Vírus CryptoDefense
Escrito por Tomas Meskauskas a (atualizado)
Instruções de remoção do vírus CryptoDefense
CryptoDefense é um vírus ransomware que se infiltra no sistema de operacional do utilizador através de mensagens de e-mail infectadas e falsos descarregamentos, programas de vídeo maliciosos ou falsas actualizações flash. Após a infiltração bem sucedida deste programa malicioso, este encripta os ficheiros armazenados no computador do utilizador (*.doc, *.docx, *.xls, *.ppt, *.psd, *.pdf, *.eps, *.ai, *.cdr, *.jpg, etc.)) e exige o pagamento de um resgate de US $500 (em Bitcoins) para desencriptar os ficheiros. Os criminosos virtuais que são responsáveis por espalhar este programa fraudulento certificaram-se de que fosse executado em todas as versões do Windows (Windows XP, Windows Vista, Windows 7 e Windows 8). O ransomware CryptoDefense cria ficheiros How_Decrypt.txt, How_Decrypt.html e How_Decrypt.url em cada pasta que contém os ficheiros encriptados.
Estes ficheiros contêm instruções sobre como os utilizadores podem desencriptar os seus ficheiros; as instruções incluem o uso do navegador Tor (navegador web anónimo). Os criminosos virtuais estão a usar Tor para esconder as suas identidades. Os utilizadores de PC devem saber que embora a infecção em si não seja tão complicado; remover os ficheiros (encriptados usando a encriptação RSA 2048) afetados por este programa malicioso é impossível sem pagar o resgate. No momento da pesquisa não existiam ferramentas estavam capazes de desencriptar estes arquivos encriptados por CryptoDefense. Note que a chave privada, que pode ser usada para desencriptar os fiheiros é armazenada em servidores de comando e controlo de CryptoDefense que são geridas por criminosos virtuais. A solução ideal seria remover este vírus ransomware e restaurar os dados de uma cópia de segurança.
Screenshot de uma mensagem que é apresentada nos ficheiros How_Decrypt.txt, How_Decrypt.html e How_Decrypt.url:
As infecções de ransomware tais como CryptoDefense (por exemplo CryptorBit e Cryptolocker) devem ser um argumento muito forte para ter sempre cópias de segurança dos seus dados armazenados. Note que pagar o resgate, quando perguntado por este ransomware igualaria a enviar o dinheiro de criminosos virtuais, um apoiaria o seu modelo de negócio fraudulento e, além disso, não existem garantias que os ficheiros já estejam desencriptados. Para evitar a infecção por ransomware do computador, os utilizadores devem ter muito cuidado ao abrir mensagens de e-mail, os criminosos virtuais estão a usar vários títulos cativantes para enganar os utilziadores de PC a abrir os anexos de e-mail infectados, por exemplo "imagem digitalizada de uma Xerox WorkCentre".
Pesquisas recentes mostram que criminosos virtuais também estão a utilizar redes de P2P e descarregamentos falsos que contêm infecções ransomware agregadas para espalhar CryptoDefense.
Mensagem apresentada nos ficheiros How_Decrypt.txt, How_Decrypt.html e How_Decrypt.url:
Todos os ficheiros, incluindo vídeos, fotos e documentos no seu computador são encriptados pelo Software CryptoDefense.
A encriptação foi produzida usando um chave pública exclusiva que RSA-2048 gerou para este computador. Para desencriptar os ficheiros, precisa de obter a chave privada. A única cópia da chave privada, que permitirá desencriptar os ficheiros, está localizada num servidor secreto na Internet; O servidor irá destruir a chave após um mês. Após isso, ninguém nunca será capaz de restaurar os ficheiros.
Para desencriptar os ficheiros, abra a sua página pessoal no site hxxps://rj2bocejarqnpuhm.browsetor.com/UOs e siga as instruções.
Se hxxps://rj2bocejarqnpuhm.browsetor.com/UOs não abrir, por favor, siga os passos abaixo:
1. Precisa de descarregar e instalar este navegador hxxp://www.torproject.org/projects/torbrowser.html.en2. Após a instalação, execute o navegador e insira o endereço: rj2bocejarqnpuhm.onion/UOs
3. Siga as instruções no website.
Lembre-se e que, quanto mais fizer, mais oportunidades terá para recuperar os ficheiros.
Screenshot de uma mensagem de e-mail infectada, usada na distribuição em CryptoDefense:
Texto apresentado nas mensagens de e-mail infectado:
De: Entrada Fax
Assunto: Imagem digitalizada de uma Xerox WorkCentre
Por favor, abra o documento em anexo. Foi digitalizado e enviado para si através de Xerox WorkCentre Pro.
Número de imagens: 3Tipo de Fichero Anexado: ZIP [PDF]
Local WorkCentre Pro: Máquina local não definidaNome do Dispositivo: IZ38F56PS2
Os ficheiros anexados são digitalizados como imagem em formato PDF.
Screenshot de uma página de pagamento do resgate:
Mensagem apresentada na página de pagamento do resgate:
Os seus ficheiros são encriptados.
Para obter a chave para desencriptar os ficheiros, tem de pagar 500 USD/EUR; se o pagamento não for pago antes [data - hora] o custo de desencriptar os fiheiros aumentará 2 vezes e será de 1000 USD/EUR. Estamos a apresentar um software especial - CryptoDefense Decrypter - que é permitir para desencriptar e devolver o controlo para todos os seus ficheiros encriptados. Como comprar CryptoDefense decrypter?
1. Deve registar o Bitcoin waller2. Comprar Bitcoins - Embora ainda não seja fácil comprar bit coins, está a ficar cada vez mais simples todos os dias.
3. Envie 1,09 BTC para endereço Bitcoin:
1EmLLj8peW292zR2VvumYPPa9wLcK4CPK14. Insira o ID de Transação e selecione o valor.
5. Por favor, verifique as informações de pagamento e clique em "PAGAR"
Note que no momento da escrita deste artigo, não existiam ferramentas conhecidas que podem desencriptar os arquivos encriptados por CryptoDefense sem pagar o resgate. Seguindo este guia de remoção, será capaz de remover este ransomware do seu computador, no entanto os seus ficheiros encriptados afetados permanecerão. Atualizaremos este artigo assim que houver mais informações sobre os ficheiros comprometidos.
Remoção do vírus CryptoDefense:
Passo 1
Utilizadores do Windows XP e Windows 7: Durante o processo de inicialização do seu computador, pressione F8 várias vezes no seu teclado até que o menu das Opções Avançadas do Windows apareça, então selecione o Modo de Segurança com Rede da lista e pressione ENTER.
O vídeo mostra como iniciar o Windows 7 em "Modo de Segurança com Rede":
Utilizadores do Windows 8: Vá ao Ecrã de Inicialização do Windows 8, escreva Avançado, nos resultados da pesquisa, selecione Configurações. Clique em Opções Avançadas na inicialização, na janela aberta "Configurações Gerais PC" e selecione Inicialização Avançada. Clique no botão "Reiniciar agora".
O seu computador será agora reiniciado em "Menu de opções avançadas de inicialização". Clique no botão "Solucionar Problemas" e, em seguida, clique no botão "Opções avançadas". Na opção avançada do ecrã clique em "Configurações de inicialização". Clique no botão "Reiniciar". O seu PC reiniciará no ecrã de Configurações de Inicialização. Pressione "5" para arrancar no Modo Seguro com Comando Prompt
O vídeo demonstra como iniciar o Windows 8 em "Modo de Segurança com Rede":
Passo 2
Entre na conta que está infectada com o vírus CryptoDefense. Inicie o seu navegador de Internet e descarregue um programa anti-spyware legítimo. Atualize o software anti-spyware e inicie uma verificação completa do sistema. Remova todas as entradas que detectar.
Se não conseguiR iniciar o computador em modo seguro com rede, tente fazer um restauro de sistema.
O vídeo demonstra como remover vírus de ransomware usando o "Modo Seguro com Comando Prompt" e "Restauro de Sistema":
1. Inicie o seu computador em Modo Seguro com Comando Prompt - Durante o processo de inicialização do seu computador, pressione F8 várias vezes no seu teclado até que o menu das Opções Avançadas do Windows apareça, então selecione o Modo de Segurança com Comando Prompt da lista e pressione ENTER.
2. Quando o modo de comando prompt carregar, insira a seguinte linha: cd restore e pressione ENTER.
3. Seguidamente, insira esta linha: rstrui.exe e pressione ENTER.
4. Na janela aberta, clique em "Seguinte".
5. Selecione um ponto de restauro disponível e clique em "Seguinte" (isto irá restaurar o sistema do seu computador para um anterior data e hora, antes do vírus ransomware CryptoDefense ter invadido o seu PC).
6. Na janela aberta, clique em "Sim".
7.
Após restaurar o seu computador para uma data anterior, descarregue e analise o seu PC com um software de remoção de malware recomendado para eliminar quaisquer ficheiros de CryptoDefense restantes. Para restaurar os ficheiros individuais encriptados por este ransomware PC, os utilizadores podem tentar usar o recurso de Versões Anteriores do Windows.
Este método só é eficaz se a função de Restauro de Sistema for activada num sistema operacional infectado. Note que algumas variantes de CryptoDefense são conhecidas por remover Cópias de Volume Sombra dos arquivos, por isso este método pode não funcionar em todos os computadores.
Para restaurar um ficheiro, clique com o botão direito do rato sobre o ficheiro, vá a Propriedades e seleccione o separador Versões Anteriores. Se o ficheiro seleccionado tinha um ponto de restauro, seleccione-o e clique no botão "Restaurar".
Se não puder iniciar o seu computador no modo de segurança com rede (ou comando prompt) deve inicializar o computador usando um de disco de recuperação. Algumas variantes deste ransomware desactivam o modo seguro, tornando a remoção mais complicada. Para este passo, terá de ter acesso a outro computador.
Outras ferramentas conhecidas por remover ransomware CryptoDefense:
Fonte: https://www.pcrisk.com/removal-guides/7733-cryptodefense-virus
▼ Mostrar comentários