Vírus CryptoWall

Também Conhecido Como: CryptoWall (Ransomware)
Distribuição: Baixo
Nível de Estragos: Médio

Instruções de remoção do vírus CryptoWall

O que é CryptoWall?

CryptoWall é um vírus ransomware que se infiltra no sistema de operacional do utilizador através de mensagens de e-mail infetadas e falsos descarregamentos, programas de vídeo maliciosos ou falsas actualizações flash. Após a infiltração bem sucedida deste programa malicioso, este encripta os ficheiros armazenados no computador do utilizador (*.doc, *.docx, *.xls, *.ppt, *.psd, *.pdf, *.eps, *.ai, *.cdr, *.jpg, etc.) e exige o pagamento de um resgate de US $500 (em Bitcoins) para desencriptar os ficheiros. Os criminosos virtuais que são responsáveis por espalhar este programa fraudulento certificaram-se de que fosse executado em todas as versões do Windows (Windows XP, Windows Vista, Windows 7 e Windows 8). O ransomware CryptoWall cria ficheiros DECRYPT_INSTRUCTION.txt, DECRYPT_INSTRUCTION.html e DECRYPT_INSTRUCTION.url em cada pasta que contém os ficheiros encriptados.

Estes ficheiros contêm instruções sobre como os utilizadores podem desencriptar os seus ficheiros; as instruções incluem o uso do navegador Tor (navegador web anónimo). Os criminosos virtuais estão a usar Tor para esconder as suas identidades. Os utilizadores de PC devem saber que embora a infecção em si não seja tão complicado; remover os ficheiros (encriptados usando a encriptação RSA 2048) afetados por este programa malicioso é impossível sem pagar o resgate. No momento da pesquisa não existiam ferramentas estavam capazes de desencriptar estes arquivos encriptados por CryptoWall. Note que a chave privada, que pode ser usada para desencriptar os ficheiros é armazenada em servidores de comando e controlo de CryptoWall que são geridas por criminosos virtuais. A solução ideal seria remover este vírus ransomware e restaurar os dados de uma cópia de segurança.

Screenshot de uma mensagem que é apresentada nos ficheiros DECRYPT_INSTRUCTION.txt, DECRYPT_INSTRUCTION.html e DECRYPT_INSTRUCTION.url:

instruções de desencriptar cryptowall

AS infeções de ransomware tais como CryptoWall (por exemplo CryptoDefense, CryptorBitCryptolocker) devem ser um argumento muito forte para ter sempre cópias de segurança dos seus dados armazenados. Note que pagar o resgate, quando perguntado por este ransomware igualaria a enviar o dinheiro de criminosos virtuais, um apoiaria o seu modelo de negócio fraudulento e, além disso, não existem garantias que os ficheiros já estejam desencriptados.

Para evitar a infecção por ransomware do computador, os utilizadores devem ter muito cuidado ao abrir mensagens de e-mail, os criminosos virtuais estão a usar vários títulos cativantes para enganar os utilziadores de PC a abrir os anexos de e-mail infectados, por exemplo "NotificaçãoExeção UPS". Pesquisas recentes mostram que criminosos virtuais também estão a utilizar redes de P2P e descarregamentos falsos que contêm infecções ransomware agregadas para espalhar CryptoWall.

Screenshot de uma mensagem que é apresentada nos ficheiros DECRYPT_INSTRUCTION.txt, DECRYPT_INSTRUCTION.html e DECRYPT_INSTRUCTION.url:

O que aconteceu com os seus ficheiros?

 

Todos os seus ficheiros estavam protegidos por uma forte encriptação com RSA-2048 usando CryptoWall.
Mais informações sobre as chaves de encriptação usando RSA-2048 podem ser encontradas aqui: en.wikipedia.org/wiki/RSA_(crypto system)

 

O que significa isso?

 

Isto significa que a estrutura e os dados dentro dos seus ficheiros foram inequivocamente alterados, não será capaz de trabalhar com eles, lê-los ou vê-los, é a mesma coisa que perdê-los para sempre, mas com a nossa ajuda, pode restaurá-los.

 

Como é que isto aconteceu?

 

Especialmente para si, no nosso servidor foi gerado um par de chaves secreto RSA-2048 - públicas e privadas. Todos os seus ficheiros foram encriptados com a chave pública, que foi transferida para o seu computador através da Internet. Só é possível desencriptar os seus ficheiros com a ajuda da chave privada e programa de desencriptar, que está no nosso servidor secreto.

 

Como que faço isso?

 

Se não tomar as medidas necessárias para o tempo especificado,as condições para obter a chave particular serão alteradas.
Por isso, se realmente valoriza os seus dados, sugerimos que não dispense tempo valioso a procurar soluções porque elas não existem. Para obter instruções mais específicas, por favor visite a sua página pessoal, existem alguns endereços diferentes que apontam para a sua página abaixo:

 

1. hxxps://kpai7ycr7jxqkilp.torexplorer.com/3koe
2. hxxps://kpai7ycr7jxqkilp.tor2web.org/3koe
3. hxxps://kpai7ycr7jxqkilp.onion.to/3koe

 

Se por alguma razão os endereços não estão disponíveis, siga estes passos:

 

1. Precisa de descarregar e instalar este navegador: hxxp://www.torproject.org/projects/torbrowser.html.en
2. Após a instalação bem-sucedida, execute o navegador e aguarde a inicialização.
3. Insira na barra de endereço: kpai7ycr7jxqkilp.onion/3koe
4. Siga as instruções no website.


Screenshot de uma mensagem de e-mail infectada, usada na distribuição em CryptoWall:

distribuição de cryptowall através de emails de spam UPS

O texto apresentado nas mensagens de e-mail infetado:

De: UPS Quantum View [auto-notify (at) ups.com]

Assunto: Notificação de Exceção UPS,

Número de Rastreio: 1Z522A9A6892487822
Descubra mais sobre UPS: Visite ups.com A pedido do remetente, informamos que a entrega do carregamento seguinte foi remarcada.
Informações de Entrega Importante
Número de Rastreio: 1Z522A9A6892487822

Data de Entrega Remarcada: 14 de abril de 2014

Motivo de Exceção: O CLIENTE NÃO ESTAVA DISPONÍVEL NA 1ª TENTATIVA. UMA 2ª TENTATIVA SERÁ FEITA. O PACOTE SERÁ ENTREGUE NO PRÓXIMO DIA ÚTIL.
Detalhes do Envio: 1Z522A9A6892487822

Screenshot de uma página de pagamento do resgate CryptoWall:

proteção captcha do website cryptowall

página de desencriptação cryptowall

 Mensagem apresentada na página de pagamento do resgate CryptoWall:

Serviço de desencriptação

Os seus ficheiros foram encriptados.
Para obter a chave para desencriptar os ficheiros tem que pagar 500 USD/EUR.
Se os pagamentos não foram feitos antes de [data] o custo de desencriptar os ficheiros vão aumentar 2 vezes e será de 1000 USD/EUR Antes de aumentar o montante restante: [cronómetro decrescente]
Estamos a apresentar um software especial - CryptoWall Decrypter - que permite desencriptar e devolver o controlo de todos os seus ficheiros encriptados.
Como comprar CryptoWall decrypter?
1. Deve registrar o Bitcoin waller

2. Comprar Bitcoins - Embora ainda não seja fácil comprar bit coins, está a ficar cada vez mais simples todos os dias.
3. Envie 1.22 BTC para endereço Bitcoin: 1BhLzCZGY6dwQYgX4B6NR5sjDebBPNapvv

4. Insira o ID de Transação e selecione o valor.
5. Por favor, verifique as informações de pagamento e clique em "PAGAR".

Note que no momento da escrita deste artigo, não existiam ferramentas conhecidas que podem desencriptar os arquivos encriptados por CryptoWall sem pagar o resgate. Seguindo este guia de remoção, será capaz de remover este ransomware do seu computador, no entanto os seus ficheiros encriptados afetados permanecerão. Atualizaremos este artigo assim que houver mais informações sobre os ficheiros comprometidos.

Remoção do vírus CryptoWall:

Remoção imediata automática de CryptoWall (Ransomware): A remoção manual de ameaças pode ser um processo demorado e complicado que requer conhecimentos avançados de informática. Spyhunter é uma ferramenta profissional de remoção automática de malware que é recomendada para se livrar de CryptoWall (Ransomware). Descarregue ao clicar no botão abaixo:
▼ DESCARREGAR Spyhunter O verificador gratuito faz uma verificação se o seu computador estiver infetado. Para remover o malware, é necessário comprar a versão completa de Spyhunter. Ao descarregar qualquer software listado no nosso website, concorda com a nossa Política de Privacidade e Termos de Uso.

Menu rápido:

Passo 1

Utilizadores do Windows XP e Windows 7: Durante o processo de inicialização do seu computador, pressione F8 várias vezes no seu teclado até que o menu das Opções Avançadas do Windows apareça, então selecione o Modo de Segurança com Rede da lista e pressione ENTER.

Modo de Segurança com Rede

O vídeo mostra como iniciar o Windows 7 em "Modo seguro com Rede":

Utilizadores do Windows 8: Vá ao Ecrã de Inicialização do Windows 8, escreva Avançado, nos resultados da pesquisa, selecione Configurações. Clique em Opções Avançadas na inicialização, na janela aberta "Configurações Gerais PC" e selecione Inicialização Avançada. Clique no botão "Reiniciar agora". O seu computador será agora reiniciado em "Menu de opções avançadas de inicialização". Clique no botão "Solucionar Problemas" e, em seguida, clique no botão "Opções avançadas". Na opção avançada do ecrã clique em "Configurações de inicialização". Clique no botão "Reiniciar". O seu PC reiniciará no ecrã de Configurações de Inicialização. Pressione "5" para arrancar no Modo Seguro com Comando Prompt.

Windows 8 Modo de Segurança com Rede

O vídeo mostra como iniciar o Windows 8 em "Modo seguro com Rede":

Utilizadores Windows 10: Clique no logotipo do Windows e seleccione o ícone Energia. No menu aberto, clique em "Reiniciar", mantendo o botão "Shift" premido no seu teclado. Na janela "escolher uma opção", clique em "Solucionar Problemas" e selecione "Opções avançadas". No menu de opções avançadas, selecione "Startup Settings" e clique no botão "Reiniciar". Na janela seguinte deve clicar no botão "F5" do seu teclado. Isso irá reiniciar o sistema operacional em modo de segurança com rede.

Modo de Segurança com rede Windows 10

O vídeo demonstra como iniciar o Windows 7 "Modo de Segurança com Rede":

Passo 2

Entre na conta que está infectada com o vírus CryptoWall. Inicie o seu navegador de Internet e descarregue um programa anti-spyware legítimo. Atualize o software anti-spyware e inicie uma verificação completa do sistema. Remova todas as entradas que detetar.


Se não conseguir iniciar o computador em modo seguro com rede, tente fazer um restauro de sistema.

O vídeo demonstra como remover vírus de ransomware usando o "Modo Seguro com Comando Prompt" e "Restauro de Sistema":

1. Inicie o seu computador em Modo Seguro com Comando Prompt - Durante o processo de inicialização do seu computador, pressione F8 várias vezes no seu teclado até que o menu das Opções Avançadas do Windows apareça, então selecione o Modo de Segurança com Comando Prompt da lista e pressione ENTER.

Inicie o seu computador em Modo de Segurança com Comando Prompt

2. Quando o modo de comando prompt carregar, insira a seguinte linha: cd restore e pressione ENTER.

restauro de sistema com o comando prompt, insira cd restore

3. Seguidamente, insira esta linha: rstrui.exe e pressione ENTER.

restauro de sistema com o comando prompt rstrui.exe

4. Na janela aberta, clique em "Seguinte".

restauro de sistema e configurações

5. Selecione um ponto de restauro disponível e clique em "Seguinte" (isto irá restaurar o sistema do seu computador para um anterior data e hora, antes do vírus ransomware CryptoWall ter invadido o seu PC).

Selecione um ponto de restauro

6. Na janela aberta, clique em "Sim".

execute o restauro de sistema

7. Após restaurar o seu computador para uma data anterior, descarregue e analise o seu PC com um software de remoção de malware recomendado para eliminar quaisquer ficheiros de  CryptoWall restantes.

Para restaurar os ficheiros individuais encriptados por este ransomware PC, os utilizadores podem tentar usar o recurso de Versões Anteriores do Windows.
Este método só é eficaz se a função de Restauro de Sistema for activada num sistema operacional infectado. Note que algumas variantes de CryptoWall são conhecidas por remover Cópias de Volume Sombra dos arquivos, por isso este método pode não funcionar em todos os computadores.

Para restaurar um ficheiro, clique com o botão direito do rato sobre o ficheiro, vá a Propriedades e seleccione o separador Versões Anteriores. Se o ficheiro seleccionado tinha um ponto de restauro, seleccione-o e clique no botão "Restaurar".

Restaurando ficheiros encriptados por CryptoDefense

Se não puder iniciar o seu computador no modo de segurança com rede (ou comando prompt) deve inicializar o computador usando um disco de recuperação. Algumas variantes deste ransomware desactivam o modo seguro, tornando a remoção mais complicada. Para este passo, terá de ter acesso a outro computador.

Outras ferramentas conhecidas por remover o ransomware CryptoWall:

 

Fonte: https://www.pcrisk.com/removal-guides/7844-cryptowall-virus