Recuperação de dados de vírus ransomware

A ABCHD Recuperação de Dados é membro do Projeto NoMoreRansom / EUROPOL, que tem lutado contra o Ransomware na prática desde 2016.

Nos últimos anos, houve um aumento dos chamados vírus Ransomware (vírus Cryptolocker), que também têm vários nomes, como Cryptowall, Troldesh, Locky, Helpme, etc.

Visão geral sobre vírus ransomware:

Recuperamos dados criptografados

O computador é infectado por um Ransomware (geralmente por um e-mail enganoso que pede para clicar em um link ou pela visita a sites de qualidade duvidosa), que criptografa os dados com criptografia AES256 e envia a chave ao invasor.
O resultado é que os arquivos não abrem mais, e aparecem com extensões estranhas (por exemplo, Scan001.locky ou geralmente scan001.jpg.*) e são impossíveis de abrir.

O malware então cria uma tela inicial informando ao usuário que os dados no disco foram criptografados e pede um resgate para enviar a chave para descriptografar os dados. Normalmente o resgate é pago em bitcoins e todo o processo é feito através do Navegador Tor para que os autores não possam ser rastreados.

Vale ressaltar que mesmo que o valor solicitado seja pago, não há nenhuma garantia de que os sequestradores fornecerão a chave de descriptografia.

Também é importante saber que a versão original desta variedade de vírus tinha como alvo apenas servidores Windows (e principalmente versões 2003 e anteriores) que tinham a Área de Trabalho Remota do Windows integrada habilitada na porta padrão (3389). Os sequestradores exploravam uma falha de segurança neste sistema, e assim o Ransomware em questão era instalado no disco, criptografava os arquivos gerando uma chave aleatória de 128 bits que ficava escondida na própria unidade infectada.
Com o passar do tempo o sistema evoluiu com criptografia de 256 bits e por não armazenar a chave localmente, de modo que fica impossível descriptografar os dados.

Também devemos enfatizar que o Ransomware geralmente tem como alvo todas as unidades locais do computador, bem como todas as unidades externas conectadas e de rede. Geralmente, ele atinge todas as unidades que possuem uma letra de unidade (C:, D:, X: etc), enquanto que alguns scripts mais sofisticados até encontram e se conectam a unidades que não estão mapeadas e, portanto, não recebem uma letra de unidade.

Como funcionam os ransomware/criptovírus:

Disco rígido com midia deteriorada

1. O computador é infectado ao abrir links ou anexos de e-mail ou através de sites. Nesse ponto o malware está instalado no computador atacado. O consentimento do usuário não é solicitado.
2. O malware se comunica com o servidor do invasor e solicita uma chave RSA pública. A chave RSA pública pode criptografar, mas não descriptografar.
3. Em seguida, ele gera uma chave AES (em alguns casos gera uma chave para cada arquivo) e criptografa o tudo usando criptografia AES. O arquivo original é então excluído.
4. A chave AES é criptografada com a chave RSA pública e armazenada em algum lugar na cópia criptografada do arquivo original.
5. A vítima é informada sobre o sequestro e é exigido um resgate pela descriptografia normalmente através de um arquivo de texto que é o único que abre na unidade infectada.

O problema que os vírus ransomware criam:

Sem a chave RSA privada do servidor do invasor é impossível descriptografar as chaves AES e, portanto, impossível descriptografar os dados.

A solução - descriptografando vírus ransomware:

A única maneira de descriptografar dados infectados por Ransomware, é através da obtenção das chaves RSA privadas e existem duas soluções possíveis para isso:

1. Pagar o resgate. É claro que o resultado não é garantido, e pagar o valor ajuda a espalhar ainda mais o problema, incentivando o surgimento de mais sequestradores de arquivos.
2. Esperar. De alguma forma, talvez as chaves possam ser obtidas e a descriptografia será possível. Também não há garantia de que isso acontecerá.

Disco rígido com midia deteriorada

Muitas vezes existem brechas na forma como o código é escrito para que esses Ransomware funcionem, mas encontrar essas brechas e explorá-las requer análise e engenharia reversa.

Hoje já existem centenas de variantes do Ransomware original, bem mais sofisticadas e muitas vezes impenetráveis. E ainda é possível que alguem que tenha algum conhecimento de programação compre kits prontos de Ransomware, modifique-os e comece a distribuí-los para capturar usuários desavisados ou incautos e chantageá-los.

Nosso diagnóstico e orçamento para ransomware são gratuitos:

Aqui na ABCHD Recuperação de Dados, temos técnicos de software que ajudaram a encontrar vulnerabilidades em muitas das brechas existentes, tornando possível a descriptografia de dados. Para descobrir se podemos ajudá-lo a descriptografar seus dados, siga estas instruções:

Primeiro você precisa enviar 2 ou 3 arquivos criptografados para nosso e-mail.
Envie também para o mesmo e-mail o arquivo com o pedido de resgate deixado pelo Ransomware. Geralmente este é um arquivo .txt .html etc, como help_decrypt.txt, decrypt_info.txt etc e está presente em todas as pastas criptografadas
Se houver, envie-nos também um arquivo criptografado, junto com sua versão normal, que você provavelmente possui de um backup mais antigo.
Por favor, não envie arquivos modificados/corrompidos de outras tentativas que você possa ter feito.

Em seguida vamos proceder à análise dos arquivos que você enviou e responder o mais rápido possível, informando sobre as possibilidades de recuperação ou não.