อันตราย!! ผู้ใช้งาน Windows ระวังไวรัส CryptoWall 3.0 เรียกค่าไถ่

เป็นไวรัสประเภท ransomware ที่จะเข้ารหัสไฟล์ทั้งหมดในเครื่อง เอกสารทั้ง .txt *.xls *.docx *.doc *.cer *.key *.rtf *.xlsx *.text *.ppt *.pdf *.cdx *.cdr *.js *.css *.asm *.jpg *.dbf *.mdb *.sql *.pgp ทุกรูปแบบ รวมทั้ง Email ที่เป็น .eml โดนเข้ารหัสหมดไม่สามารถเอาคืนมาได้ หรือ ทำไฟล์เสียหายหมดทั้งเครื่อง และไม่สามารถเปิดหรือกู้ไฟล์ได้เลย

ซึ่งคนที่ติดไวรัสจะต้องจ่ายค่าไถ่เป็นจำนวน $300 หรือประมาณ 9,700 บาท เพื่อถอดรหัสทั้งหมด โดยต้องจ่ายผ่าน bitcoin เท่านั้น ไม่งั้นก็จะใช้ไฟล์ไม่ได้ โดยไวรัสตัวนี้จะติดผ่าน โปรแกรมที่แนบมาติดตั้งในเครื่อง จากการถูกติดตั้งโดยโปรแกรม CryptoWall (เช่น CryptoDefense, CryptorBit and Cryptolocker) หรืออัพเดท (Fake) Flash player ต่างๆ โดยกลุ่มเสี่ยงใน Windows XP, Windows Vista, Windows 7, Windows 8, Windows 8.1 ส่วนไวรัสนั้นสามารถใช้ antivirus เฉพาะรุ่นลบออกได้ แต่ความเสียหายของไวรัสจะยังคงอยู่ และ ไม่สามารถกู้กลับมาได้ ดังนั้น admin จึงขอเตือนทุกคน อย่าดาวน์โหลด crack โปรแกรมเถื่อน โปรแกรมฟรีที่ไม่รู้จัก ดาวน์โหลดไฟล์แนบอีเมล์ที่ไม่รู้จัก หรือ เปิดลิงค์ spam ลิงค์แปลกๆ ที่เราไม่รู้จัก (จาก Facebook, เว็บโฆษณา หรือใน email) ที่เสี่ยงอันตรายต่างๆ ทั้งนี้ควรสำรองข้อมูลบน cloud เช่น dropbox, google, drive box หรือ one drive เพื่อป้องกันการสูญเสีย และ หมั่นอัพเดท antivirus และ update windows เพื่ออุดช่องโหว่อยู่เสมอครับ

Trojan alias: Win32.Crypt
Executable file: evntsc.exe
Threat class: Ransomware
Affected OS: Win32 (Windows 9x, Windows XP, Windows Vista, Windows 7, Windows 8, Windows 8.1)

อาการ
-----------------------------------------------------
อาการของคนที่โดนไวรัสจะพบไฟล์ HELP_DECRYPT 4 ไฟล์ (4 นามสกุล) ก๊อปปี้ตัวเองเข้าไปตามทุกโฟลเดอร์ ส่วนไฟล์อื่นๆ จะถูกเข้ารหัส มีนามสกุล .crypt ต่อท้าย และไม่สามารถเปิดไฟล์ได้

การป้องกัน
-----------------------------------------------------
ปัจจุบันมีแค่ patch update จาก Kaspersky ตัวล่าสุดเท่านั้นที่สามารถป้องกันไวรัส CryptoWall 3.0 เข้าเครื่องได้ ทั้งนี้ควร Update Patch Windows ให้เป็นรุ่นล่าสุด เพื่ออุดช่องโหว่ของระบบปฏิบัติการ และ หมั่นอัพเดท Antivirus ให้เป็นรุ่นล่าสุด อยู่เสมอ

วิธีลบไวรัสออกจากเครื่อง
-----------------------------------------------------
ใช้ Shadow explorer restore ข้อมูลกลับมา แต่ไฟล์อาจไม่ใช่รุ่นล่าสุด
ทั้งนี้เครื่องนั้นต้องเปิดใช้งานฟีเจอร์ Shadow Copy ก่อนหน้านั้น ส่วน Windows XP และ Vista นั้นหมดสิทธิ์ เพราะไม่มีฟีเจอร์ Shadow copies

Step 1 เข้า safe-mode with networking
=====================================

สำหรับ Windows XP, Win 7 / Vista:
----------------------------------------------------

1. Reboot เครื่อง แล้วกด F8 ก่อน Windows start-up screen จะแสดง
2. กดปุ่มขึ้น-ลง เลือก “Safe Mode with Networking” แล้ว Enter

ปล. หาก safe mode ถูก disabled โดย CryptoWall 3.0 ก็ทำใจครับ

สำหรับ Windows 8 / 8.1
----------------------------------------------------
วิธีที่แรก
1. กดปุ่ม “Windows + R” พิมพ์ “msconfig”
2. ไปที่แท็บ Boot แล้วติ๊กเลือก “Safe boot” จากนั้นเลือก “Network”
แล้ว OK
3. จากนั้น restart

วิธีที่สอง
1. กดปุ่ม “Windows + C”
2. กดปุ่ม Power แล้ว กดปุ่ม Shift ค้างไว้พร้อมกด Restart
3. เลือก TroubleShooters > Advanced options > Startup Settings
4. กด Restart เมื่อบูทขึ้นหน้า startup setting กด 5 เพื่อเลือก Safe Mode with Networking แล้วกด restart อีกที

Step 2 ตั้งแสดง hidden files และ ลบไฟล์ที่เกี่ยวกับ CryptoWall 3.0
===================================================

สำหรับ Windows XP
1. ไปที่ Control Panel เลือก Appearance and Personalization
2. เลือก Folder Options แล้วไปที่แท็บ view ติ๊กเลือก Show Hidden Files or Folders.
3. เอาติ๊กออก Hide extensions for known file types.
4. เอาติ๊กออก Hide protected operating system files (Recommended).
(หากขึ้นเตือนให้ตอบตกลง)
5. กด Apply แล้ว OK

สำหรับ Windows 7 / Vista
1. ไปที่ My Computer หรือ Library ที่ toolbar
เลือก Tools > Folder Options
2. ไปที่แท็บ view ติ๊กเลือก Show Hidden Files or Folders.
3. เอาติ๊กออก Hide extensions for known file types.
4. เอาติ๊กออก Hide protected operating system files (Recommended).
(หากขึ้นเตือนให้ตอบตกลง)
5. กด Apply แล้ว OK

สำหรับ Windows 8 /8.1
1. ไปที่ Windows Explorer ;
2. กด View tab
3. ติ๊ก “Hidden Items”

4. แล้วเข้าไปลบไฟล์ที่
C:\Program Files\Common Files\CryptoWall 3.0.ini
C:\CryptoWall 3.0\[Random].exe
C:\Windows\System32\[CryptoWall 3.0].dll
สำหรับ Win 7,8
C:\Users\User-name\Desktop\CryptoWall 3.0
สำหรับ Win XP
C:\Documents and Settings\User-name\Application Data\CryptoWall 3.0

Step 3 ลบ registry keys ไวรัส CryptoWall 3.0
===================================================

1. กด win+r พิมพ์ regedit จากนั้นเข้าไปค้นหาตามที่อยู่นี้
คลิกขวาที่ key แล้วกด delete

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{6153BF3B-1444-77B6-308B-EF5C2A2E1832}

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{EE932B49-D5C0-4D19-A3DA-CE0849258DE6}

HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{01BD49D7-C76B-4310-8BEB-14D7E5F322C6}

HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{01BD49D7-C76B-4310-8BEB-14D7E5F322C6}

HKLM\SOFTWARE\Classes\CLSID\{EE932B49-D5C0-4D19-A3DA-CE0849258DE6}

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main "Zastosowanie FormSuggest" = 'yes'

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced "Ukryte" = '0'

Step 4 ปิด process ไวรัส CryptoWall 3.0
===================================================

สำหรับ Windows XP
1. กด Ctrl + Alt + Del เพื่อเปิด task manager
2. ไปที่แท็บ processes หา process ที่ชื่อ
no information หรือ CryptoWall 3.0.exe
3 จากนั้น คลิกขวาที่ process นั้นแล้ว กด end process
4. ตอบ Yes เพื่อยืนยัน

สำหรับ Windows Vista, 7/ 8 /8.1
1. กด Ctrl + Alt + Esc เพื่๊อเปิด task manager
2. ไปที่แท็บ processes หรือ details แล้วหา process ที่ชื่อ
no information หรือ CryptoWall 3.0.exe
3 จากนั้น คลิกขวาที่ process นั้นแล้ว กด end process
4. ตอบ Yes เพื่อยืนยัน

Step 5 กู้คืนไฟล์ด้วย Shadow Explorer
===================================================

Shadow Explorer
http://deletemalware.blogspot.com/2015/01/how-to-remove-cryptowall-30-virus-and.html?m=1

Credits : Juk "https://www.facebook.com/Jukupdate?fref=photo"
http://www.juklab.com/

Pace to company limited.
info @ paceto.co.th
029501410