť požadovaný kľúč pre váš systém.
Medzi najčastejšie okolnosti, za ktorých dôjde k tejto chybe, sú.
1:Súbory boli zašifrované pomocou cryptolockera, ktorá ešte nie je podporovaný decryptorom.2:Vy alebo niektorý z vašich bezpečnostných programov odstránil malware zo systému.
3:Pre-inštalovali ste systém Windows, bez toho, aby ste zálohovanie enc_files.txt a konfiguračné dáta malware.
V prvom prípade je to stojí za to udržať šifrovane súbory a čakáte na aktualizované verzie Decryptera.
V ostatných dvoch prípadoch je bohužiaľ decryptovanie nie je možne.
Teda ako na to??
Nepanikárte,pozorne preštudujte návod.Pred akýmkoľvek zásahom do systému, najprv zálohovať tieto položky.
1. Stlačiť Kláves s logom Windows + R.
2. Do prázdneho poľa kopírujte príkaz.
reg export "HKCU\Software\VB and VBA Program Settings\CLOCK" "%USERPROFILE%\backup_me.reg"
Kliknutím na tlačidlo "OK". Na krátku chvíľu objaví sa Čierna okno a okamžite sa zavrie.3.Stlačiť Kláves s logom Windows + R.
4.Do prázdneho poľa kopírujte príkaz.
"%USERPROFILE%"
Kliknutím na tlačidlo "OK".
Tentoraz by sa mala otvoriť zložka profil užívateľa.
Nájdete tu 2 súbory.
"enc_files.txt" a "backup_me.reg".
Skopírujte oba tieto súbory na bezpečné miesto napríklad na USB flash disk.Potom, čo ste uložili oba súbory na bezpečné miesto, môžete bezpečne odčerviť počítač.
Ďalším krokom je vyčistiť váš systém od infekcie.
Najnovší decrypter môžete stiahnuť od autora Nástroja.
Zdroj:
bleepingcomputer.com
