Ransomware CHIP

Também Conhecido Como: CHIP (vírus)
Distribuição: Baixo
Nível de Estragos: Grave

Instruções de remoção do ransomware CHIP

O que é CHIP?

CHIP é um malware de tipo ransomware distribuído usando Rig Exploit Kit. Após a infiltração, CHIP encripta vários ficheiros e anexa nomes de ficheiros com a extensão ".CHIP". Por exemplo, "sample.jpg" é renomeado para "sample.jpg.CHIP". Assim que a encriptação é bem sucedida, CHIP cria o ficheiro ("CHIP_FILES.txt") e coloca-o em cada pasta que contém ficheiros encriptados.

 O ficheiro de texto contém uma mensagem de pedido de resgate que informa as vítimas da encriptação e encoraja-as a visitar o website Tor (link fornecido). Este site contém um formulário de contacto, que as vítimas devem usar para contatar os desenvolvedores de CHIP, que, supostamente, fornecerão instruções detalhadas sobre como desencriptar os ficheiros. CHIP usa a encriptação assimétrica (RSA) para encriptar ficheiros e, por isso, as chaves pública (encriptação) e privada (desencriptação) são geradas durante o processo de encriptação. A desencriptação sem a chave privada é impossível e, por isso, as vítimas são encorajadas a pagar para recebê-la. O preço é actualmente desconhecido, contudo, a pesquisa mostra que os colaboradores (criminosos virtuais) de vírus similares geralmente exigem $500-$1000 Bitcoins. Em qualquer caso, nunca deve tentar contatar estas pessoas ou pagar o resgate. A pesquisa também revela que os criminosos virtuais muitas vezes ignoram as vítimas, apesar dos pagamentos feitos e é altamente provável que o pagamento não irá culminar em qualquer resultado positivo - será simplesmente enganado. Pagar é o equivalente a enviar o seu dinheiro para os criminosos virtuais - irá simplesmente apoiar o seu modelo de negócio malicioso. Infelizmente, não existem ferramentas capazes de restaurar os ficheiros encriptados por CHIP. Por isso, pode restaurar os seus ficheiros/sistema a partir de uma cópia de segurança.

Screenshot de uma mensagem a encorajar os utilizadores a pagar o resgate para desencriptar os seus dados comprometidos:

Instruções de desencriptação de CHIP

CHIP tem características muito semelhantes a centenas de outros vírus do tipo ransomware, como Crypton, Telecrypt, Cerber3 e muitos outros. Esses vírus podem parecer diferentes, no entanto, todos têm comportamento idêntico - encriptam ficheiros e exigem resgate. Há apenas duas diferenças principais: 1) tamanho do resgate, e; 2) tipo de algoritmo de encriptação (simétrica/assimétrica) utilizado. Ao contrário do CHIP, os vírus de tipo ransomware são frequentemente distribuídos através de fontes de descarregamento de ficheiros/softwares de terceiros (torrents, eMule, sites de descarregamento de freeware, sites de alojamento de ficheiros gratuitos, etc.), ficheiros fraudulentos anexados a e-mails de spam, falsas ferramentas de atualização de software e trojans. Por isso, nunca deve descarregar ficheiros/aplicações de fontes não-oficiais ou abrir ficheiros recebidos de endereços de e-mail suspeitos. Além disso, mantenha todas as suas aplicações instaladas actualizadas e use um pacote anti-vírus/anti-spyware legítimo. A chave para a segurança do computador é ter cuidado.

O que é Rig Exploit Kit?

Rig Exploit Kit é uma ferramenta que permite aos criminosos virtuais proliferar vários malwares. Anteriormente, foi usado para distribuir o ransomware CryptFile2. Os criminosos virtuais usam um ficheiro JavaScript para gerar um domínio aleatório para cada vítima. Assim que o domínio é gerado, as vítimas são redireccionadas automaticamente para este domínio. Este método é usado para redirecionar a vítima para uma variedade de kits de exploração (ex.: Nuclear Exploit Kit, Rig Exploit Kit, etc.). Quando a página é visitada, Rig Exploit Kit verifica o sistema procurando por um ficheiro condutor denominado "kl1.sys" , que é associado a um conjunto particular de antivírus. Se o ficheiro existir, o kit não descartará nenhuma exploração. Uma pesquisa é então feita de add-ons de sistema vulnerável. Se detectado, Rig Exploit Kit transfere o malware para o computador.

Mensagem apresentada dentro do ficheiro de texto:

A SUA ID:91753ee9c8bcb4a47a4af71daa09d5b5
Olá! Todos Os Seus Ficheiros foram encriptados! Para mais instruções específicas,
Visite a página de suporte inicial: hxxp://mm6x57ri2coivya6.onion
Para ver esta página siga estes passos: 1 - Descarregue e instale o navegador tor: hxxp://www.torproject.org/projects/torbrowser.html.en
2 - Após a instalação bem sucedida, execute o navegador
3 - Insira a barra de endereço - hxxp://mm6x57ri2coivya6.onion
4 - Siga as instruções no site
Atenção: NÃO USE NENHUM DESENCRIPTADOR PÚBLICO! PODE DANIFICAR OS FICHEIROS!
Atentamente,
Equipa de suporte
A SUA ID:91753ee9c8bcb4a47a4af71daa09d5b5

Screenshot de CHIP do website do ransomware Tor:

Instruções de desencriptação de CHIP

Texto apresentado neste website:

Olá!
Os seus ficheiros foram encriptados.
Se deseja restaurar o seu sistema, precisa de usar o formulário de contato abaixo.
Deixe a Sua ID (o número de ID está localizado no "CHIP_FILES.TXT") e contacte através do e-mail.
Os nossos coordenadores nomeados irão contactá-lo dentro de 24 horas!
Atenção: NÃO USE NENHUM DESENCRIPTADOR PÚBLICO! PODE DANIFICAR OS FICHEIROS!

Screenshot dos ficheiros encriptados por CHIP (extensão ".CHIP"):

Instruções de desencriptação de CHIP

Remoção do ransomware CHIP:

Remoção imediata automática de CHIP (vírus): A remoção manual de ameaças pode ser um processo demorado e complicado que requer conhecimentos avançados de informática. Malwarebytes é uma ferramenta profissional de remoção automática de malware que é recomendada para se livrar de CHIP (vírus). Descarregue ao clicar no botão abaixo:
▼ DESCARREGAR Malwarebytes O verificador gratuito faz uma verificação se o seu computador estiver infetado. Para usar a versão completa do produto, precisa de comprar uma licença para Malwarebytes. 14 dias limitados para teste grátis disponível. Ao descarregar qualquer software listado no nosso website, concorda com a nossa Política de Privacidade e Termos de Uso.

Menu rápido:

Passo 1

Utilizadores Windows XP e Windows 7: Inicie o seu computador no Modo Seguro. Clique em Iniciar, Clique em Encerrar, clique em Reiniciar, clique em OK. Durante o processo de início do seu computador pressione a tecla F8 no seu teclado várias vezes até ver o menu Opções Avançadas do Windows e, em seguida, seleccione Modo Segurança com Rede da lista.

Modo de Segurança com Rede

O vídeo mostra como iniciar o Windows 7 "Modo de Segurança com Rede"

Utilizadores Windows 8: Inicie o Windows 8 com Modo Segurança com Rede - Vá para o ecrão de início Windows 8, escreva Avançado, nos resultados da pesquisa, selecione Configurações. Clique em opções de inicialização avançadas, na janela aberta "Definições Gerais de PC", seleccione inicialização Avançada. Clique no botão "Reiniciar agora". O seu computador será reiniciado no "Menu de opções de inicialização avançadas". Clique no botão "Solucionar Problemas" e, em seguida, clique no botão "Opções avançadas". No ecrã de opções avançadas, clique em "Definições de inicialização". Clique no botão "Reiniciar". O seu PC será reiniciado no ecrã de Definições de Inicialização. Pressione F5 para iniciar em Modo de Segurança com Rede.

Modo de Segurança com rede Windows 8

O vídeo demonstra como começar Windows 8 "Modo de Segurança com Rede":

Passo 2

Faça login na conta infectada com o vírus CHIP. Inicie o seu navegador de Internet e descarregue um programa anti-spyware legítimo. Atualize o software anti-spyware e comece uma verificação de sistema completa. Remova todas as entradas detectadas.

Se não puder iniciar o computador no Modo de Segurança com Rede, tente executar um Restauro de Sistema.

O vídeo mostra como remover vírus ransomware usando "Modo de Segurança com Comando Prompt" e "Restauro de Sistema":

1. Durante o processo de reinício do seu computador pressione a tecla F8 no seu teclado várias vezes até ver o menu Opções Avançadas do Windows e, em seguida, selecione Modo Segurança com Comando Prompt da lista e pressione ENTER.

inicie o seu computador no Modo de Segurança com Comando Prompt

2. Quando o modo Comando Prompt carregar, insira a seguinte linha: cd restore e prima ENTER.

restauro de sistema usando comandos escreva cd restore

3. Seguidamente, insira esta linha: rstrui.exe e prima ENTER.

restauro de sistema usando comandos escreva cd rstrui.exe

4. Na janela aberta, clique em "Seguinte".

restaure sistemas de ficheiros e definições

5. Seleccione um dos Pontos de Restauro disponíveis e clique em "Seguinte" (isto irá restaurar o seu sistema de computador para um tempo e data anteriores, anterior à infiltração do vírus ransomware CHIP no seu PC).

selecione um ponto de restauro

6. Na janela aberta, clique em "Sim".

execute o restauro de sistema

7. Depois de restaurar o seu computador para uma data anterior, descarregue e analise o seu PC com software de remoção de malware recomendado para eliminar todo o ransomware CHIP restante.

Para restaurar os ficheiros encriptados individuais por este ransomware, tente usar a funcionalidade de Versões Anteriores do Windows. Este método só é eficaz se a função de Restauro do Sistema foi ativada num sistema operacional infectado. Note que algumas variantes de CHIP são conhecidas por remover Cópias de Volume Sombra dos ficheiros, por isto este método pode não funcionar em todos os computadores.

Para restaurar um ficheiro, clique com o botão direito do rato sobre ele, vá a Propriedades e selecione o separador Versões Anteriores. Se o ficheiro relevante tem um Ponto de Restauro, selecione-o e clique no botão "Restauro".

Restaurando ficheiros encriptados por CryptoDefense

Se não puder iniciar o computador no Modo de Segurança com Rede (ou com Comando Prompt), inicie o seu computador usando um disco de recuperação. Algumas variantes de ransomware desativam o Modo de Segurança, tornando a sua remoção complicada. Para este passo, irá precisar de ter acesso a outro computador.

Para recuperar o controlo dos ficheiros encriptados por CHIP também pode tentar usar um programa chamado Shadow Explorer. Mais informação sobre como usar este programa está disponível aqui.

screenshot de shadow explorer

Para proteger o seu computador de tal ficheiro de encriptação ransomware como este, deve usar programas anti-spyware antivírus respeitável. Como um método de proteção extra, os utilizadores de computador podem usar os programas chamados HitmanPro.Alert e Malwarebytes Anti-Ransomware que implanta artificialmente objetos de política de grupo no registo para bloquear programas fraudulentos tais como o ransomware CHIP.

HitmanPro.Alert CryptoGuard - detecta a encriptação de ficheiros e neutraliza qualquer tentativa sem a necessidade da intervenção do utilizador: 

aplicação de prevenção ransomware hitmanproalert

Malwarebytes Anti-Ransomware Beta usa a tecnologia pró-ativa avançado que monitoriza a actividade do ransomware e termina-a imediatamente - antes de alcançar os ficheiros dos utilizadores:

Malwarebytes Anti-Ransomware Beta

A melhor maneira de evitar danos causados por infecções ransomware é manter cópias de segurança regulares atualizadas. Mais informações sobre soluções de cópia de segurança on-line e software de recuperação de dados Aqui.

Outras ferramentas conhecidas para remover o ransomware CHIP:

Fonte: https://www.pcrisk.com/removal-guides/10671-chip-ransomware

Sobre o autor:

Tomas Meskauskas

Sou um apaixonado por segurança e tecnologia de computadores. Tenho experiência de mais de 10 anos a trabalhar em diversas empresas relacionadas à resolução de problemas técnicas e segurança na Internet. Tenho trabalhado como autor e editor para PCrisk desde 2010. Siga-me no Twitter e no LinkedIn para manter-se informado sobre as mais recentes ameaças à segurança on-line. Saiba mais sobre o autor.

O portal de segurança PCrisk é criado por forças unidas de pesquisadores de segurança para ajudar a educar os utilizadores de computador sobre as mais recentes ameaças de segurança online. Mais informações sobre os autores e pesquisadores que estão a trabalhar na PCrisk na nossa página de contato.

Os nossos guias de remoção de malware são gratuitos. Contudo, se quiser continuar a ajudar-nos, pode-nos enviar uma ajuda, sob a forma de doação.

Instruções de remoção em outras línguas
Code QR
CHIP (vírus) Code QR
Um código QR (Código de Resposta Rápida) é um código legível por uma máquina que armazena URLs e outras informações. Este código pode ser lido através de uma câmara num smartphone ou um tablet. Digitalize o código QR para ter um guia de remoção de acesso fácil de CHIP (vírus) no seu dispositivo móvel.
Nós recomendamos:

Livre-se de CHIP (vírus) hoje:

▼ REMOVER AGORA com Malwarebytes

Plataforma: Windows

Classificação do editor para Malwarebytes:
Excelente!

[Início da Página]

O verificador gratuito faz uma verificação se o seu computador estiver infetado. Para usar a versão completa do produto, precisa de comprar uma licença para Malwarebytes. 14 dias limitados para teste grátis disponível.