FacebookTwitterLinkedIn

Vírus CryptoWall

Também Conhecido Como: CryptoWall (Ransomware)
Tipo: Ransomware
Nível de Estragos: Médio

Tomas Meskauskas Escrito por a (atualizado)

Instruções de remoção do vírus CryptoWall

O que é CryptoWall?

CryptoWall é um vírus ransomware que se infiltra no sistema de operacional do utilizador através de mensagens de e-mail infetadas e falsos descarregamentos, programas de vídeo maliciosos ou falsas actualizações flash. Após a infiltração bem sucedida deste programa malicioso, este encripta os ficheiros armazenados no computador do utilizador (*.doc, *.docx, *.xls, *.ppt, *.psd, *.pdf, *.eps, *.ai, *.cdr, *.jpg, etc.) e exige o pagamento de um resgate de US $500 (em Bitcoins) para desencriptar os ficheiros. Os criminosos virtuais que são responsáveis por espalhar este programa fraudulento certificaram-se de que fosse executado em todas as versões do Windows (Windows XP, Windows Vista, Windows 7 e Windows 8). O ransomware CryptoWall cria ficheiros DECRYPT_INSTRUCTION.txt, DECRYPT_INSTRUCTION.html e DECRYPT_INSTRUCTION.url em cada pasta que contém os ficheiros encriptados.

Estes ficheiros contêm instruções sobre como os utilizadores podem desencriptar os seus ficheiros; as instruções incluem o uso do navegador Tor (navegador web anónimo). Os criminosos virtuais estão a usar Tor para esconder as suas identidades. Os utilizadores de PC devem saber que embora a infecção em si não seja tão complicado; remover os ficheiros (encriptados usando a encriptação RSA 2048) afetados por este programa malicioso é impossível sem pagar o resgate. No momento da pesquisa não existiam ferramentas estavam capazes de desencriptar estes arquivos encriptados por CryptoWall. Note que a chave privada, que pode ser usada para desencriptar os ficheiros é armazenada em servidores de comando e controlo de CryptoWall que são geridas por criminosos virtuais. A solução ideal seria remover este vírus ransomware e restaurar os dados de uma cópia de segurança.

Screenshot de uma mensagem que é apresentada nos ficheiros DECRYPT_INSTRUCTION.txt, DECRYPT_INSTRUCTION.html e DECRYPT_INSTRUCTION.url:

instruções de desencriptar cryptowall

AS infeções de ransomware tais como CryptoWall (por exemplo CryptoDefense, CryptorBitCryptolocker) devem ser um argumento muito forte para ter sempre cópias de segurança dos seus dados armazenados. Note que pagar o resgate, quando perguntado por este ransomware igualaria a enviar o dinheiro de criminosos virtuais, um apoiaria o seu modelo de negócio fraudulento e, além disso, não existem garantias que os ficheiros já estejam desencriptados.

Resumo da Ameaça:
Nome CryptoWall (Ransomware)
Tipo de Ameaça Ransomware, Vírus Cripto, Ficheiros de bloqueio
Sintomas Não é possível abrir ficheiros armazenados no seu computador, os ficheiros anteriormente funcionais agora têm uma extensão diferente, por exemplo my.docx.locked. Uma mensagem exigente de resgate é exibida na sua área de trabalho. Os criminosos cibernéticos estão a pedir para pagar um resgate (geralmente em bitcoins) para desbloquear os seus ficheiros.
Métodos de distribuição Métodos de distribuição Anexos de e-mail infectados (macros), sites de torrent, anúncios maliciosos.
Danos Todos os ficheiros são encriptados e não podem ser abertos sem pagar um resgate. Os trojans adicionais de roubo de palavra-passe e infecções por malware podem ser instalados juntamente com uma infecção por ransomware.
Remoção

Para eliminar possíveis infecções por malware, verifique o seu computador com software antivírus legítimo. Os nossos investigadores de segurança recomendam a utilização do Combo Cleaner.
▼ Descarregar Combo Cleaner
O verificador gratuito verifica se o seu computador está infectado. Para usar a versão completa do produto, precisa de comprar uma licença para Combo Cleaner. 7 dias limitados para teste grátis disponível. O Combo Cleaner pertence e é operado por Rcs Lt, a empresa-mãe de PCRisk. Leia mais.

Para evitar a infecção por ransomware do computador, os utilizadores devem ter muito cuidado ao abrir mensagens de e-mail, os criminosos virtuais estão a usar vários títulos cativantes para enganar os utilziadores de PC a abrir os anexos de e-mail infectados, por exemplo "NotificaçãoExeção UPS". Pesquisas recentes mostram que criminosos virtuais também estão a utilizar redes de P2P e descarregamentos falsos que contêm infecções ransomware agregadas para espalhar CryptoWall.

Screenshot de uma mensagem que é apresentada nos ficheiros DECRYPT_INSTRUCTION.txt, DECRYPT_INSTRUCTION.html e DECRYPT_INSTRUCTION.url:

O que aconteceu com os seus ficheiros?

 

Todos os seus ficheiros estavam protegidos por uma forte encriptação com RSA-2048 usando CryptoWall.
Mais informações sobre as chaves de encriptação usando RSA-2048 podem ser encontradas aqui: en.wikipedia.org/wiki/RSA_(crypto system)

 

O que significa isso?

 

Isto significa que a estrutura e os dados dentro dos seus ficheiros foram inequivocamente alterados, não será capaz de trabalhar com eles, lê-los ou vê-los, é a mesma coisa que perdê-los para sempre, mas com a nossa ajuda, pode restaurá-los.

 

Como é que isto aconteceu?

 

Especialmente para si, no nosso servidor foi gerado um par de chaves secreto RSA-2048 - públicas e privadas. Todos os seus ficheiros foram encriptados com a chave pública, que foi transferida para o seu computador através da Internet. Só é possível desencriptar os seus ficheiros com a ajuda da chave privada e programa de desencriptar, que está no nosso servidor secreto.

 

Como que faço isso?

 

Se não tomar as medidas necessárias para o tempo especificado,as condições para obter a chave particular serão alteradas.
Por isso, se realmente valoriza os seus dados, sugerimos que não dispense tempo valioso a procurar soluções porque elas não existem. Para obter instruções mais específicas, por favor visite a sua página pessoal, existem alguns endereços diferentes que apontam para a sua página abaixo:

 

1. hxxps://kpai7ycr7jxqkilp.torexplorer.com/3koe
2. hxxps://kpai7ycr7jxqkilp.tor2web.org/3koe
3. hxxps://kpai7ycr7jxqkilp.onion.to/3koe

 

Se por alguma razão os endereços não estão disponíveis, siga estes passos:

 

1. Precisa de descarregar e instalar este navegador: hxxp://www.torproject.org/projects/torbrowser.html.en
2. Após a instalação bem-sucedida, execute o navegador e aguarde a inicialização.
3. Insira na barra de endereço: kpai7ycr7jxqkilp.onion/3koe
4. Siga as instruções no website.


Screenshot de uma mensagem de e-mail infectada, usada na distribuição em CryptoWall:

distribuição de cryptowall através de emails de spam UPS

O texto apresentado nas mensagens de e-mail infetado:

De: UPS Quantum View [auto-notify (at) ups.com]

Assunto: Notificação de Exceção UPS,

Número de Rastreio: 1Z522A9A6892487822
Descubra mais sobre UPS: Visite ups.com A pedido do remetente, informamos que a entrega do carregamento seguinte foi remarcada.
Informações de Entrega Importante
Número de Rastreio: 1Z522A9A6892487822

Data de Entrega Remarcada: 14 de abril de 2014

Motivo de Exceção: O CLIENTE NÃO ESTAVA DISPONÍVEL NA 1ª TENTATIVA. UMA 2ª TENTATIVA SERÁ FEITA. O PACOTE SERÁ ENTREGUE NO PRÓXIMO DIA ÚTIL.
Detalhes do Envio: 1Z522A9A6892487822

Screenshot de uma página de pagamento do resgate CryptoWall:

proteção captcha do website cryptowall

página de desencriptação cryptowall

 Mensagem apresentada na página de pagamento do resgate CryptoWall:

Serviço de desencriptação

Os seus ficheiros foram encriptados.
Para obter a chave para desencriptar os ficheiros tem que pagar 500 USD/EUR.
Se os pagamentos não foram feitos antes de [data] o custo de desencriptar os ficheiros vão aumentar 2 vezes e será de 1000 USD/EUR Antes de aumentar o montante restante: [cronómetro decrescente]
Estamos a apresentar um software especial - CryptoWall Decrypter - que permite desencriptar e devolver o controlo de todos os seus ficheiros encriptados.
Como comprar CryptoWall decrypter?
1. Deve registrar o Bitcoin waller

2. Comprar Bitcoins - Embora ainda não seja fácil comprar bit coins, está a ficar cada vez mais simples todos os dias.
3. Envie 1.22 BTC para endereço Bitcoin: 1BhLzCZGY6dwQYgX4B6NR5sjDebBPNapvv

4. Insira o ID de Transação e selecione o valor.
5. Por favor, verifique as informações de pagamento e clique em "PAGAR".

Note que no momento da escrita deste artigo, não existiam ferramentas conhecidas que podem desencriptar os arquivos encriptados por CryptoWall sem pagar o resgate. Seguindo este guia de remoção, será capaz de remover este ransomware do seu computador, no entanto os seus ficheiros encriptados afetados permanecerão. Atualizaremos este artigo assim que houver mais informações sobre os ficheiros comprometidos.

Remoção do vírus CryptoWall:

Remoção automática instantânea do malware: A remoção manual de ameaças pode ser um processo moroso e complicado que requer conhecimentos informáticos avançados. O Combo Cleaner é uma ferramenta profissional de remoção automática do malware que é recomendada para se livrar do malware. Descarregue-a clicando no botão abaixo:
 ▼ DESCARREGAR Combo Cleaner O verificador gratuito faz uma verificação se o seu computador estiver infetado. Para usar a versão completa do produto, precisa de comprar uma licença para Combo Cleaner. 7 dias limitados para teste grátis disponível. O Combo Cleaner pertence e é operado por Rcs Lt, a empresa-mãe de PCRisk. Leia mais. Ao descarregar qualquer software listado no nosso website, concorda com a nossa Política de Privacidade e Termos de Uso.

Menu rápido:

Passo 1

Utilizadores do Windows XP e Windows 7: Durante o processo de inicialização do seu computador, pressione F8 várias vezes no seu teclado até que o menu das Opções Avançadas do Windows apareça, então selecione o Modo de Segurança com Rede da lista e pressione ENTER.

Modo de Segurança com Rede

O vídeo mostra como iniciar o Windows 7 em "Modo seguro com Rede":

Utilizadores do Windows 8: Vá ao Ecrã de Inicialização do Windows 8, escreva Avançado, nos resultados da pesquisa, selecione Configurações. Clique em Opções Avançadas na inicialização, na janela aberta "Configurações Gerais PC" e selecione Inicialização Avançada. Clique no botão "Reiniciar agora". O seu computador será agora reiniciado em "Menu de opções avançadas de inicialização". Clique no botão "Solucionar Problemas" e, em seguida, clique no botão "Opções avançadas". Na opção avançada do ecrã clique em "Configurações de inicialização". Clique no botão "Reiniciar". O seu PC reiniciará no ecrã de Configurações de Inicialização. Pressione "5" para arrancar no Modo Seguro com Comando Prompt.

Windows 8 Modo de Segurança com Rede

O vídeo mostra como iniciar o Windows 8 em "Modo seguro com Rede":

Utilizadores Windows 10: Clique no logotipo do Windows e seleccione o ícone Energia. No menu aberto, clique em "Reiniciar", mantendo o botão "Shift" premido no seu teclado. Na janela "escolher uma opção", clique em "Solucionar Problemas" e selecione "Opções avançadas". No menu de opções avançadas, selecione "Startup Settings" e clique no botão "Reiniciar". Na janela seguinte deve clicar no botão "F5" do seu teclado. Isso irá reiniciar o sistema operacional em modo de segurança com rede.

Modo de Segurança com rede Windows 10

O vídeo demonstra como iniciar o Windows 7 "Modo de Segurança com Rede":

Passo 2

Entre na conta que está infectada com o vírus CryptoWall. Inicie o seu navegador de Internet e descarregue um programa anti-spyware legítimo. Atualize o software anti-spyware e inicie uma verificação completa do sistema. Remova todas as entradas que detetar.


Se não conseguir iniciar o computador em modo seguro com rede, tente fazer um restauro de sistema.

O vídeo demonstra como remover vírus de ransomware usando o "Modo Seguro com Comando Prompt" e "Restauro de Sistema":

1. Inicie o seu computador em Modo Seguro com Comando Prompt - Durante o processo de inicialização do seu computador, pressione F8 várias vezes no seu teclado até que o menu das Opções Avançadas do Windows apareça, então selecione o Modo de Segurança com Comando Prompt da lista e pressione ENTER.

Inicie o seu computador em Modo de Segurança com Comando Prompt

2. Quando o modo de comando prompt carregar, insira a seguinte linha: cd restore e pressione ENTER.

restauro de sistema com o comando prompt, insira cd restore

3. Seguidamente, insira esta linha: rstrui.exe e pressione ENTER.

restauro de sistema com o comando prompt rstrui.exe

4. Na janela aberta, clique em "Seguinte".

restauro de sistema e configurações

5. Selecione um ponto de restauro disponível e clique em "Seguinte" (isto irá restaurar o sistema do seu computador para um anterior data e hora, antes do vírus ransomware CryptoWall ter invadido o seu PC).

Selecione um ponto de restauro

6. Na janela aberta, clique em "Sim".

execute o restauro de sistema

7. Após restaurar o seu computador para uma data anterior, descarregue e analise o seu PC com um software de remoção de malware recomendado para eliminar quaisquer ficheiros de  CryptoWall restantes.

Para restaurar os ficheiros individuais encriptados por este ransomware PC, os utilizadores podem tentar usar o recurso de Versões Anteriores do Windows.
Este método só é eficaz se a função de Restauro de Sistema for activada num sistema operacional infectado. Note que algumas variantes de CryptoWall são conhecidas por remover Cópias de Volume Sombra dos arquivos, por isso este método pode não funcionar em todos os computadores.

Para restaurar um ficheiro, clique com o botão direito do rato sobre o ficheiro, vá a Propriedades e seleccione o separador Versões Anteriores. Se o ficheiro seleccionado tinha um ponto de restauro, seleccione-o e clique no botão "Restaurar".

Restaurando ficheiros encriptados por CryptoDefense

Se não puder iniciar o seu computador no modo de segurança com rede (ou comando prompt) deve inicializar o computador usando um disco de recuperação. Algumas variantes deste ransomware desactivam o modo seguro, tornando a remoção mais complicada. Para este passo, terá de ter acesso a outro computador.

Outras ferramentas conhecidas por remover o ransomware CryptoWall:

 

Fonte: https://www.pcrisk.com/removal-guides/7844-cryptowall-virus

▼ Mostrar comentários

Sobre o autor:

Tomas Meskauskas

Sou um apaixonado por segurança e tecnologia de computadores. Tenho experiência de mais de 10 anos a trabalhar em diversas empresas relacionadas à resolução de problemas técnicas e segurança na Internet. Tenho trabalhado como autor e editor para PCrisk desde 2010. Siga-me no Twitter e no LinkedIn para manter-se informado sobre as mais recentes ameaças à segurança on-line. Saiba mais sobre o autor.

O portal de segurança PCrisk é criado por forças unidas de pesquisadores de segurança para ajudar a educar os utilizadores de computador sobre as mais recentes ameaças de segurança online. Mais informações sobre os autores e pesquisadores que estão a trabalhar na PCrisk na nossa página de contato.

Os nossos guias de remoção de malware são gratuitos. Contudo, se quiser continuar a ajudar-nos, pode-nos enviar uma ajuda, sob a forma de doação.

Sobre nós

O PCrisk é um portal de cibersegurança, que informa os utilizadores da Internet sobre as últimas ameaças digitais. O nosso conteúdo é fornecido por especialistas em segurança e investigadores profissionais de malware. Leia mais sobre nós.

Instruções de remoção em outras línguas
Como prevenir contra a infecção
Guia de Remoção de novos vírus
Guias de Remoção dos Vírus principais
Code QR
CryptoWall (Ransomware) Code QR
Digitalize o código QR para ter um guia de remoção de acesso fácil de CryptoWall (Ransomware) no seu dispositivo móvel.
Nós recomendamos:

Livre-se hoje das infecções por malware Windows:

▼ REMOVER AGORA
Descarregar Combo Cleaner

Plataforma: Windows

Classificação do editor para Combo Cleaner:
ClassificaçãoExcelente!

[Início da Página]

O verificador gratuito faz uma verificação se o seu computador estiver infetado. Para usar a versão completa do produto, precisa de comprar uma licença para Combo Cleaner. 7 dias limitados para teste grátis disponível. O Combo Cleaner pertence e é operado por Rcs Lt, a empresa-mãe de PCRisk. Leia mais.