22/04/2015

Jak usunąć szkodliwe oprogramowanie CoinVault i przywrócić swoje pliki

Porady

Jeśli padniesz ofiarą szkodliwego oprogramowania żądającego okupu, w większości przypadków nie będziesz mógł nic zrobić. Na szczęście od czasu do czasu policja i firmy zajmujące się cyberbezpieczeństwem zamykają serwery poleceń i kontroli szkodliwego oprogramowania i sczytują z nich informacje. Są one naprawdę użyteczne, ponieważ pomagają tworzyć narzędzia deszyfrujące i przywracać pliki użytkowników. Całkiem niedawno holenderska cyberpolicja wraz z Kaspersky Lab stworzyły takie rozwiązanie dla ofiar oprogramowania o nazwie CoinVault.

coinvault-logo

Jeśli chcesz poznać szczegóły samego oprogramowania CoinVault, zapoznaj się z naszym szczegółowym raportem w języku angielskim, w serwisie Securelist. Jeśli interesuje Cię, jak stworzyliśmy rozwiązanie deszyfrujące, opisaliśmy to w naszym poście. Jeśli szukasz instrukcji, jak uwolnić się od tego oprogramowania i odzyskać swoje pliki, czytaj dalej.

Krok 1. Czy jesteś zainfekowany oprogramowaniem ransomware CoinVault?

Najpierw musisz sprawdzić, czy jesteś zainfekowany akurat tym oprogramowaniem, a nie żadnym innym. Identyfikacja tej infekcji jest całkiem prosta – na zarażonym komputerze wyświetlany jest komunikat widoczny na poniższym rysunku:

Zrzut ekranu komputera zainfekowanego szkodliwym oprogramowaniem CoinVault

Zrzut ekranu komputera zainfekowanego szkodliwym oprogramowaniem CoinVault

Krok 2. Zdobądź adres portfela Bitcoin

W prawym dolnym rogu komunikatu wyświetlanego przez szkodliwe oprogramowanie CoinVault znajduje się adres portfela Bitcoin (zakreślony na czarno na powyższym zrzucie ekranu). Skopiuj go i zapisz.

Krok 3. Zdobądź listę zaszyfrowanych plików

W lewej górnej sekcji komunikatu wyświetlanego przez szkodliwe oprogramowanie CoinVault znajduje się przycisk „View encrypted filelist” (zakreślony na niebiesko na powyższym zrzucie ekranu). Kliknij ten przycisk i zapisz listę zaszyfrowanych obiektów do pliku.

Krok 4. Usuń szkodliwe oprogramowanie CoinVault

Pobierz wersję testową produktu Kaspersky Internet Security ze strony https://kas.pr/kismd-cvault i zainstaluj ją. Aplikacja usunie szkodliwe oprogramowanie CoinVault z Twojego komputera. Pamiętaj, że musisz mieć już zapisane wszystkie informacje pobrane w kroku 2. i 3.

Krok 5. Wejdź na stronę https://noransom.kaspersky.com

Wejdź na stronę https://noransom.kaspersky.com i podaj adres portfela Bitcoin z kroku tego poradnika. Jeżeli adres zostanie rozpoznany, wyświetlone zostaną informacje o wektorze inicjującym (IV) oraz kluczu. W pewnych okolicznościach może pojawić się większa liczba wektorów inicjujących oraz kluczy. Jeżeli tak się stanie, zapisz wszystkie wyświetlone informacje na komputerze – będziesz ich potrzebował później.

Krok 6. Pobierz narzędzie deszyfrujące

Pobierz narzędzie deszyfrujące ze strony https://noransom.kaspersky.com i uruchom je na swoim komputerze. Jeżeli na ekranie pojawi się komunikat o błędzie (widoczny poniżej), przejdź do kroku 7. Jeżeli komunikat taki nie pojawi się, przejdź do kroku 8.

coinvault-decryption-3

Krok 7. Pobierz i zainstaluj biblioteki dodatkowe.

Otwórz stronę http://www.microsoft.com/pl-PL/download/details.aspx?id=40779 i postępuj zgodnie z instrukcjami wyświetlanymi na stronie. Następnie zainstaluj oprogramowanie.

Krok 8. Uruchom narzędzie deszyfrujące.

Uruchom pobrane wcześniej narzędzie deszyfrujące. Na ekranie pojawi się poniższe okno:

coinvault-decryption-4

Krok 9: Sprawdź, czy deszyfrowanie działa poprawnie

Podczas uruchamiania narzędzia po raz pierwszy zalecamy wykonać testowe deszyfrowanie. W tym celu:

  • kliknij przycisk „Select File” w sekcji „Single File Decryption” i wskaż plik, który chcesz odszyfrować,
  • wprowadź wektor inicjujący (IV) z kroku 5 tego poradnika w polu „Enter your IV”,
  • wprowadź klucz z kroku 5. tego poradnika w polu „Enter your key”,
  • kliknij przycisk „Start”.

Sprawdź, czy nowo utworzony plik został prawidłowo odszyfrowany.

Krok 10: Odszyfruj wszystkie pliki skradzione przez CoinVault

Jeżeli w kroku 9. wszystko poszło dobrze, możesz przywrócić wszystkie pliki za jednym razem. W tym celu wskaż plik zawierający listę zaszyfrowanych plików utworzony w kroku 3., wprowadź wektor inicjujący i klucz oraz kliknij „Start”. Możesz nadpisać pliki zaszyfrowane oryginalnymi – zaznacz opcję „Overwrite encrypted file with decrypted contents”.

Jeżeli po podaniu adresu portfela Bitcoin na stronie https://noransom.kaspersky.com (w kroku 5 tego poradnika) wyświetlona została większa liczba wektorów inicjujących (IV) i kluczy, zachowaj szczególną ostrożność. Obecnie analitycy nie mają pewności, skąd pochodzą takie wielokrotne informacje dla jednego portfela Bitcoin. W takim przypadku pozostaw opcję „Overwrite encrypted file with decrypted contents” bez zaznaczenia i spróbuj odzyskać jeden plik (z listy wygenerowanej w kroku 3 tego poradnika). Jeżeli nowy plik nie zostanie poprawnie odszyfrowany, spróbuj ponownie podając inną parę IV/klucz. Powtarzaj ten proces aż do momentu, gdy uzyskasz poprawnie odszyfrowany plik. Wówczas możesz zastosować poprawną parę IV/klucz do wszystkich plików z listy.

Jeśli w ogóle nie otrzymałeś IV i klucza, zaczekaj i odwiedzaj stronę https://noransom.kaspersky.com. Ponieważ eksperci wciąż pracują nad tą sprawą, my będziemy tam dodawać nowe klucze tuż po ich uzyskaniu.