FacebookTwitterLinkedIn

Vírus CryptoDefense

Também Conhecido Como: How_Decrypt (Ransomware)
Nível de Estragos: Grave

Instruções de remoção do vírus CryptoDefense

CryptoDefense é um vírus ransomware que se infiltra no sistema de operacional do utilizador através de mensagens de e-mail infectadas e falsos descarregamentos, programas de vídeo maliciosos ou falsas actualizações flash. Após a infiltração bem sucedida deste programa malicioso, este encripta os ficheiros armazenados no computador do utilizador (*.doc, *.docx, *.xls, *.ppt, *.psd, *.pdf, *.eps, *.ai, *.cdr, *.jpg, etc.)) e exige o pagamento de um resgate de US $500 (em Bitcoins) para desencriptar os ficheiros. Os criminosos virtuais que são responsáveis por espalhar este programa fraudulento certificaram-se de que fosse executado em todas as versões do Windows (Windows XP, Windows Vista, Windows 7 e Windows 8). O ransomware CryptoDefense cria ficheiros How_Decrypt.txt, How_Decrypt.html e How_Decrypt.url em cada pasta que contém os ficheiros encriptados.

Estes ficheiros contêm instruções sobre como os utilizadores podem desencriptar os seus ficheiros; as instruções incluem o uso do navegador Tor (navegador web anónimo). Os criminosos virtuais estão a usar Tor para esconder as suas identidades. Os utilizadores de PC devem saber que embora a infecção em si não seja tão complicado; remover os ficheiros (encriptados usando a encriptação RSA 2048) afetados por este programa malicioso é impossível sem pagar o resgate. No momento da pesquisa não existiam ferramentas estavam capazes de desencriptar estes arquivos encriptados por CryptoDefense. Note que a chave privada, que pode ser usada para desencriptar os fiheiros é armazenada em servidores de comando e controlo de CryptoDefense que são geridas por criminosos virtuais. A solução ideal seria remover este vírus ransomware e restaurar os dados de uma cópia de segurança.

Screenshot de uma mensagem que é apresentada nos ficheiros How_Decrypt.txt, How_Decrypt.html e How_Decrypt.url:

vírus ransomware cryptodefense

As infecções de ransomware tais como CryptoDefense (por exemplo CryptorBit e Cryptolocker) devem ser um argumento muito forte para ter sempre cópias de segurança dos seus dados armazenados. Note que pagar o resgate, quando perguntado por este ransomware igualaria a enviar o dinheiro de criminosos virtuais, um apoiaria o seu modelo de negócio fraudulento e, além disso, não existem garantias que os ficheiros já estejam desencriptados. Para evitar a infecção por ransomware do computador, os utilizadores devem ter muito cuidado ao abrir mensagens de e-mail, os criminosos virtuais estão a usar vários títulos cativantes para enganar os utilziadores de PC a abrir os anexos de e-mail infectados, por exemplo "imagem digitalizada de uma Xerox WorkCentre". 

Pesquisas recentes mostram que criminosos virtuais também estão a utilizar redes de P2P e descarregamentos falsos que contêm infecções ransomware agregadas para espalhar CryptoDefense.

Mensagem apresentada nos ficheiros How_Decrypt.txt, How_Decrypt.html e How_Decrypt.url:

Todos os ficheiros, incluindo vídeos, fotos e documentos no seu computador são encriptados pelo Software CryptoDefense.
A encriptação foi produzida usando um chave pública exclusiva que RSA-2048 gerou para este computador. Para desencriptar os ficheiros, precisa de obter a chave privada. A única cópia da chave privada, que permitirá desencriptar os ficheiros, está localizada num servidor secreto na Internet; O servidor irá destruir a chave após um mês. Após isso, ninguém nunca será capaz de restaurar os ficheiros.
Para desencriptar os ficheiros, abra a sua página pessoal no site hxxps://rj2bocejarqnpuhm.browsetor.com/UOs e siga as instruções.
Se hxxps://rj2bocejarqnpuhm.browsetor.com/UOs não abrir, por favor, siga os passos abaixo:
1. Precisa de descarregar e instalar este navegador hxxp://www.torproject.org/projects/torbrowser.html.en

2. Após a instalação, execute o navegador e insira o endereço: rj2bocejarqnpuhm.onion/UOs

3. Siga as instruções no website.

Lembre-se e que, quanto mais fizer, mais oportunidades terá para recuperar os ficheiros.

Screenshot de uma mensagem de e-mail infectada, usada na distribuição em CryptoDefense:

Screenshot de uma mensagem de e-mail infectada, usada na distribuição em CryptoDefense

Texto apresentado nas mensagens de e-mail infectado:

De: Entrada Fax

Assunto: Imagem digitalizada de uma Xerox WorkCentre
Por favor, abra o documento em anexo. Foi digitalizado e enviado para si através de Xerox WorkCentre Pro.
Número de imagens: 3

Tipo de Fichero Anexado: ZIP [PDF]
Local WorkCentre Pro: Máquina local não definida

Nome do Dispositivo: IZ38F56PS2
Os ficheiros anexados são digitalizados como imagem em formato PDF.

Screenshot de uma página de pagamento do resgate:

mensagem cryptodefense how_decrypt

Mensagem apresentada na página de pagamento do resgate:

Os seus ficheiros são encriptados.
Para obter a chave para desencriptar os ficheiros, tem de pagar 500 USD/EUR; se o pagamento não for pago antes [data - hora] o custo de desencriptar os fiheiros aumentará 2 vezes e será de 1000 USD/EUR. Estamos a apresentar um software especial - CryptoDefense Decrypter - que é permitir para desencriptar e devolver o controlo para todos os seus ficheiros encriptados. Como comprar CryptoDefense decrypter?
1. Deve registar o Bitcoin waller

2. Comprar Bitcoins - Embora ainda não seja fácil comprar bit coins, está a ficar cada vez mais simples todos os dias.
3. Envie 1,09 BTC para endereço Bitcoin:
1EmLLj8peW292zR2VvumYPPa9wLcK4CPK1

4. Insira o ID de Transação e selecione o valor.
5. Por favor, verifique as informações de pagamento e clique em "PAGAR"

Note que no momento da escrita deste artigo, não existiam ferramentas conhecidas que podem desencriptar os arquivos encriptados por CryptoDefense sem pagar o resgate. Seguindo este guia de remoção, será capaz de remover este ransomware do seu computador, no entanto os seus ficheiros encriptados afetados permanecerão. Atualizaremos este artigo assim que houver mais informações sobre os ficheiros comprometidos.

Remoção do vírus CryptoDefense:

Passo 1

Utilizadores do Windows XP e Windows 7: Durante o processo de inicialização do seu computador, pressione F8 várias vezes no seu teclado até que o menu das Opções Avançadas do Windows apareça, então selecione o Modo de Segurança com Rede da lista e pressione ENTER.

Modo de Segurança com Rede

O vídeo mostra como iniciar o Windows 7 em "Modo de Segurança com Rede":

Utilizadores do Windows 8: Vá ao Ecrã de Inicialização do Windows 8, escreva Avançado, nos resultados da pesquisa, selecione Configurações. Clique em Opções Avançadas na inicialização, na janela aberta "Configurações Gerais PC" e selecione Inicialização Avançada. Clique no botão "Reiniciar agora".
O seu computador será agora reiniciado em "Menu de opções avançadas de inicialização". Clique no botão "Solucionar Problemas" e, em seguida, clique no botão "Opções avançadas". Na opção avançada do ecrã clique em "Configurações de inicialização". Clique no botão "Reiniciar". O seu PC reiniciará no ecrã de Configurações de Inicialização. Pressione "5" para arrancar no Modo Seguro com Comando Prompt

Windows 8 Modo de Segurança com Rede

O vídeo demonstra como iniciar o Windows 8 em "Modo de Segurança com Rede":

Passo 2

Entre na conta que está infectada com o vírus CryptoDefense. Inicie o seu navegador de Internet e descarregue um programa anti-spyware legítimo. Atualize o software anti-spyware e inicie uma verificação completa do sistema. Remova todas as entradas que detectar.

 

Se não conseguiR iniciar o computador em modo seguro com rede, tente fazer um restauro de sistema.


O vídeo demonstra como remover vírus de ransomware usando o "Modo Seguro com Comando Prompt" e "Restauro de Sistema":

1. Inicie o seu computador em Modo Seguro com Comando Prompt - Durante o processo de inicialização do seu computador, pressione F8 várias vezes no seu teclado até que o menu das Opções Avançadas do Windows apareça, então selecione o Modo de Segurança com Comando Prompt da lista e pressione ENTER.

Inicie o seu computador em Modo Seguro com Comando Prompt

2. Quando o modo de comando prompt carregar, insira a seguinte linha: cd restore e pressione ENTER.

restauro de sistema com o comando prompt, digite cd restore

3. Seguidamente, insira esta linha: rstrui.exe e pressione ENTER.

restauro de sistema com o comando prompt rstrui.exe

4. Na janela aberta, clique em "Seguinte".

restauro dos ficheiros e configurações do sistema

5. Selecione um ponto de restauro disponível e clique em "Seguinte" (isto irá restaurar o sistema do seu computador para um anterior data e hora, antes do vírus ransomware CryptoDefense ter invadido o seu PC).

seleccione um ponto de restauro

6. Na janela aberta, clique em "Sim".

executar restauro de sistema

7. 

Após restaurar o seu computador para uma data anterior, descarregue e analise o seu PC com um software de remoção de malware recomendado para eliminar quaisquer ficheiros de CryptoDefense restantes. Para restaurar os ficheiros individuais encriptados por este ransomware PC, os utilizadores podem tentar usar o recurso de Versões Anteriores do Windows.

Este método só é eficaz se a função de Restauro de Sistema for activada num sistema operacional infectado. Note que algumas variantes de CryptoDefense são conhecidas por remover Cópias de Volume Sombra dos arquivos, por isso este método pode não funcionar em todos os computadores.

Para restaurar um ficheiro, clique com o botão direito do rato sobre o ficheiro, vá a Propriedades e seleccione o separador Versões Anteriores. Se o ficheiro seleccionado tinha um ponto de restauro, seleccione-o e clique no botão "Restaurar".

A restaurar ficheiros encriptados por CryptoDefense

Se não puder iniciar o seu computador no modo de segurança com rede (ou comando prompt) deve  inicializar o computador usando um de disco de recuperação. Algumas variantes deste ransomware desactivam o modo seguro, tornando a remoção mais complicada. Para este passo, terá de ter acesso a outro computador.

Outras ferramentas conhecidas por remover ransomware CryptoDefense:

 

Fonte: https://www.pcrisk.com/removal-guides/7733-cryptodefense-virus

▼ Mostrar comentários

Sobre o autor:

Tomas Meskauskas

Sou um apaixonado por segurança e tecnologia de computadores. Tenho experiência de mais de 10 anos a trabalhar em diversas empresas relacionadas à resolução de problemas técnicas e segurança na Internet. Tenho trabalhado como autor e editor para PCrisk desde 2010. Siga-me no Twitter e no LinkedIn para manter-se informado sobre as mais recentes ameaças à segurança on-line. Saiba mais sobre o autor.

O portal de segurança PCrisk é criado por forças unidas de pesquisadores de segurança para ajudar a educar os utilizadores de computador sobre as mais recentes ameaças de segurança online. Mais informações sobre os autores e pesquisadores que estão a trabalhar na PCrisk na nossa página de contato.

Os nossos guias de remoção de malware são gratuitos. Contudo, se quiser continuar a ajudar-nos, pode-nos enviar uma ajuda, sob a forma de doação.

Sobre nós

O PCrisk é um portal de cibersegurança, que informa os utilizadores da Internet sobre as últimas ameaças digitais. O nosso conteúdo é fornecido por especialistas em segurança e investigadores profissionais de malware. Leia mais sobre nós.

Instruções de remoção em outras línguas
Code QR
How_Decrypt (Ransomware) Code QR
Digitalize o código QR para ter um guia de remoção de acesso fácil de How_Decrypt (Ransomware) no seu dispositivo móvel.
Nós recomendamos:

Livre-se hoje das infecções por malware Windows:

▼ REMOVER AGORA
Descarregar Combo Cleaner

Plataforma: Windows

Classificação do editor para Combo Cleaner:
ClassificaçãoExcelente!

[Início da Página]

O verificador gratuito faz uma verificação se o seu computador estiver infetado. Para usar a versão completa do produto, precisa de comprar uma licença para Combo Cleaner. 7 dias limitados para teste grátis disponível. O Combo Cleaner pertence e é operado por Rcs Lt, a empresa-mãe de PCRisk. Leia mais.