Vírus Ransomware

Recuperação de dados de vírus ransomware.

A ABCHD Recuperação de Dados é membro do Projeto NoMoreRansom / EUROPOL, que tem lutado contra o Ransomware na prática desde 2016.

Nos últimos anos, houve um aumento dos chamados vírus Ransomware (vírus Cryptolocker), que também têm vários nomes, como Cryptowall, Troldesh, Locky, Helpme, etc.

O computador é infectado por um Ransomware (geralmente por um e-mail enganoso que pede para clicar em um link ou pela visita a sites de qualidade duvidosa), que criptografa os dados com criptografia AES256 e envia a chave ao invasor.

O resultado é que os arquivos não abrem mais, e aparecem com extensões estranhas (por exemplo, Scan001.locky ou geralmente scan001.jpg.*) e são impossíveis de abrir.

O malware então cria uma tela inicial informando ao usuário que os dados no disco foram criptografados e pede um resgate para enviar a chave para descriptografar os dados. Normalmente o resgate é pago em bitcoins e todo o processo é feito através do Navegador Tor para que os autores não possam ser rastreados.

Vale ressaltar que mesmo que o valor solicitado seja pago, não há nenhuma garantia de que os sequestradores fornecerão a chave de descriptografia.

Também é importante saber que a versão original desta variedade de vírus tinha como alvo apenas servidores Windows (e principalmente versões 2003 e anteriores) que tinham a Área de Trabalho Remota do Windows integrada habilitada na porta padrão (3389). Os sequestradores exploravam uma falha de segurança neste sistema, e assim o Ransomware em questão era instalado no disco, criptografava os arquivos gerando uma chave aleatória de 128 bits que ficava escondida na própria unidade infectada.
Com o passar do tempo o sistema evoluiu com criptografia de 256 bits e por não armazenar a chave localmente, de modo que fica impossível descriptografar os dados.

Também devemos enfatizar que o Ransomware geralmente tem como alvo todas as unidades locais do computador, bem como todas as unidades externas conectadas e de rede. Geralmente, ele atinge todas as unidades que possuem uma letra de unidade (C:, D:, X: etc), enquanto que alguns scripts mais sofisticados até encontram e se conectam a unidades que não estão mapeadas e, portanto, não recebem uma letra de unidade.

Como funcionam os ransomware/criptovírus

O computador é infectado ao abrir links ou anexos de e-mail ou através de sites. Nesse ponto o malware está instalado no computador atacado. O consentimento do usuário não é solicitado.

O malware se comunica com o servidor do invasor e solicita uma chave RSA pública. A chave RSA pública pode criptografar, mas não descriptografar.

Em seguida, ele gera uma chave AES (em alguns casos gera uma chave para cada arquivo) e criptografa o tudo usando criptografia AES. O arquivo original é então excluído.

A chave AES é criptografada com a chave RSA pública e armazenada em algum lugar na cópia criptografada do arquivo original.

A vítima é informada sobre o sequestro e é exigido um resgate pela descriptografia normalmente através de um arquivo de texto que é o único que abre na unidade infectada.

O problema que os vírus ransomware criam

Sem a chave RSA privada do servidor do invasor é impossível descriptografar as chaves AES e, portanto, impossível descriptografar os dados.

A solução - descriptografando vírus ransomware

A única maneira de descriptografar dados infectados por Ransomware, é através da obtenção das chaves RSA privadas e existem duas soluções possíveis para isso.

Pagar o resgate

É claro que o resultado não é garantido, e pagar o valor ajuda a espalhar ainda mais o problema, incentivando o surgimento de mais sequestradores de arquivos.

Esperar

De alguma forma, talvez as chaves possam ser obtidas e a descriptografia será possível. Também não há garantia de que isso acontecerá.

Muitas vezes existem brechas na forma como o código é escrito para que esses Ransomware funcionem, mas encontrar essas brechas e explorá-las requer análise e engenharia reversa.

Hoje já existem centenas de variantes do Ransomware original, bem mais sofisticadas e muitas vezes impenetráveis. E ainda é possível que alguem que tenha algum conhecimento de programação compre kits prontos de Ransomware, modifique-os e comece a distribuí-los para capturar usuários desavisados ou incautos e chantageá-los.

Nosso diagnóstico e orçamento para ransomware são gratuitos

Aqui na ABCHD Recuperação de Dados, temos técnicos de software que ajudaram a encontrar vulnerabilidades em muitas das brechas existentes, tornando possível a descriptografia de dados. Para descobrir se podemos ajudá-lo a descriptografar seus dados, siga estas instruções

  • Primeiro você precisa enviar 2 ou 3 arquivos criptografados para nosso e-mail.
  • Envie também para o mesmo e-mail o arquivo com o pedido de resgate deixado pelo Ransomware. Geralmente este é um arquivo .txt .html e quase sempre está nomeado como help_decrypt.txt, decrypt_info.txt ou algo parecido e está presente em todas as pastas criptografadas e é o único arquivo que abre.
  • Se houver, envie-nos também um arquivo criptografado, junto com sua versão normal, que você provavelmente possui de um backup mais antigo.
  • Por favor, não envie arquivos modificados/corrompidos de outras tentativas que você possa ter feito.

Fale com nossos especialistas

Agilidade, segurança e eficiência de quem possui a maior taxa de sucesso do segmento. Análises Emergenciais em até 2H.

QUERO RECUPERAR MEUS DADOS
×