Antes de saber como remover vírus que criptografa arquivos, vamos conhecer um pouco sobre a história do Ransomware, um dos Malwares mais temido no mundo da TI.
Ransomware é um tipo de malware, que após infectar o sistema é cobrado um preço para resgatar os arquivos infectados. Sem dúvida, uma grande dor de cabeça para quem não está protegido contra essa ameaça.
Alguns tipos de ransomwares criptografam os arquivos impossibilitando sua abertura de forma simples. Já outros, apenas travam o sistema, exibindo uma mensagem na tela de como pagar o resgate, que pode variar entre U$ 100 até U$1000 dólares. O único método para recuperar os arquivo é através da chave privada, que infelizmente é mantida nos servidores dos criminosos, que é fornecida com o pagamento. Mesmo a vítima realizado o pagamento, não há garantias do resgate.
Como exemplo, podemos citar o Ransomware CryptoWall, o vírus que criptografa arquivos que foi descoberto em 2014 e até hoje continua infectando sistemas em todo o mundo, levando prejuízos financeiros e psicológicos para as pessoas, principalmente ligadas no ramo empresarial. Leia também (Segurança de TI nas empresas e boas práticas de controle.)
Extensões criptografadas pelo Ransomware
Quando o seu computador é infectado pelo vírus CryptoWall, diversas extensões são criptografadas, e as mais comuns são: (Xls, wpd, wb2, txt, tex, swf, SQL, tf, RAW, ppt, png, pem, pdf, pdb, PAS, odt, obj, msg, mpg, mp3, lua, key, jpg, hpp, gif, eps, DTD, doc, der, CRT, cpp, cer, bmp, bay, avi, Ava, ass, asp, js, py, PL, dB)
O mercado negro de ransomware tem se mostrado muito lucrativo, como apontam diversas empresas de segurança. O primeiro vírus que criptografa arquivos conhecido foi o Dirty Decrypt, após ele veio o CryptoLocker, PowerLocker, Citroni, CryptoWall, CryptoWall 2, CryptoWall 3, Torrent Locker, Cryptographic Locker e recentemente o TeslaCrypt que utiliza criptografia simétrica RSA-2048 para criptografar os arquivos. Leia também (Programa para bloquear sites indesejados.)
Vamos conhecer sobre alguns (Ransomware), os vírus que criptografa arquivos.
Ransomware Reveton
Em 2012, foi descoberto o Ransomware conhecido como Reveton, e começou a se espalhar rapidamente. Quando o sistema é infectado, é exibido um aviso supostamente de uma agência de segurança, alegando que o computador tem sido usado para atividades ilegais, como o download de software pirata. O aviso informa ao usuário que para desbloquear o sistema é necessário pagar uma multa utilizando um serviço como Ukash ou paysafecard.
Para reforçar que o aviso é verdadeiro, é exibido na tela do computador o endereço IP além da imagem da webcam, dando a sensação de que realmente o computador está sendo vigiado por alguém.
O vírus que criptografa arquivos “Reveton” inicialmente começou a se espalhar em vários países europeus no início de 2012. Foram identificados outras variações de logotipos e mensagens que eram exibidas na tela do computador, como sendo um serviço da polícia Nacional.
Em agosto de 2012, uma nova variante do Ransomware Reveton começou a se espalhar exigindo o pagamento de uma multa de $200 dólares ao FBI usando um MoneyPak.
Em fevereiro de 2013, um cidadão russo foi preso em Dubai por te ligação com o Ransomware Reverton.
Ransomware CryptoLocker
Uma nova versão do vírus que criptografa arquivos reapareceu em setembro de 2013 como um trojan conhecido como CryptoLocker, e que agora gerava uma chave de criptografia de 2048 bits RSA enviadas através de um servidor usado para criptografar os arquivos.
Esse vírus que criptografa arquivos exibi uma mensagem que irá excluir a chave privada se um pagamento de Bitcoin não for realizado dentro de 3 dias após a infecção.
Devido a complexidade e o tamanho da Chave de criptografia que usa, os analistas e os afetados pelo Ransomware Cryptolocker consideram extremamente difícil de reparar. Estima-se que, pelo menos, US3 milhões foram extorquidos com o malware.
Ransomware CryptoLocker.F e TorrentLocker
Em setembro de 2014, surgiram uma nova onde de trojans ransomware (vírus que criptografa arquivos), sendo o primeiro alvo na Austrália, nomeados CryptoWall e CryptoLocker (como um CryptoLocker 2.0, sem relação com o CryptoLocker original).
Os trojans se espalhavam através de e-mails fraudulentos com mensagens sobre falhas de encomenda.
A Symantec informou que estas novas variantes, que se identificou como CryptoLocker.F, não tem relação com o CryptoLocker original devido as diferenças nas suas operações.
Outro trojan criado nesta época foi o Ransomware Torrent Locker, que também usa a mesma keystream para cada computador infectado, tornando a criptografia difícil de ser quebrada.
No final de 2014, foi estimado que mais de 9.000 usuários tinham sido infectados pelo Torrent Locker.
Ransomware Cryptowall – Help Decrypt
Outro perigoso Ransomware, o Cryptowall, apareceu pela primeira vez em 2014. Ele foi distribuído como parte de uma maliciosa campanha de rede de publicidade no final de setembro de 2014, tendo como alvos vários sites. Os anúncios eram redirecionados para sites fraudulentos que usavam plugins para o navegador baixar os dados. Leia também (Como remover propagandas do navegador.)
O vírus que criptografa arquivos utiliza o JavaScript como parte de um anexo de e-mail, que baixa executáveis disfarçados como imagens JPG.
Para evitar a detecção pelo antivírus, o malware Cryptowall cria novos executáveis do explorer.exe e svchost.exe para se comunicar com seus servidores.
Além da criptografia de arquivos, o vírus que criptografa arquivos também exclui as cópias de sombra de volume, e instala spyware para rouba senhas e carteiras Bitcoin.
A versão mais recente, o Cryptowall 4.0, reforçou seu código para evitar a detecção pelo antivírus, e criptografa não só os dados, mas também os nomes de arquivos.
Ransomware KeRanger
KeRanger é o primeiro Ransomware desenvolvido para o sistema operacional da Apple, OS X. Ele apareceu em março de 2016.
O KeRanger criptografa os arquivos do usuário e pede um pagamento em Bitcoin para descriptografar os arquivos.
Para ser instalado no sistema, há um executável com a extensão .DMG que está disfarçado como um arquivo Rich Text. O vírus dorme por três dias, em seguida, começa a criptografar os arquivos.
Ele adiciona um documento de texto para obter instruções sobre como descriptografar os arquivos e usa a chave pública de 2048 RSA para criptografar os arquivos.
Para quem achava que não existia vírus para os sistema da Apple, aqui está um exemplo que a segurança nunca é 100%.
Ransomware Manamecrypt – CryptoHost
Esse vírus que criptografa arquivos informa que seus dados estão criptografados e exige um pagamento de ,33 bitcoins ou cerca de US140,00 dólares para obter seus arquivos de volta. Mas na realidade os seus dados não são criptografados, e sim copiados em um lugar protegido por senha utilizando arquivos .rar.
Quando o CryptoHost infecta o computador da vítima, ele mover certos arquivos de dados em um lugar protegido localizado na pasta C: \ Users \ [nome do usuário] \ AppData \ Roaming pasta. Este arquivo terá um nome de 41 caracteres e sem extensão.
Como remover Ransomware – Vírus que criptografa arquivos?
Tal como em outras formas de softwares maliciosos, os anti-vírus podem não detectar uma instalação do Ransomware, especialmente os mais recentes.
Se um ataque é detectado em seu estágio inicial, vai levar um tempo para a criptografia ocorrer, e com a remoção imediata do Ransomware os danos serão menores.
Como profissional de TI, você deve ter uma preocupação especial ao lidar com os Ransomwares, os vírus que criptografa arquivos.
Utilizando um bom anti-vírus com outras políticas de segurança, te ajudarão a prevenir, mas não protege contra todos os ataques. Mantenha uma cópia de segurança dos dados armazenados em locais protegidos, pois os malwares podem criptografar um Backup que esteja armazenado em um HD USB ou servidor de backup.
Dependendo do Ransomware e se o sistema operacional estiver iniciando, você pode tentar realizar uma restauração da copia de sombra de arquivos ou fazer uma recuperação de arquivos utilizado um sistema tipo o Data Recovery. Geralmente, o Ransomware exclui o arquivo original e cria um novo criptografado. A ideia aqui e recuperar os arquivos que foram excluídos pelo Ransomware. Leia também (Programas para fazer Backup – Previna-se agora!)
Enquanto algumas ameaças e ataques de Ransomware não podem ser totalmente eliminadas, o uso da estratégia de segurança em camadas é a melhor possível.
Recentemente a kaspersky juntamente com outras empresas de segurança conseguiram recuperar algumas chaves de criptografia do Ransomware CoinVault nos servidores dos criminosos, e disponibilizou as ferramentas necessárias para você tentar recuperar os seus arquivos criptografados. Acesse o link (Como remover o Ransomware CoinVault e restaurar seus arquivos?) Algumas páginas estarão em inglês, mas com o navegador Google Chrome é possível traduzir a página e seguir os passos.
Após concluir os passos acima, eu recomendo que você mantenha um bom anti-vírus instalado em conjunto com um Antispyware. Eu indico duas excelentes ferramentas, o SpyHunter e Malwarebytes.
Bom, no momento só tenho essas informações para te auxiliar na remoção e recuperação dos seus arquivos criptografados. Se você tive alguma outra solução que funcione, compartilhe conosco. Pois realmente essas ameaças podem complicar a vida de muita gente!
Espero que o conteúdo tenha sido útil para você e boa sorte na recuperação dos seus arquivos!
Ajude outras pessoas… Compartilhe esse artigo!
Até a próxima!
LEIA TAMBÉM:
Novo ataque de Ransomware Petya
Boa noite MARCO, aconteceu cmg, esse vírus criptografou alguns de meus muitos arquivos, e fico uma tela preta no fundo com uma mensagem “Encrypted by Gandcrab 5.0.4” o que fazer?
Boa tarde! Procure uma empresa especializada para tentar recuperar os arquivos.
Boa tarde,
Se alterar a extensão de um arquivo para o extensão desconhecida a arquivo será criptografado no caso se pegar um ransomware.
Olá! A melhor maneira de se prevenir contra ataques de vírus é ter um bom antivírus, manter o sistema operacional atualizado , fazer o backup dos arquivos e guardar esses arquivos fora da sua rede local. Se possível, tenha mais de uma cópia.
Depois que fui infectado por esse vírus que li essa reportagem avisaram até no jornal nacional e o sortudo conseguiu pegar… Foi baixando um programa q fui avisado sobre esse ransomware e nem lembrei agora to com meu notebook i7 com a tela preta e a quantia de 6mil e poucos $ pedindo resgate… não inicia o sistema operacional como removo ele? tem como ou vou precisar instalar o Windows 10 outra vez?
Se você foi infectado, o recomendado é que faça uma formatação. Lembrando que todos os seus dados serão perdidos. Pelas minhas informações ainda não há uma maneira de recuperar os arquivos infectados.
Minha dúvida sobre esse malware é se meu hd for inteiro criptografado por mim ainda está sucetível a este malware?….
Se puder enviar a resposta por email [email protected]
Olá Rodrigo! Não sou expert em segurança, e não fiz uma análise do comportamento desse malware. Por isso mantenha sempre uma cópia dos arquivos fora da rede principal.
O ransonware que infectou o meu cliente tem a extensão após o sequestro .onion.to._ renomeou tudo e criptografou o pagamento em bitcoins é alto, não consigo descriptografar de nenhuma forma existe já alguma ferramenta para isso? Não existem cópia do arquivo. E no volume não restaura
Olá Cezar! Por enquanto não conheço uma ferramenta.
legal nao existe nenhuma ferramenta para quebrar a criptografia desses virus ?
William, por enquanto desconheço uma ferramenta!
Boa tarde Marco, parabéns pelo conteúdo, realmente ajuda muito a todos nós. Em um ambiente corporativo, qual o antivírus você indicaria dentre as opções atuais do mercado ?
Olá Marcio! Tenho uma preferência no Nod32 Business!
Boa noite,meu PC infelizmente pegou esse vírus e todos meus arquivos estão criptografados e para piorar eu ñ tinha feito backup dos arquivos e tenho muito arquivo,por que o computador é dividido com minha irmã e aifica tudo mais dificil.
Como faço pra me livrar do vírus e descriptografar os arquivos?
Olá Larissa! O método que conheço já está descrito no artigo. Realmente é uma questão muito delicada. Boa Sorte!
Ótimo artigo Marco Andrade.
Lembrando que apenas o anti vírus não é mais suficiente para resgardar os dados. Devemos dedicar um pouco mais de atenção aos princípios de utilização de firewall. Sei que muitos clientes não gostam. Mas é um “mal necessário” para evitar dores de cabeça posteriores.
Forte abraço!
Boa tarde.
Muito esclarecedor, muito obrigado!
Tem alguma solução conhecida para esse vírus?
Olá Andreas! A solução atualmente é manter um bom anti-vírus instalado e atualizado juntamente com o Backup dos arquivos armazenado em um local seguro e que não esteja conectado na rede.
se o micro esta com o google drive instalado ele pega o virus no google drive
O Google Drive é uma pasta armazenada no seu HD. Por isso, a resposta é sim. Como mencionei no artigo, o ideal e ter cópias anteriores dos arquivos armazenados em outros locais seguros.
Boa tarde.
Excelente artigo.
Muito obrigado por compartilhar.
Att.