Ransomware GoldenEye

Também Conhecido Como: Vírus GoldenEye
Distribuição: Baixo
Nível de Estragos: <strong>Grave</strong>

Descrição Remoção Prevenção

Instruções de remoção do ransomware GoldenEye

O que é GoldenEye?

GoldenEye é uma combinação de vírus do tipo ransomware Petya e MISCHA. Tal como acontece com Petya e MISCHA, GoldenEye é também distribuído usando uma mensagem de e-mail spam. Este e-mail oferece uma oferta de trabalho falsa com texto em alemão e dois ficheiros anexados. Um é um CV falso, o outro, um ficheiro MS Excel fraudulento. Se o ficheiro do Excel é aberto, um pop-up perguntando para "permitir macros" aparece. Se o utilizador permitir esses comandos de macro, o ficheiro do Excel irá gerar um ficheiro executável e iniciar o ransomware.

MISCHA e Petya diferem no sentido em que MISCHA só encripta certos ficheiros, enquanto Petya encripta o disco rígido em si (assim, tornando impossível usar o computador corretamente) GoldenEye, no entanto, executa ambas as tarefas. O ransomware Pety foi projetado para infiltrar o sistema e tenta reescrever o MBR do sistema (Master Boot Record). Para conseguir isso, Petya deve obter permissões administrativas. Se o utilizador negar essas permissões, o processo de encriptação simplesmente pára. Se, no entanto, as permissões forem dadas, Petya modifica o MBR com um carregador de inicialização personalizado. Petya reinicia automaticamente o computador, exibe um ecrã de verificação de disco falso (CHKDSK) e encripta o disco rígido em segundo plano. Em seguida, exibe uma mensagem de pedido de resgate usando ASCII Text Art. A mensagem é exibida temporariamente ao inicializar o computador. MISCHA, por outro lado, não tenta modificar o MBR - simplesmente encripta ficheiros. Este comportamento é muito comum a vírus do tipo ransomware regulares. MISCHA, por outro lado, não tenta modificar o MBR - simplesmente encripta ficheiros. encripta os dados e só então tenta modificar o MBR, impedindo assim as vítimas de interromper o processo de encriptação (negando permissões). Após a encriptação bem-sucedida, GoldenEye também exibe uma mensagem semelhante de exigência de resgate. Além disso, GoldenEye cria um ficheiro de texto ("YOUR_FILES_ARE_ENCRYPTED.txt", contendo uma mensagem idêntica) e coloca em determinadas pastas (por exemplo, Desktop, Meus Documentos, etc.) Além disso, GoldenEye anexa oito caracteres aleatórios ao nome de cada ficheiro encriptado (por exemplo, "sample.jpg" pode ser renomeado para "sample.jpg.g8k3jmol"). A mensagem de exigência de resgate informa as vítimas da encriptação e exige um pagamento de resgate de 1.31034193 Bitcoins (aproximadamente $1000) para desencriptação. Para enviar o pagamento, as vítimas devem seguir as instruções fornecidas no site do Tor de GoldenEye (o link é fornecido dentro da mensagem de exigência de resgate). Nota: Mesmo que pague, não há nenhuma garantia que os seus ficheiros serão desencriptados. A pesquisa mostra que os criminosos virtuais ignoram muitas vezes as vítimas, apesar dos pagamentos feitos. Por isso, nunca deve tentar contatar estas pessoas ou pagar o resgate. Não há ferramentas capazes de restaurar ficheiros encriptados por GoldenEye, no entanto, os pesquisadores de segurança desenvolveram uma ferramenta que desencripta ficheiros encriptados por Petya. Essa situação pode mudar, mas, por enquanto, os utilizadores só podem resolver esse problema restaurando os seus ficheiros/sistema de uma cópia de segurança. Se GoldenEye tiver modificado o MBR do sistema, o restauro de uma cópia de segurança não será efetivo.

Screenshot de um crânio (desenhado usando ASCII Text Art) exibido após a encriptação:

Instruções de desencriptação de GoldenEye

Existem centenas de vírus de tipo ransomware Exemplos incluem DharmaCTB-Locker*.osirisASN1Cerber, e muitos outros. Todos encriptam os ficheiros e fazem exigências de resgate. Há apenas duas diferenças principais: 1) tamanho do resgate, e; 2) o algoritmo de encriptação (simétrica/assimétrica) utilizado. As pesquisas também demonstram que esses vírus são frequentemente distribuídos usando e-mails de spam (anexos fraudulentos), redes peer-to-peer e outras fontes de descarregamento de terceiros (websites de descarregamento de freeware, websites de alojamento de ficheiros gratuitos, etc.), fontes não oficiais de descarregamento de software e trojans. Por isso, esteja atento ao abrir ficheiros enviados de emails suspeitos e ao descarregar ficheiros de fontes não fidedignas. Os criminosos virtuais são capazes de explorar bugs/falhas do software para infiltrar o sistema. Portanto, mantenha as suas aplicações instaladas atualizadas e nunca use ferramentas de atualização de terceiros. Usar um anti-vírus legítimo ou qualquer pacote anti-spyware é essencial.

Ransomware GoldenEye a solicitar permissões administrativas:

Ransomware GoldenEye a solicitar permissões admin (exemplo 1) Ransomware GoldenEye a solicitar permissões admin (exemplo 2)

Screenshot do ficheiro de texto GoldenEye (YOUR_FILES_ARE_ENCRYPTED.txt):

Ficheiro de texto GoldenEye

Mensagem apresentada dentro do ficheiro de texto de GoldenEye:

Foi vítima do RANSOMWARE GOLDENEYE !
Os ficheiros no seu computador foram encriptados com um algoritmo de encriptação de nível militar. Não existe uma forma de desencriptar os seus ficheiros sem uma chave especial. Pode comprar esta chave na página darknet apresentada no passo 2.
Para comprar a sua chave e restaurar os dados, siga estes três passos simples:
1. Descarregue o Navegador Tor em "hxxps://www.torproject.org/". Se precisar de ajuda, por favor pesquise no google por "access onion page".
2. Visite uma das seguintes páginas com o navegador Tor: hxxp://golden5a4eqranh7.onion/oTmqRcKj hxxp://goldeny4vs3nyoht.onion/oTmqRcKj
3. Insira o seu código de encriptação pessoal aqui: oTmqRcKj6ZvwAsqewqzYz9t8smYzWLaAzsvjQ5YX8JY53FKv5nAHc7W9L4VFnwSGd8Dw4rVi2nfkPGSX39mwCerLst1Tw4vb

Screenshot de uma mensagem de erro exibida antes do reinício do computador:

Erro falso de GoldenEye

Falso CHKDSK exibido durante a encriptação:

Tarefa de verificação de disco falsa GoldenEye

Texto apresentado nesta ecrã:

Reparação do sistema de ficheiros em C:
O tipo do sistema de ficheiros em NTFS
Um dos seus discos contém erros e precisa de ser reparado. Este processo pode levar várias horas para ser concluído. É altamente recomendável deixá-lo terminar.
AVISO: NÃO DESLIGUE O SEU PC! SE ABORTAR ESTE PROCESSO, PODE DESTRUIR TODOS OS SEUS DADOS! POR FAVOR, CERTIFIQUE-SE DE QUE O CABO DE ALIMENTAÇÃO ESTÁ LIGADO!
CHKDSK está a reparar o sector - de -

Screenshot de um ecrã exibido após a desencriptação:

Ecrã de GoldenEye após a encriptação

Screenshot da mensagem exigente de resgate de GoldenEye:

Mensagem exigente de resgate de GoldenEye

Texto apresentado nesta ecrã:

Tornou-se uma vítima do RANSOMWARE GOLDENEYE !
Os seus discos rígidos no seu computador foram encriptados com um algoritmo de encriptação de nível militar. Não existe uma forma de desencriptar os seus ficheiros sem uma chave especial. Pode comprar esta chave na página darknet apresentada no passo 2.
Para comprar a sua chave e restaurar os dados, siga estes três passos simples:
1. Descarregue o Navegador Tor em "hxxps://www.torproject.org/". Se precisar de ajuda, por favor pesquise no google por "access onion page".
2. Visite uma das seguintes páginas com o navegador Tor:
hxxp://goldenhjnqvc2lld.onion/
hxxp://golden2uqpiqcs6j.onion/
3. Insira o seu código de encriptação pessoal aqui: -
Se já comprou a sua chave, introduza-a abaixo.

Screenshot do website GoldenEye (Pagamento - Passo 1):

Website GoldenEye (Pagamento passo 1)

Texto apresentado nesta página:

Passo 1: Insira o seu identificador pessoal
Primeiro tem de inserir o seu identificador pessoal. Este código contém informações importantes para o processo de desencriptação. É importante que insira exactamente como mostrado no computador encriptado. O código contém uma soma de verificação, o que evita erros de digitação e garante uma desencriptação bem-sucedida.
O identificador pessoal tem 96 caracteres de comprimento e pode ser encontrado nos ficheiros "YOUR_FILES_ARE_ENCRYPTED.TXT", que o ransomware criou em vários locais (por exemplo, Ambiente de Trabalho, Documentos) no seu computador.

Screenshot do website GoldenEye (Pagamento - Passo 2):

Website GoldenEye (Pagamento passo 2)

Texto apresentado nesta página:

Passo 2: Comprar Bitcoins
A sua chave de desencriptação só pode ser comprada com Bitcoins. Bitcoin é uma moeda digital que pode ser trocada a partir de quase todas as moedas normais. Há centenas de plataformas de troca na internet, a maioria são especializadas numa única moeda. Hoje em dia, comprar bitcoins on-line é muito fácil e está a tornar-se cadavez mais simples diariamente!
Tem de comprar pelo menos o valor mostrado abaixo. Recomenda-se comprar um pouco mais, para garantir um pagamento bem sucedido. Um extra de 2% deve ser suficiente. Se já possui Bitcoins suficientes, pode salta esse passo.
Exigência: 1.31034193 Bitcoins
As seguintes casas de câmbios e câmbios são recomendados:
http://www.bitcoin.de - Bank Wire FAST!
http://www.btcdirect.eu - Sofort Banking, Giropay, Bank Wire, Mastercard e Visa
http://www.localbitcoins.com - Bank Wire e Cash
http://www.coincafe.com - Instant in NYC, Bank Wire e Mail Cash, Bank Wire e Credit Card
Qualquer tipo de Bitcoin-Carteiranão é necessária, pode transferir os bitcoins adquiridos diretamente para o endereço de pagamento. Se quiser criar uma carteira de qualquer maneira, recomendamos http://www.blockchain.com.
Se comprou com sucesso a quantidade certa de Bitcoins, clique em "Seguinte" para a próxima etapa.

Screenshot do website GoldenEye (Pagamento - Passo 3):

Website GoldenEye (Pagamento passo 3)

Texto apresentado nesta página:

Passo 3: Faça uma transação bitcoin
Agora tem de enviar os seus Bitcoins comprados para o endereço de pagamento. Se acabou de comprar Bitcoins num local de troca ou de mercado, procure por uma seção chamada "retirar" e insira os detalhes mostrados abaixo. Se já possui Bitcoins, envie a quantidade certa para o endereço de pagamento mostrado abaixo, diretamente da carteira que usa.
Se tiver qualquer problema com a transação, não hesite em contactar o nosso apoio.
Endereço: 1CwCMCS6GUJuz45x1LrqPWAuE41cMK7FtQ
Exigência: 1.31034193 Bitcoins
Depois de feita a operação de pagamento, tem que esperar até a confirmar manualmente. Este processo geralmente demora algumas horas. Em alguns casos raros, alguns pagamentos precisam de mais tempo para serem confirmados. Por favor, atualize esta página para ver se o pagamento foi confirmado.

Screenshot do website GoldenEye (FAQ):

Website GoldenEye (FAQ)

Screenshot do website GoldenEye (Suporte):

Website GoldenEye (Suporte)

Screenshot dos ficheiros encriptados por GoldenEye (extensão ".[8_random_characters]"):

Instruções de desencriptação de GoldenEye

Remoção do ransomware GoldenEye:

Menu rápido: Rápida solução para remover Vírus GoldenEye

Passo 1

Utilizadores Windows XP e Windows 7: Inicie o seu computador no Modo Seguro. Clique em Iniciar, Clique em Encerrar, clique em Reiniciar, clique em OK. Durante o processo de início do seu computador pressione a tecla F8 no seu teclado várias vezes até ver o menu Opções Avançadas do Windows e, em seguida, seleccione Modo Segurança com Rede da lista.

Modo de Segurança com Rede

O vídeo mostra como iniciar o Windows 7 "Modo de Segurança com Rede"

Utilizadores Windows 8: Inicie o Windows 8 com Modo Segurança com Rede - Vá para o ecrão de início Windows 8, escreva Avançado, nos resultados da pesquisa, selecione Configurações. Clique em opções de inicialização avançadas, na janela aberta "Definições Gerais de PC", seleccione inicialização Avançada. Clique no botão "Reiniciar agora". O seu computador será reiniciado no "Menu de opções de inicialização avançadas". Clique no botão "Solucionar Problemas" e, em seguida, clique no botão "Opções avançadas". No ecrã de opções avançadas, clique em "Definições de inicialização". Clique no botão "Reiniciar". O seu PC será reiniciado no ecrã de Definições de Inicialização. Pressione F5 para iniciar em Modo de Segurança com Rede.

Modo de Segurança com rede Windows 8

O vídeo demonstra como começar Windows 8 "Modo de Segurança com Rede":

Utilizadores Windows 10: Clique no logotipo do Windows e seleccione o ícone Energia. No menu aberto, clique em "Reiniciar", mantendo o botão "Shift" premido no seu teclado. Na janela "escolher uma opção", clique em "Solucionar Problemas" e selecione "Opções avançadas". No menu de opções avançadas, selecione "Startup Settings" e clique no botão "Reiniciar". Na janela seguinte deve clicar no botão "F5" do seu teclado. Isso irá reiniciar o sistema operacional em modo de segurança com rede.

Modo de Segurança com rede Windows 10

O vídeo demonstra como iniciar o Windows 7 "Modo de Segurança com Rede":

Passo 2

Faça login na conta infectada com o vírus GoldenEye. Inicie o seu navegador de Internet e descarregue um programa anti-spyware legítimo. Atualize o software anti-spyware e comece uma verificação de sistema completa. Remova todas as entradas detectadas.


BAIXAR
Removedor para Vírus GoldenEye

Ao descarregar qualquer programa listado neste site está a concordar com a nossa Política de Privacidade e com os Termos de Uso. Verificador gratuito do SpyHunter é para a deteção de víirus, para remover as infeções detetadas vai precisar de comprar uma versão completa deste produto. Mais informações sobre SpyHunter. Se desejar a desinstalação de SpyHunter, siga estas instruções. Todos os produtos que recomendamos foram cuidadosamente testados e aprovados pelos nossos técnicos como sendo das melhores soluções para a remoção destas ameaças.

Se não puder iniciar o computador no Modo de Segurança com Rede, tente executar um Restauro de Sistema.

O vídeo mostra como remover vírus ransomware usando "Modo de Segurança com Comando Prompt" e "Restauro de Sistema":

1. Durante o processo de reinício do seu computador pressione a tecla F8 no seu teclado várias vezes até ver o menu Opções Avançadas do Windows e, em seguida, selecione Modo Segurança com Comando Prompt da lista e pressione ENTER.

inicie o seu computador no Modo de Segurança com Comando Prompt

2. Quando o modo Comando Prompt carregar, insira a seguinte linha: cd restore e prima ENTER.

restauro de sistema usando comandos escreva cd restore

3. Seguidamente, insira esta linha: rstrui.exe e prima ENTER.

restauro de sistema usando comandos escreva cd rstrui.exe

4. Na janela aberta, clique em "Seguinte".

restaure sistemas de ficheiros e definições

5. Seleccione um dos Pontos de Restauro disponíveis e clique em "Seguinte" (isto irá restaurar o seu sistema de computador para um tempo e data anteriores, anterior à infiltração do vírus ransomware GoldenEye no seu PC).

selecione um ponto de restauro

6. Na janela aberta, clique em "Sim".

execute o restauro de sistema

7. Depois de restaurar o seu computador para uma data anterior, descarregue e analise o seu PC com software de remoção de malware recomendado para eliminar todo o ransomware GoldenEye restante.

Para restaurar os ficheiros encriptados individuais por este ransomware, tente usar a funcionalidade de Versões Anteriores do Windows. Este método só é eficaz se a função de Restauro do Sistema foi ativada num sistema operacional infectado. Note que algumas variantes de GoldenEye são conhecidas por remover Cópias de Volume Sombra dos ficheiros, por isto este método pode não funcionar em todos os computadores.

Para restaurar um ficheiro, clique com o botão direito do rato sobre ele, vá a Propriedades e selecione o separador Versões Anteriores. Se o ficheiro relevante tem um Ponto de Restauro, selecione-o e clique no botão "Restauro".

Restaurando ficheiros encriptados por CryptoDefense

Se não puder iniciar o computador no Modo de Segurança com Rede (ou com Comando Prompt), inicie o seu computador usando um disco de recuperação. Algumas variantes de ransomware desativam o Modo de Segurança, tornando a sua remoção complicada. Para este passo, irá precisar de ter acesso a outro computador.

Para recuperar o controlo dos ficheiros encriptados por GoldenEye também pode tentar usar um programa chamado Shadow Explorer. Mais informação sobre como usar este programa está disponível aqui.

screenshot de shadow explorer

Para proteger o seu computador de tal ficheiro de encriptação ransomware como este, deve usar programas anti-spyware antivírus respeitável. Como um método de proteção extra, os utilizadores de computador podem usar os programas chamados HitmanPro.Alert e EasySync CryptoMonitor que implanta artificialmente objetos de política de grupo no registo para bloquear programas fraudulentos tais como o ransomware GoldenEye.

HitmanPro.Alert CryptoGuard - detecta a encriptação de ficheiros e neutraliza qualquer tentativa sem a necessidade da intervenção do utilizador: 

aplicação de prevenção ransomware hitmanproalert

Malwarebytes Anti-Ransomware Beta usa a tecnologia pró-ativa avançado que monitoriza a actividade do ransomware e termina-a imediatamente - antes de alcançar os ficheiros dos utilizadores:

anti-ransomware malwarebytes

  • A melhor maneira de evitar danos causados por infecções ransomware é manter cópias de segurança regulares atualizadas. Mais informações sobre soluções de cópia de segurança on-line e software de recuperação de dados Aqui.

Outras ferramentas conhecidas para remover o ransomware GoldenEye:

Os nossos guias de remoção de malware são gratuitos. Contudo, se quiser continuar a ajudar-nos, pode-nos enviar uma ajuda, sob a forma de doação.