Is there a way to decrypt the files?
SensorsTechForum suggerisce di provare RectorDecryptor.exe e RakhniDecryptor di Kaspersky .exe.
Tuttavia, non darei troppa speranza.
Poiché CryptoWall è molto simile a CryptoDefense, potresti essere in grado di decifrare usando il metodo qui . Sfortunatamente, questo si applica solo se sei stato infettato prima del 1 ° aprile 2014.
Potresti anche essere in grado di recuperare i tuoi file da Windows Volume Shadow Copy.
What is the best way to prevent these kind of virus to infect our computers?
Installa AntiVirus e tienilo aggiornato. Microsoft Security Essentials è gratuito, sebbene altri siano disponibili. Anche se questo non proteggerà completamente il sistema, ma sarebbe un buon passo base da fare.
Non hai detto come si è verificata questa infezione, tuttavia è necessario impostare il computer per installare gli aggiornamenti automaticamente. Ricorda agli utenti del computer di non eseguire cose che non si aspettassero di essere inviate a loro (anche quelli che sembrano provenire da contatti fidati), sebbene ciò possa essere più facile a dirsi che a farsi.
La protezione principale da questo tipo di attacchi dovrebbe provenire dal backup. Strumenti come Dropbox possono sincronizzare i tuoi file importanti nel cloud e se il peggiore dovesse accadere avresti 30 giorni di tempo per il rollback delle versioni conosciute dei file (anche la versione gratuita lo consente). Finora non sono noti attacchi che tentano di cancellare la cronologia delle versioni dai servizi di backup basati sul cloud.
Are there any way to prevent execution of unknown files? I was thinking about only allow execution permission on known files
Sebbene Windows stesso supporti la nozione di autorizzazioni di esecuzione, questo è abilitato di default sui nuovi file eseguibili. Microsoft AppLocker può essere utilizzato per abilitare la whitelist delle applicazioni. Un'altra questione è se questo renderà il computer troppo inutilizzabile per il tuo utente medio.
Un'altra cosa che potresti fare è utilizzare account normali anziché account amministratore per l'utilizzo del computer. Il malware tenta di eseguire il seguente comando :
vssadmin.exe Delete Shadows /All /Quiet
Tuttavia, se l'account utente in cui è eseguito non ha permessi amministrativi, fallirà e le copie shadow del volume potrebbero essere ripristinate.