¿Hay alguna forma de descifrar los archivos?
SensorsTechForum sugiere probar el RectorDecryptor.exe y RakhniDecryptor de Kaspersky .exe.
Sin embargo, no tendría muchas esperanzas.
Como CryptoWall es muy similar a CryptoDefense, puede descifrar utilizando el método aquí . Desafortunadamente, esto solo se aplica si estuvo infectado antes del 1 de abril de 2014.
Es posible que también pueda recuperar sus archivos de la instantánea de volumen de Windows.
¿Cuál es la mejor manera de prevenir este tipo de virus para infectar nuestras computadoras?
Instale AntiVirus y manténgalo actualizado. Microsoft Security Essentials es gratuito, aunque hay otros disponibles. Aunque esto no protegerá completamente el sistema, pero sería un buen paso básico a seguir.
No ha dicho cómo ocurrió esta infección, sin embargo, debe configurar la computadora para que instale las actualizaciones automáticamente. Recuerde a los usuarios que la computadora no debe ejecutar cosas que no esperan que se les envíen (incluso aquellas que parecen provenir de contactos de confianza), aunque esto puede ser más fácil decirlo que hacerlo.
La protección principal contra este tipo de ataques debe provenir de la copia de seguridad. Herramientas como Dropbox pueden sincronizar sus archivos importantes en la nube y, en caso de que ocurra lo peor, tendrá 30 días para revertir a buenas versiones de archivos conocidas (incluso la versión gratuita lo permite). Hasta ahora no hay ataques conocidos que intenten borrar el historial de versiones de los servicios de copia de seguridad basados en la nube.
¿Hay alguna forma de evitar la ejecución de archivos desconocidos? Estaba pensando en solo permitir permisos de ejecución en archivos conocidos
Aunque el propio Windows admite la noción de permisos de ejecución, esto está habilitado de forma predeterminada en los nuevos ejecutables. AppLocker de Microsoft se puede utilizar para habilitar la inclusión en la lista blanca de aplicaciones. Si esto hará que la computadora sea demasiado inutilizable para su usuario promedio es otra pregunta.
Otra cosa que podrías hacer es usar cuentas normales en lugar de cuentas de administrador para usar la computadora. El malware intenta ejecutar el siguiente comando :
vssadmin.exe Delete Shadows /All /Quiet
Sin embargo, si la cuenta de usuario con la que se ejecuta no tiene permisos administrativos, esto fallará y las instantáneas de volumen se podrán restaurar.