Vírus 'Os seus ficheiros pessoais foram encriptados'

Também Conhecido Como: Critroni ou Critroni.A (Ransomware)
Distribuição: Baixo
Nível de Estragos: Grave

Instruções de remoção do vírus 'Os seus ficheiros pessoais foram encriptados'

O que é 'Os seus ficheiros pessoais foram encriptados' (Ransomware Critroni)?

O vírus ransomware Critroni infiltra-se nos sistemas de operacionais dos utilizadores através de mensagens de e-mail infectadas e falsos descarregamentos (por exemplo, executores de vídeo fradulentos ou falsas atualizações Flash). Após a infiltração bem sucedida, este programa malicioso encripta os ficheiros armazenados nos computadores (*.doc, *.docx, *.xls, *.ppt, *.psd, *.pdf, *.eps, *.ai, *.cdr, *.jpg, etc.) e exige o pagamento de um resgate de US $300 (em Bitcoins) para desencriptá-los (os documentos encriptados recebem uma extensão de ficheiros .ctbl). Os criminosos virtuais responsáveis por lançar este programa fraudulento certificam-se de que é executado em todas as versões do sistema operacional Windows (Windows XP, Windows Vista, Windows 7 e Windows 8). Critroni ransomware cria ficheiros AllFilesAreLocked.bmp DecryptAllFiles.txt e [sete letras aleatórias].html dentro de cada pasta que contém os ficheiros encriptados.

Estes ficheiros contêm instruções detalhando como os utilizadores podem desencriptar os seus ficheiros e como usar o navegador Tor (um navegador web anónimo). Os criminosos virtuais usam Tor para esconder as suas identidades.  Os utilizadores de PC devem ter cuidado porque, embora a infecção em si não seja complicada de remover, é impossível desencriptar os ficheiros (encriptados usando a encriptação RSA 2048) afetados por este programa malicioso sem pagar o resgate. No momento da pesquisa, não havia ferramentas ou soluções capazes para desencriptar os ficheiros encriptados por Critroni. Note que a chave particular necessária para desencriptar os ficheiros é armazenada pelos servidores de comando e controlo de Critroni, que são geridos por criminosos virtuais. Portanto, a melhor solução é para remover esse vírus ransomware e restaurar os seus dados a partir de uma cópia de segurança.

Ransomware 'Os seus ficheiros pessoais foram encriptados'

As infecções ransomware tais como Critroni (incluindo CryptoWall, CryptoDefense, CryptorBit, e Cryptolocker) apresentam um caso forte manter cópias de segurança regulares dos dados armazenados. Note que pagar o resgate, conforme exigido por este ransomware, é o equivalente a enviar o seu dinheiro para os criminosos virtuais- irá apoiar o seu modelo de negócio malicioso e não há nenhuma garantia de que os seus ficheiros sejam desencriptados. Para evitar a infecção do computador com infecções ransomware como esta, tenha cuidado ao abrir mensagens de e-mail, uma vez que os criminosos virtuais usam vários títulos cativantes para enganar os utilizadores de PC a abrir anexos de e-mail infectados (por exemplo, "UPS Exception Notification" ou "FedEx Delivery Failure Notification").

Resumo da Ameaça:
NomeCritroni ou Critroni.A (Ransomware)
Tipo de AmeaçaRansomware, Vírus Cripto, Ficheiros de bloqueio
SintomasNão é possível abrir ficheiros armazenados no seu computador, os ficheiros anteriormente funcionais agora têm uma extensão diferente, por exemplo my.docx.locked. Uma mensagem exigente de resgate é exibida na sua área de trabalho. Os criminosos cibernéticos estão a pedir para pagar um resgate (geralmente em bitcoins) para desbloquear os seus ficheiros.
Métodos de distribuiçãoMétodos de distribuição Anexos de e-mail infectados (macros), sites de torrent, anúncios maliciosos.
DanosTodos os ficheiros são encriptados e não podem ser abertos sem pagar um resgate. Os trojans adicionais de roubo de palavra-passe e infecções por malware podem ser instalados juntamente com uma infecção por ransomware.
Remoção

Para eliminar Critroni ou Critroni.A (Ransomware), os nossos pesquisadores de malware recomendam que verifique o seu computador com Spyhunter.
▼ Descarregar Spyhunter
O verificador gratuito verifica se o seu computador está infectado. Para remover malware, precisa de comprar a versão completa de Spyhunter.

A pesquisa mostra que os criminosos virtuais também usam redes P2P e descarregamentos falsos contendo infecções ransomware agregadas para proliferar Critroni. Atualmente, o ransomware de ameaça 'Os seus ficheiros pessoais foram encriptados' é distribuído nas línguas inglesa e russa, e, portanto, os países que falam estas línguas estão no topo da lista de alvo de criminosos virtuais onde este malware prolifera.

A mensagem apresentada nos ficheiros  AllFilesAreLocked.bmp DecryptAllFiles.txt e [7 letras aleatórias].html:

Os seus documentos, fotos, bases de dados e outros ficheiros importantes foram encriptados com uma encriptação forte e uma chave exclusiva, gerada por este computador. A chave para desencriptar é privada é armazenada num servidor de Internet secreto, e ninguém pode desencriptar os seus ficheiros antes de pagar e obter a chave privada.
Se vir a janela de bloqueador principal, siga as instruções sobre o armário. Caso contrário, parece que você ou seu antivírus excluiu o programa bloqueador.
Agora tem a última hipótese para desencriptar os seus ficheiros.

1. Digite o endereço hxxp://torproject.org no seu navegador de Internet. Abra o site de Tor.

2. Clique 'Download Tor', em seguida pressione 'DOWNLOAD Tor Browser Bundle', instale e execute.
3. Agora tem o Navegador Tor. No Navegador Tor abra hxxp://zaxseiufetlkwpeu.onion    Note que este servidor só está disponível via Navegador Tor. Repita em 1 hora, se o site não estiver acessível.
4. Copie e cole a seguinte chave pública sob a forma de entrada no servidor. Evite más impressões.
436VPT-XI445Z-X4CFSL-MPOT6U-PQL2TK-74RNAQ-XYCCWO-ADYDL6 27UGA3-4YIAVP-IF3TTK-YGXGAI-3FATAX-SFK2XJ-VMELOS-YQNMI7 Q456FO-OVG476-FXKES2-TIAVXZ-ME2RLY-OWBKKV-L7EWNS-KYSWLB

5. Siga as instruções no servidor.

Screenshot de uma mensagem de e-mail infectado usada na distribuição de ransomware de 'Os seus ficheiros pessoais foram encriptados':

Screenshot de uma mensagem de e-mail infectado usada na distribuição de ransomware de 'Os seus ficheiros pessoais foram encriptados'

O texto apresentado em mensagens de e-mail infectadas:

Assunto: Notificação UPS

De: United Parcel Service (0511notify (at) ups.com)
Prezado Cliente,

    

         Este é um acompanhamento na sua entrega de parcela (número de rastreio 0p2uYq5RIho). A parcela contida no carregamento acima mencionado não foi aceite no endereço de destino. Por favor, entre em contato com o escritório local da UPS e crie a etiqueta impressa de entrega, incluída no presente anexo de e-mail. Por favor note que em caso de falha para entrar em contato com o escritório local da UPS dentro de 21 dias a parcela será novamente devolvida ao remetente.

 

    Gratos por servir-lo,
    UPS.com

    Este é o estado de entrega gerado automaticamente por e-mail, por favor faça responder a isto.

Screenshot do ficheiro AllFilesAreLocked.bmp:

Screenshot do ficheiro AllFilesAreLocked.bmp

Screenshot do ficheiro DecryptAllFiles.txt:

Screenshot do ficheiro DecryptAllFiles.txt

Screenshot do ficheiro.html [sete letras aleatórias]:

citroni decrypt html file

A página de pagamento do ransomware 'Os seus ficheiros pessoais foram encriptados':

A página de pagamento do ransomware 'Os seus ficheiros pessoais foram encriptados'

A mensagem apresentada na página de pagamento ransom 'Os seus ficheiros pessoais foram encriptados':

Pagamento exigido.
O servidor aceita apenas pagamentos em Bitcoin (BTC).
1. Pague o montante de 0.2 BTC (cerca de 24 USD) para endereço - Bitcoin endereço de carteira.
2. A transação demorará aproximadamente 15-30 minutos para confirmar. 

A desencriptação começará automaticamente. Não: desligue o computador, execute um programa antivírus, desative a ligação da Internet. As falhas durante o ficheiro de desencriptação e chave de recuperação podem levar a danos acidentais de ficheiros. Se não tiver qualquer Bitcoins clique 'Trocar'.

Página de troca de moeda Critroni:

Página de troca de moeda Critroni

Note: no momento da escrita deste artigo, não havia nenhuma ferramenta conhecida capaz de desencriptar os ficheiros encriptados por Critroni sem pagar o resgate. Seguindo este guia de remoção, será capaz de remover este ransomware do seu computador, no entanto, os arquivos afetados permanecerão encriptados. Atualizaremos este artigo, assim que tivermos mais informações disponíveis sobre a desencriptação de ficheiros comprometidos.

Remoção do vírus Critroni:

Remoção imediata automática de Critroni ou Critroni.A (Ransomware): A remoção manual de ameaças pode ser um processo demorado e complicado que requer conhecimentos avançados de informática. Spyhunter é uma ferramenta profissional de remoção automática de malware que é recomendada para se livrar de Critroni ou Critroni.A (Ransomware). Descarregue ao clicar no botão abaixo:
▼ DESCARREGAR Spyhunter O verificador gratuito faz uma verificação se o seu computador estiver infetado. Para remover o malware, é necessário comprar a versão completa de Spyhunter. Ao descarregar qualquer software listado no nosso website, concorda com a nossa Política de Privacidade e Termos de Uso.

Menu rápido:

PASSO 1

Utilizadores do Windows XP e Windows 7: Inicie o computador no Modo de Segurança. Clique em Iniciar, Clique em Encerrar, clique em Reiniciar, clique em OK. Durante o processo de reinício do seu computador pressione a tecla F8 no seu teclado várias vezes até ver o menu Opções Avançadas do Windows e, em seguida, selecione Modo de Segurança com Rede da lista,

 Modo Segurança com Rede

O vídeo demonstra como iniciar o Windows 7 em "Modo de Segurança com Rede":

Utilizadores Windows 8: Inicie o Windows 8 com Modo Segurança com Rede - Vá para o ecrão de início Windows 8, escreva Avançado, nos resultados da pesquisa, selecione Configurações. Clique em Opções Avançadas na inicialização, na janela aberta "Configurações Gerais PC" e selecione Inicialização Avançada. Clique no botão "Reiniciar agora". O seu computador será agora reiniciado em "Menu de opções avançadas de inicialização". Clique no botão "Solucionar Problemas" e, em seguida, clique no botão "Opções avançadas". Na opção avançada do ecrã clique em "Configurações de inicialização". Clique no botão "Reiniciar". O seu PC reiniciará no ecrã de Configurações de Inicialização. Pressione F5 para iniciar em Modo de Segurança com Rede.

Windows 8 em Modo de Segurança com Rede

O vídeo demonstra como iniciar o Windows 8 em "Modo de Segurança com Rede":

Utilizadores Windows 10: Clique no logotipo do Windows e seleccione o ícone Energia. No menu aberto, clique em "Reiniciar", mantendo o botão "Shift" premido no seu teclado. Na janela "escolher uma opção", clique em "Solucionar Problemas" e selecione "Opções avançadas". No menu de opções avançadas, selecione "Startup Settings" e clique no botão "Reiniciar". Na janela seguinte deve clicar no botão "F5" do seu teclado. Isso irá reiniciar o sistema operacional em modo de segurança com rede.

Modo de Segurança com rede Windows 10

O vídeo demonstra como iniciar o Windows 7 "Modo de Segurança com Rede":

Passo 2

Faça login na conta infectada com o vírus Critroni. Inicie o seu navegador de Internet e descarregue um programa anti-spyware legítimo. Atualize o software anti-spyware e inicie uma verificação completa do sistema. Remova todas as entradas detectadas.


Se não puder iniciar o computador no Modo de Segurança com Rede, tente executar um Restauro de Sistema.

O vídeo demonstra como remover vírus de ransomware usando o "Modo Seguro com Comando Prompt" e "Restauro de Sistema":

1. Durante o processo de reinício do seu computador pressione a tecla F8 no seu teclado várias vezes até ver o menu Opções Avançadas do Windows e, em seguida, selecione Modo Segurança com Comando Prompt da lista e pressione ENTER.

Inicie o seu computador em Modo de Segurança com Comando Prompt

2. Quando o modo Comando Prompt carregar, digite a seguinte linha:  cd restore  e pressione ENTER.

restauro de sistema através do comando prompt digite cd restore

3.Em seguida, digite esta linha: rstrui.exe e pressione ENTER.

restauro de sistema através do comando prompt digite rstrui.exe

4. Na janela aberta, clique em "Seguinte".

restauro dos ficheiros do sistema e configurações

5. Selecione um dos Pontos de Restauro disponíveis e clique em "Seguinte" (isto irá restaurar o seu sistema de computador para um tempo e data anteriores, anterior à infiltração do vírus ransomware Critroni no seu PC).

selecione um ponto de restauro

6. Na janela aberta, clique em "Sim".

executar restauro de sistema

7. Depois de restaurar o seu computador para uma data anterior, descarregue e analise o seu PC com software de remoção de malware recomendado para eliminar todos os ficheiros Critroni restantes.

Para restaurar os ficheiros encriptados individuais por este ransomware, tente usar a funcionalidade de Versões Anteriores do Windows.
Este método só é eficaz se a função de Restauro do Sistema foi ativada num sistema operacional infectado. Note que algumas variantes de Critroni são conhecidas por remover Cópias de Volume Sombra dos ficheiros, por isto este método pode não funcionar em todos os computadores.

Para restaurar um ficheiro, clique com o botão direito do rato sobre ele, vá a Propriedades e selecione o separador Versões Anteriores.
Se o ficheiro relevante tem um Ponto de Restauro, selecione-o e clique no botão "Restauro".

Restauro de ficheiros encriptados por CryptoDefense

Se não puder iniciar o computador no Modo de Segurança com Rede (ou com Comando Prompt), inicie o seu computador usando um disco de recuperação. Algumas variantes de ransomware desativam o Modo de Segurança, tornando a sua remoção complicada. Para este passo, irá precisar de ter acesso a outro computador.

Outras ferramentas conhecidas para remover o ransomware Critroni:

Fonte: https://www.pcrisk.com/removal-guides/8120-your-personal-files-are-encrypted-virus

Sobre o autor:

Tomas Meskauskas

Sou um apaixonado por segurança e tecnologia de computadores. Tenho experiência de mais de 10 anos a trabalhar em diversas empresas relacionadas à resolução de problemas técnicas e segurança na Internet. Tenho trabalhado como autor e editor para PCrisk desde 2010. Siga-me no Twitter e no LinkedIn para manter-se informado sobre as mais recentes ameaças à segurança on-line. Saiba mais sobre o autor.

O portal de segurança PCrisk é criado por forças unidas de pesquisadores de segurança para ajudar a educar os utilizadores de computador sobre as mais recentes ameaças de segurança online. Mais informações sobre os autores e pesquisadores que estão a trabalhar na PCrisk na nossa página de contato.

Os nossos guias de remoção de malware são gratuitos. Contudo, se quiser continuar a ajudar-nos, pode-nos enviar uma ajuda, sob a forma de doação.

Instruções de remoção em outras línguas
Code QR
Critroni ou Critroni.A (Ransomware) Code QR
Um código QR (Código de Resposta Rápida) é um código legível por uma máquina que armazena URLs e outras informações. Este código pode ser lido através de uma câmara num smartphone ou um tablet. Digitalize o código QR para ter um guia de remoção de acesso fácil de Critroni ou Critroni.A (Ransomware) no seu dispositivo móvel.
Nós recomendamos:

Livre-se de Critroni ou Critroni.A (Ransomware) hoje:

▼ REMOVER AGORA com Spyhunter

Plataforma: Windows

Classificação do editor para Spyhunter:
Excelente!

[Início da Página]

O verificador gratuito faz uma verificação se o seu computador estiver infetado. Para remover o malware, é necessário comprar a versão completa de Spyhunter.