cara mengembalikan file akibat cryptowall


===================================================

update tanggal 25 mei 2016: sekarang sudah ada tools untuk mengembalikan file yang dienkripsi dari kaspersky. penjelasannya (dalam bahasa inggris) ada di sini:
https://blog.kaspersky.com/cryptxxx-ransomware/11939/
download tools-nya di sini:
http://media.kaspersky.com/utilities/VirusUtilities/RU/rannohdecryptor.exe

====================================================

minggu lalu komputer papa saya kena virus. awalnya papa saya hendak membuka file excel, tapi yang keluar malah karakter2 aneh. ternyata semua file dokumen, baik itu file word (doc/docx), powerpoint, (ppt/pptx), pdf, dan file gambar serta video, dll, semuanya rusak, tidak ada yg bisa dibuka.

awalnya saya coba cek hidden file, karena biasanya virus komputer hanya menyembunyikan file aslinya, kemudian menduplikasi file tersebut. ternyata tidak ada file aslinya yg hidden. malah saya temukan file yg berisi keterangan tentang mengapa files di komputer itu tidak bisa dibuka, apa yang terjadi, dan bagaimana cara mengembalikan file-nya.

virus ini bernama cryptowall versi 3.0. yg dilakukannya adalah meng-enkripsi files di komputer korban dgn RSA 2048 bit. apabila kita mau membuka kunci enkripsinya, pembuatnya meminta uang dlm bitcoin sejumlah $500, yg minggu berikutnya bertambah jd $1000.

sebenarnya virus cryptowall ini tergolong jinak, krn bisa dihapus dengan antivirus yg gratisan, dan tool seperti ccleaner, dll. untuk mencegahnya bisa dengan cara pasif, yaitu jgn sembarangan klik baik itu attachment email atau pun dari pop-up yg tiba2 muncul setelah meng-install freeware (perhatikan betul wizard saat meng-install freeware, terkadang installer-nya juga membawa benda2 lain, biasanya berupa tambahan di browser, atau apapun, sebaiknya di uncheck terlebih dahulu). kemudian selalu back-up file yang penting secara rutin, ke tempat yg tidak sering “jalan2”. apabila disimpan ke flashdisk atau harddisk eksternal yg sering pindah2 komputer, justru lebih berisiko. simpanlah data back-up ke benda seperti cd, dvd, atau disket bagi yang masih punya. bisa juga di upload ke cloud atau disimpan sbg attachment email.

tapi bagi yg sudah terkena, yg paling ngga asik dari akibat virus cryptowall ini adalah files yg sudah ter-enkripsi. saya sudah cari di internet, sampai saat tulisan ini saya ketik, satu-satunya cara yg bisa dilakukan adalah dengan mengembalikan file yg ter-enkripsi ke versi sebelumnya. artinya, jika file di komputer kamu mulai tdk bisa dipakai pada tgl 16 april, maka kembalikan keadaannya ke versi tanggal 15 april. bagaimana caranya?
di antara cara yg tersedia antara lain sbg berikut:

cara manual
1. klik tombol windows, klik kanan computer, trus pilih properties.
2. di panel kiri, klik system protection.
3. pilih drive harddisk-nya (biasanya yg terkena itu hanya di drive c), kemudian klik configure.
4. klik only restore previous versions of files.
5. klik ok
6. setelah itu, klik kanan file atau folder yg terenkripsi, lalu pilih restore previous version.
7. setelah itu pilih versi file-nya. jika tanggal terkena adalah tanggal 16, maka pilih versi file yg sebelum tanggal itu. lalu klik restore.

cara semi-otomatis
1. cari software untuk merestorasi (bahasa inggrisnya restore) file di internet. ada beberapa macam, di sini saya contohkan dengan shadow explorer.
2. buka shadow explorer. pilih drive-nya. kemudian pilih versinya.

3. lalu klik kanan di file atau folder-nya, dan kemudian klik export…

semoga cara ini bisa membantu kamu mengembalikan files yg sudah terenkripsi. mgkn tidak semuanya bisa kembali krn kadang titik restorasi-nya belum sempat dibikin oleh windows, eh udah kena virus dluan.

hati2 jangan tertipu sama yg menawarkan software untuk dekripsi file akibat virus cryptowall. klo salah install yang ada malah makin memperparah keadaan komputer kamu. nanti klo ada info lagi soal virus cryptowall ini dan cara mengatasinya, insya Allah akan saya update lagi. kasihan klo mahasiswa lagi skripsi kena virus ini, atau komputer kantor yg menyimpan dokumen bertahun-tahun, pedih lah kalo dibayangin..

pesan: saya menggunakan kata virus agar lebih mudah dimengerti orang awam. sebenarnya cryptowall ini adalah malware yang berjenis trojan.

Advertisements

45 Responses

  1. saya tidak berhasil melakukan nya .. file nya tidak ada d shadow.. sistem protection saya off

  2. wah, berarti restore point-nya belum ada.. 😦
    coba tes di file2/folder yg lain.

  3. sama protectionnya juga off, gimana caranya ya, apa sudah ada cara baru untuk protection yang off ?

  4. saya baru menyadari sekarang ex-hd saya terkena malware ini.tolong bagaimana caranya untuk pemulihan di ex-hd.terimakasih.

    • coba pakai software untuk undelete file, mas.
      karena cryptowall ini bukan men-infeksi file asli, melainkan meng-copy file asli, mengenkripsinya, lalu menghapus file yg asli.

  5. Mau nanya Mas…saya udah terlanjur install ulang windows.
    Apakah file nya masih bisa dikembalikan spt normal?

  6. terimakasih infonya …semoga file saya bisa diselamatkan

  7. Gimana caranya undelete file mas? Softwarenya apa?

  8. kalo buat windows 8.1 gmn supaya crypto ilang dan file balik? soalnya file gua penting” ada file kerjaann juga , rasanya pgn nangis gua dan pengen gua bunuh tuh yg buat virus, cri duit pke cara ga halal , sial

  9. plss tolonggg dong bantu gua , 😦

  10. uda pake anti malware untuk apus smua malware sama trojan , tp blm bisa”, trus smua file ada tambahan ekstensi .ccc

  11. gua bnr” butuh tuh smua file” gua 😦

  12. waduh ane juga nih .. ada yg tau solusi nya gak gan .. share please

  13. Mas, kalo yang kena Itu flash disk balikinnya gimana ya? Mohon info…

    • coba di-undelete dulu flashdisk-nya pake software undelete, barangkali masih ada file yang asli.
      tapi hati2 waktu buka flashdisk, jgn sampai menginfeksi yg di pc/laptop

  14. mas, saya minta tlng dibantu mengembalikan file2 komputer saya…semua file sekarang di
    belakangnya ada extension vvv…trus pengirim virus jg sepertinya minta uang tebusan untuk descrpysinya…trims mas…

  15. Saya sudah download shadow wxplorer tetapi tidak ada folder yang tersedia, layarnya kosong. Itu bagaimana ya? Tolong dibantu banyak file penting dinotebook saya

  16. recover ga bs… undelete ga bisa juga..ada cara lain lagi ga mas?

  17. help

    • maaf gan, klo ga bisa di undelete dan di recover, saya sudah cari-cari lagi, tapi sampai saat ini masih belum ada tools atau cara lain untuk mengembalikan file yang terdekripsi cryptowall selain bayar tebusannya.
      cara berikut ini untuk menghilangkannya virusnya dari windows, tp file yg terdekripsi tetap ga bisa kembali.

      – start windows 8 di safe mode with network
      – buka windows 8 start screen
      – ketik advanced
      – di hasil pencarian, pilih settings
      – klik advanced
      – pada jendela general pc settings, pilih advanced start up
      – klik tombol restart now

      nanti komputer akan restart dalam advance start up options menu
      – klik tombol troubleshoot
      – klik tombol advanced option
      – klik startup settings
      – klik restart
      nanti komputer akan restart dalam layar start up settings
      tekan tombol f5 di keyboard untuk boot dalam safe mode with networking
      – login ke user akun di windows yang terinfeksi cryptowall
      – buka browser, download antivirus yang terpercaya, lalu install dan update.
      – kemudian scan semua isi komputer, hapus semua virus yang terdeteksi

  18. yang baru-baru ini sudah mulai keluar lagi dengan perlakuan agak sama kayaknya, mungkin sudah ada yang berhasil mengatasinya, mohon pencerahannya…..

    Name .Locky
    Type Ransomware
    Danger Level High (Ransomware viruses are of the highest threat level there is)
    Symptoms PC slowness followed by file encryption and ransom demand.
    Distribution Method Trojan horse “droppers”, sometimes directly via email attachments and malicious websites.
    Detection Tool Malware and Adware are notoriously difficult to track down, since they actively try to deceive you. Use this professional .Locky scanner to make sure you find all files related to the infection.

    • klo yg berbayar memang banyak yg menawarkan, tp belum terbukti hasilnya.
      hati2 jgn sampai tertipu dua kali, sudah membayar mahal, ternyata tidak bisa.

  19. laptop ter-infeksi virus ini, setelah itu virusnya saya coba hapus melalui safe mode. setelah balik lagi ke posisi normal ternyata file2nya masih tidak terbaca. akhirnya saya coba untuk instal ulang, dan hasilnya tetap saja file2nya tidak terbaca. mohon bantuan untuk membersihkannya, terimakasih

    • ya gan..
      membersihkan virusnya itu baru langkah pertama.
      justru mengembalikan file-nya itu yang langkah intinya.
      silakan dibaca kembali tulisan di atas..

  20. Sudah ada perkembangan untuk mengatasi virus ini ?
    Thanks..

  21. semua file saya di format ke MP3, mohon bantuan nya, tolong saya karena semua materi dan data kuliah saya di format ke mp3 oleh virus itu, dan tidak bisa di buka, vidio, file word, excel, power point, saya…. tolong dong….

    • mungkin beda jenis virus kalau yang ini mas.
      coba cek di hidden file.
      caranya di kiri atas windows explorer, pilih organize
      terus pilih folder and search options
      pilih tab view
      hilangkan tanda centang dari hide protected operating system files
      klik tombol yes
      klik tombol ok

      lalu balik lagi ke folder file-nya, cari file yang aslinya.
      semoga bisa ketemu lagi.

  22. maaf saya baru keba malware tersebut seperti keterangan mbak diartikel. semua file doc xls dan foto ndak bisa dibuka. namun kondisi laptop terlanjur sudah terinstal ulang OS nya. nah terus apa bisa menggunakan cara diatas? virus sudah hilang namun file masih terenkripsi

  23. gan mau di dekrip lagi file yang rusak gimana ya? uda sy install baru windowsnya. thx

  24. Makasih untuk infonya, sangat membantu sekali. Tapi saya sudah terlanjur memformat ulang laptopnya file yang ada sudah di pindah ke flasdisk cuman blm tahu lagi cr balikinnya gimana. 🙂

  25. kalo udah diinstal ulang, gimana cara supaya file nya bisa terbaca, file saya semuanya jd .crypt

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: