Ransomware Samsam

Também Conhecido Como: SamSam (vírus)
Distribuição: Baixo
Nível de Estragos: Grave

Instruções de remoção do ransomware Samsam

O que é Samsam?

Samsam é um ransomware de alto risco concebido para infetar servidores não protegidos e encriptar ficheiros armazenados nos computadores ligados ao servidor infetado. Este ransomware é distribuído manualmente. Samsam anexa ao nome de cada ficheiro encriptados uma das seguintes extensões: .encryptedAES, .encryptedRSA, .encedRSA, .justbtcwillhelpyou, .btcbtcbtc, ou .btc-help-you - isto depende da versão do ransomware. Samsam empresa o algoritmo de encriptação assimétrico e, por isso, duas chaves (pública e privada) são geradas durante a encriptação - pública para encriptar, privada para desencriptar. Cyber exige um pagamento resgate na troca da chave privada. O restauro dos ficheiros sem esta chave é impossível. Após a encriptação dos ficheiros, Samsam desinstala-se automaticamente do PC das vítimas.

Os criminosos virtuais empregam várias ferramentas (por exemplo Jaxboss) para identificar os servidores que usam os produtos da empresa Red Hat's JBoss. Á semelhança dos ficheiros encriptados, Samsam recolhe informação detalhada sobre os PCs interligados. Durante a encriptação, Samsam cria um ficheiro HTML com o nome de 'HELP_DECRYPT_YOUR_FILES.HTML', colocando-o no ambiente de trabalho. Este ficheiro contém uma mensagem evidenciando que os ficheiros nos computadores da rede foram encriptados e que as vítimas devem pagar um resgate de 1 Bitcoin por PC infetado. O ficheiro contém instruções de pagamento passo-a-passo. Por isso, é fortemente aconselhável desligar do servidor infetado da rede aquando da descoberta do ransomware. Desta forma, será capaz de prevenir infeções adicionais. Atualmente, um Bitcoin é equivalente a $446.9 e, por isso, ao pagar o resgate por uma grande rede de computadores pode totalizar milhares de dólares. Infelizmente, não existem ferramentas capazes de restaurar ficheiros encriptados por Samsam - a chave privada é armazenada nos servidores remotos controlados por criminosos virtuais e a desencriptação é impossível sem esta. Por isso, a única maneira de resolver este problema é restaurar os seus ficheiros a partir de uma cópia de segurança.

Screenshot de uma mensagem a encorajar os utilizadores a contactar os desenvolvedores do ransomware Samsam para desencriptar os seus dados comprometidos:

Instruções de desencriptação de Samsam

Quase todos os ransomware não são distribuídos manualmente (normalmente infiltram-se nos sistemas via atualizações de softwae falsos, anexos de email infeciosos, ficheiros fraudulentos maliciosos através de redes P2P [peer-to-peer] [tais como Torrent] e/ou Trojans), Samsam partilha muitas similaridades com CryptoWall, CTB-Locker, Locker e dezenas de outros vírus de tipo ransomware. Todos encriptam os ficheiros das vítimas e fazem exigência de resgate. A única diferença é o tamanho do resgate e o tipo de algoritmo de encriptação usado. Note que os ficheiros são mais prováveis de permanecer encriptados mesmo após pagar o resgate. Por isso, nunca deve tentar contatar os criminosos virtuais ou pagar o resgate. Para prevenir esta situação, deve manter o seu software instalado atualizado. Além disso, esteja atento ao abrir os anexos abertos enviados a partir de endereços de email não reconhecidos e descarregamento de ficheiros/software a partir de entidades de terceiros. Usar um anti-vírus legítimo ou qualquer pacote anti-spyware é obrigatório.

Mensagem de exigência do resgate de Samsam (HELP_DECRYPT_YOUR_FILES.HTML):

Mensagem a exigir o resgate de Samsam

Mensagem a exigir o resgate apresentado no ficheiro HELP_DECRYPT_YOUR_FILES.HTML:

#O que aconteceu aos seus ficheiros?
Todos os seus ficheiros importantes foram encriptados com RSA-2048, RSA-2048 é um algoritmo de criptografia poderoso. Pra mais informação pode usar o Wikipedia.
*atenção Não renomeie ou edite ficheiros encriptados porque será impossível desencriptar os seus ficheiros.

 

#Como recuperar os ficheiros?
RSA é um algoritmo de criptografia assimétrico que necessita de duas chaves
1-Chave pública: que necessita para a encriptação
2-Chave privada: que necessita para a desencriptação

Por isso necessita da chave privada para recuperar os seus ficheiros. Não é possível recuperar os seus ficheiros sem a chave privada.

 

#Como conseguir a chave privada?
Pode receber a sua Chave Privada em 3 simples passos:

Passo1: Deve enviar-nos Um Bitcoin para cada PC afetado para receber a Chave Privada.
Passo 2: Após ter enviado um Bitcoin, deixe um comentário no seu blog com estes detalhes: A sua referência da transação Bitcoin + O seu nome de computador.

 

#O que é Bitcoin?
Bitcoin é uma rede de pagamento inovadora e um novo tipo de dinheiro. Pode criar uma conta Bitcoin em hxxp://blockchain.info e depositar dinheiro na sua conta e enviar-nos a nós.

 

#Como comprar Bitcoin?
Existem diferentes formas de comprar Bitcoin e depositar na sua conta, Pode comprar com WesternUnion, Bank Wire, International Bank transfer, Cash deposit e etc Se quiser pagar com a sua conta bancária de Negócios deve criar uma conta bancária in exchangers caso não aceitem pagamento de entidades terceiras.

 

#Como encontrar a referência da transação Bitcoin?
Entre em blockchain account -> go to “My transactions” tab -> Click on your transaction -> In “Transaction Summary” página, encontrará um "hash" com 64 caracteres de comprimento. Envie-nos este hash com o seu comentário no nosso blog + o seu nome de computador.

Os tipos de dados objectivados pelo ransomware Samsam:

.jin, .xls, .xlsx, .pdf, .doc, .docx, .ppt, .pptx, .txt, .dwg, .bak, .bkf, .pst, .dbx, .zip, .rar, .mdb, .asp, .aspx, .html, .htm, .dbf, .3dm, .3ds, .3fr, .jar, .3g2, .xml, .png, .tif, .3gp, .java, .jpe, .jpeg, .jpg, .jsp, .php, .3pr, .7z, .ab4, .accdb, .accde, .accdr, .accdt, .ach, .kbx, .acr, .act, .adb, .ads, .agdl, .ai, .ait, .al, .apj, .arw, .asf, .asm, .asx, .avi, .awg, .back, .backup, .backupdb, .pbl, .bank, .bay, .bdb, .bgt, .bik, .bkp, .blend, .bpw, .c, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfp, .cgm, .cib, .class, .cls, .cmt, .cpi, .cpp, .cr2, .craw, .crt, .crw, .phtml, .php5, .cs, .csh, .csl, .tib, .csv, .dac, .db, .db3, .db .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .design, .dgc, .djvu, .dng, .dot, .docm, .dotm, .dotx, .drf, .drw, .dtd, .dxb, .dx f, .dxg, .eml, .eps, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fmb, .fhd, .fla, .flac, .flv, .fpx, .fxg, .gray, .grey, .gry, .h, .hbk, .hpp, .ibank, .ibd, .ibz, .idx, .iif, .iiq, .incpas, .indd, .kc2, .kdbx, .kdc, .key, .kpdx, .lua, .m, .m4v, .max, .mdc, .mdf, .mef, .mfw, .mmw, .moneywell, .mos, .mov, .mp3, .mp4, .mpg, .mrw, .msg, .myd, .nd, .ndd, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .oil, .or f, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pef, .pem, .pfx, .pl, .plc, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .pptm, .prf, .ps, .psafe3, .psd, .pspimage, .ptx, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .r3d, .raf, .rat, .raw, .rdb, .rm, .rtf, .rw2, .rwl, .rwz, .s3db, .sas7bdat, .say, .sd0, .sda, .sdf, .sldm, .sldx, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .std, .sti, .stw, .stx, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxi, .sxm, .sxw, .tex, .tga, .thm, .tlg, .vob, .war, .wallet, .wav, .wb2, .wmv, .wpd, .wps, .x11, .x3f, .xis, .xla, .xlam, .xlk, .xlm, .xlr, .xlsb, .xlsm, .xlt, .xltm, .xltx, .xlw, .ycbcra, .yuv

Remoção do ransomware Samsam:

Remoção imediata automática de SamSam (vírus): A remoção manual de ameaças pode ser um processo demorado e complicado que requer conhecimentos avançados de informática. Spyhunter é uma ferramenta profissional de remoção automática de malware que é recomendada para se livrar de SamSam (vírus). Descarregue ao clicar no botão abaixo:
▼ DESCARREGAR Spyhunter O verificador gratuito faz uma verificação se o seu computador estiver infetado. Para remover o malware, é necessário comprar a versão completa de Spyhunter. Ao descarregar qualquer software listado no nosso website, concorda com a nossa Política de Privacidade e Termos de Uso.

Menu rápido:

Passo 1

Utilizadores Windows XP e Windows 7: Inicie o seu computador no Modo Seguro. Clique em Iniciar, Clique em Encerrar, clique em Reiniciar, clique em OK. Durante o processo de reinício do seu computador pressione a tecla F8 no seu teclado várias vezes até ver o menu Opções Avançadas do Windows e, em seguida, selecione Modo Segurança com Rede da lista.

Safe Mode with Networking

O vídeo demonstra como iniciar o Windows 7 "Modo de Segurança com Rede":

Utilizadores Windows 8: Inicie o Windows 8 com Modo Segurança com Rede - Vá para o ecrão de início Windows 8, escreva Avançado, nos resultados da pesquisa, selecione Configurações. Clique em opções de inicialização avançadas, na janela aberta "Definições Gerais de PC", selecione inicialização Avançada. Clique no botão "Reiniciar agora". O seu computador será reiniciado no "Menu de opções de inicialização avançadas". Clique no botão "Solucionar Problemas" e, em seguida, clique no botão "Opções avançadas". No ecrã de opções avançadas, clique em "Definições de inicialização". Clique no botão "Reiniciar". O seu PC será reiniciado no ecrã de Definições de Inicialização. Pressione F5 para iniciar em Modo de Segurança com Rede.

Modo de Segurança com rede Windows 8

O vídeo demonstra como começar Windows 8 "Modo de Segurança com Rede":

Passo 2

Faça login na conta infectada com o vírus Samsam. Inicie o seu navegador de Internet e descarregue um programa anti-spyware legítimo. Atualize o software anti-spyware e comece uma verificação de sistema completa. Remova todas as entradas detectadas.

Se não puder iniciar o computador no Modo de Segurança com Rede, tente executar um Restauro de Sistema.

O vídeo mostra como remover vírus ransomware usando "Modo de Segurança com Comando Prompt" e "Restauro de Sistema":

1. Durante o processo de reinício do seu computador pressione a tecla F8 no seu teclado várias vezes até ver o menu Opções Avançadas do Windows e, em seguida, selecione Modo Segurança com Comando Prompt da lista e pressione ENTER.

inicie o seu computador no Modo de Segurança com Comando Prompt

2. Quando o modo Comando Prompt carregar, digite a seguinte linha: cd restore e pressione ENTER

restauro de sistema usando comandos escreva cd restore

3. Em seguida, digite esta linha: rstrui.exe pressione ENTER.

restauro de sistema usando comandos escreva cd rstrui.exe

4. Na janeça aberta clique em "Seguinte".

restaure sistemas de ficheiros e definições

5. Selecione um dos Pontos de Restauro disponíveis e clique em "Seguinte" (isto irá restaurar o seu sistema de computador para um tempo e data anteriores, anterior à infiltração do vírus ransomware Samsam no seu PC).

selecione um ponto de restauro

6. Na janela aberta, clique em "Sim".

execute o restauro de sistema

7. Depois de restaurar o seu computador para uma data anterior, descarregue e analise o seu PC com software de remoção de malware recomendado para eliminar todos os ficheiros de Samsam restantes.

Para restaurar os ficheiros encriptados individuais por este ransomware, tente usar a funcionalidade de Versões Anteriores do Windows. Este método só é eficaz se a função de Restauro do Sistema foi ativada num sistema operacional infectado. Note que algumas variantes de Samsam são conhecidas por remover Cópias de Volume Sombra dos ficheiros, por isto este método pode não funcionar em todos os computadores.

Para restaurar um ficheiro, clique com o botão direito do rato sobre ele, vá a Propriedades e selecione o separador Versões Anteriores. Se o ficheiro relevante tem um Ponto de Restauro, selecione-o e clique no botão "Restauro".

Restaurando ficheiros encriptados por CryptoDefense

Se não puder iniciar o computador no Modo de Segurança com Rede (ou com Comando Prompt), inicie o seu computador usando um disco de recuperação. Algumas variantes de ransomware desativam o Modo de Segurança, tornando a sua remoção complicada. Para este passo, irá precisar de ter acesso a outro computador.

Para recuperar o controle dos ficheiros encriptados por Samsam também pode tentar usar um programa chamado Shadow Explorer. Mais informação sobre como usar este programa está disponível aqui.

screenshot de shadow explorer

 Para proteger o seu computador de tal ficheiro de encriptação ransomware como este, deve usar programas anti-spyware antivírus respeitável. Como um método de proteção extra, os utilizadores de computador podem usar os programas chamados HitmanPro.Alert e Malwarebytes Anti-Ransomware que implanta artificialmente objetos de política de grupo no registo para bloquear programas fraudulentos tais como Samsam.)

HitmanPro.Alert CryptoGuard - detecta a encriptação de ficheiros e neutraliza tais tentativas sem a necessidade da intervenção do utilizador: 

aplicação de prevenção ransomware hitmanproalert

Malwarebytes Anti-Ransomware Beta usa a tecnologia pró-ativa avançado que monitoriza a actividade do ransomware e termina-a imediatamente - antes de alcançar os ficheiros dos utilizadores:

Malwarebytes Anti-Ransomware Beta

A melhor maneira de evitar danos causados por infecções ransomware é manter cópias de segurança regulares atualizadas. Mais informações sobre soluções de cópia de segurança on-line e software de recuperação de dados Aqui.

Outras ferramentas conhecidas para remover o ransomware Samsam:

Fonte: https://www.pcrisk.com/removal-guides/9992-samsam-ransomware