Ransomware GRYPHON

Também Conhecido Como: GRYPHON virus
Distribuição: Baixo
Nível de Estragos: Grave

Instruções de remoção do ransomware GRYPHON

O que é GRYPHON?

GRYPHON é um vírus tipo ransomware descoberto pelo pesquisador de segurança Leo. Uma vez infiltrado, GRYPHON encripta dados armazenados e acrescenta nomes de ficheiros com a extensão ". [Test] .gryphon" (por exemplo, "sample.jpg" é renomeado para "sample.jpg.[test].gryphon"). Outras variantes usam a extensão .[decr@cock.li].grypho para os ficheiros encriptados. Após a encriptação bem-sucedida, o GRYPHON cria um ficheiro de texto ("!!! DECRYPT FILES ##!.txt") contendo uma mensagem de resgate e coloca-a em cada pasta que contém ficheiros encriptados.

A mensagem evidencia que os ficheiros foram encriptados e que só podem ser restaurados usando uma chave única. Infelizmente, esta informação é verdade. Atualmente desconhecemos se GRYPHON usa encriptação simétrica ou assimétrica. De qualquer forma, a desencriptação requer uma chave única. Os criminosos armazenam a chave num servidor remoto - vítimas são incentivadas a pagar para a receber. O tamanho do resgate não é confirmado, no entanto, os criminosos costumam exigir o equivalente a entre $500 e $1500 em Bitcoins. Note que a extensão GRYPHON contém a palavra "teste" e o endereço de e-mail fornecido é "test2" e "test3". Portanto, é seguro assumir que GRYPHON ainda está na fase de desenvolvimento/teste. Em qualquer caso, nunca deve tentar contatar estas pessoas ou pagar o resgate. A pesquisa demonstra que ignoram muitas vezes as vítimas, assim que os pagamentos são feitos. Há uma elevada probabilidade do pagamento não dar nenhum resultado positivo e será defraudado. Os criminosos virtuais nunca deverão ser confiados. Infelizmente, não há ferramentas capazes de restaurar ficheiros encriptados por GRYPHON e só pode restaurar os seus ficheiros/sistema a partir de um cópia de segurança.

Screenshot de uma mensagem a encorajar os utilizadores a pagar o resgate para desencriptar os seus dados comprometidos:

Instruções de desencriptação de GRYPHON

GRYPHON é muito similar a Shade, Explorer, BLACKOUT, Ranrans, e dezenas de outros vírus de tipo ransomware. Tal como acontece com GRYPHON, esses outros vírus também encriptam ficheiros e fazem exigências de resgate. Há apenas duas diferenças principais: 1) tamanho do resgate, e; 2) tipo de algoritmo de encriptação usado. Infelizmente, a maioria dos ransomware usa algoritmos que geram chaves de desencriptação únicas. Assim, restaurar ficheiros manualmente (sem o envolvimento dos desenvolvedores, o que não é recomendado) é na sua maioria impossível.

Como é que o ransomware infectou o meu computador?

Os vírus de tipos ransomware são frequentemente distribuídos através dos email de spam (acessórios fraudulentos), das redes peer-to-peer (P2P) e das outras fontes do descarregamento do software de terceiros (website do descarregamento de freeware, locais livres da alojamento de ficheiros, etc.) . Os e-mails de spam geralmente contêm anexos infecciosos (por exemplo, ficheiros JavaScript, documentos do MS Office, etc.) projetados para descarregar/instalar malwares. As redes P2P e outras fontes não oficiais de descarregamento de software geralmente apresentam executáveis mal-intencionados como software legítimo.

Como se proteger contra infecções ransomware?

Para evitar infecções pelo ransomware, seja muito cauteloso ao navegar na Internet. Nunca abra ficheiros recebidos de e-mails suspeitos ou descarregue software a partir de fontes não oficiais. Além disso, mantenha as aplicações instaladas atualizadas. Esteja ciente, no entanto, de que os criminosos proliferam o malware através de falsos atualizadores. Portanto, usar ferramentas de terceiros para atualizar as suas aplicações instaladas é muito arriscado. Use sempre um pacote anti-spyware/anti-vírus legítimo. A chave para a segurança do computador é ter cuidado.

Mensagem apresentada dentro do ficheiro de texto do ransomware GRYPHON ("!## DECRYPT FILES ##!.txt"):

=== RANSOMWARE GRYPHON ===

 

Os seus documentos, fotos, bases de dados e outros ficheiros importante foram desencriptados!
forte encriptação, sem a chave original a recuperação é impossível.
Para desencriptar os seus ficheiros, necessita de comprar o software especial - "GRYPHON DECRYPTER"

 

Usar outras ferramentas pode corromper os seus ficheiros, no caso de usar terceiros
software que não oferecemos garantias de que a recuperação total é possível, então use-o
a seu próprio risco.

 

Se quiser restaurar ficheiros, escreva-nos para o e-mail: test2

 

No assunto lite, escreva "encriptação" e anexe a sua ID no corpo da sua mensagem
Também anexe ao email 3 ficheiros encriptados. (ficheiros tem que ser menores que 2 MB).

 

É do seu interesse responder o mais rapidamente possível para assegurar o restauro dos seus ficheiros.
dos seus ficheiros, porque não manteremos as suas chaves de desencriptação no nosso servidor mais do que

uma semana de interesse da nossa segurança.

 

Somente no caso de não receber uma resposta do primeiro endereço de e-mail
com 48 horas, use este endereço de e-mail alternativo: test3

 

O número da sua identificação ID pessoal: -

 

=== RANSOMWARE GRYPHON ===

Screenshot dos ficheiros encriptados por GRYPHON (extensão (".[test].gryphon"):

Ficheiros encriptados por GRYPHON

Remoção do ransomware GRYPHON:

Menu rápido:

Passo 1

Utilizadores Windows XP e Windows 7: Inicie o seu computador no Modo Seguro. Clique em Iniciar, Clique em Encerrar, clique em Reiniciar, clique em OK. Durante o processo de início do seu computador pressione a tecla F8 no seu teclado várias vezes até ver o menu Opções Avançadas do Windows e, em seguida, seleccione Modo Segurança com Rede da lista.

Modo Seguro com Rede

O vídeo mostra como iniciar o Windows 7 "Modo de Segurança com Rede"

Utilizadores Windows 8: Inicie o Windows 8 com Modo Segurança com Rede - Vá para o ecrão de início Windows 8, escreva Avançado, nos resultados da pesquisa, selecione Configurações. Clique em opções de inicialização avançadas, na janela aberta "Definições Gerais de PC", seleccione inicialização Avançada. Clique no botão "Reiniciar agora". O seu computador será reiniciado no "Menu de opções de inicialização avançadas". Clique no botão "Solucionar Problemas" e, em seguida, clique no botão "Opções avançadas". No ecrã de opções avançadas, clique em "Definições de inicialização". Clique no botão "Reiniciar". O seu PC será reiniciado no ecrã de Definições de Inicialização. Pressione F5 para iniciar em Modo de Segurança com Rede.

Modo de Segurança com rede Windows 8

O vídeo demonstra como começar Windows 8 "Modo de Segurança com Rede":

Utilizadores Windows 10: Clique no logotipo do Windows e seleccione o ícone Energia. No menu aberto, clique em "Reiniciar", mantendo o botão "Shift" premido no seu teclado. Na janela "escolher uma opção", clique em "Solucionar Problemas" e selecione "Opções avançadas". No menu de opções avançadas, selecione "Startup Settings" e clique no botão "Reiniciar". Na janela seguinte deve clicar no botão "F5" do seu teclado. Isso irá reiniciar o sistema operacional em modo de segurança com rede.

Modo de Segurança com rede Windows 10

O vídeo demonstra como iniciar o Windows 7 "Modo de Segurança com Rede":

Passo 2

Faça login na conta infectada com o vírus GRYPHON. Inicie o seu navegador de Internet e descarregue um programa anti-spyware legítimo. Atualize o software anti-spyware e comece uma verificação de sistema completa. Remova todas as entradas detectadas.


Baixar removedor para GRYPHON virus
1) Descarregar e instalar   2) Executar verificação do sistema   3) Desfrute do seu computador limpo!

O verificador gratuito faz uma verificação se o seu computador estiver infetado. Para remover o malware, é necessário comprar a versão completa de Reimage.

Se não puder iniciar o computador no Modo de Segurança com Rede, tente executar um Restauro de Sistema.

O vídeo mostra como remover vírus ransomware usando "Modo de Segurança com Comando Prompt" e "Restauro de Sistema":

1. Durante o processo de reinício do seu computador pressione a tecla F8 no seu teclado várias vezes até ver o menu Opções Avançadas do Windows e, em seguida, selecione Modo Segurança com Comando Prompt da lista e pressione ENTER.

inicie o seu computador no Modo de Segurança com Comando Prompt

2. Quando o modo Comando Prompt carregar, insira a seguinte linha: cd restore e prima ENTER.

restauro de sistema usando comandos escreva cd restore

3. Seguidamente, insira esta linha: rstrui.exe e prima ENTER.

restauro de sistema usando comandos escreva cd rstrui.exe

4. Na janela aberta, clique em "Seguinte".

restaure sistemas de ficheiros e definições

5. Selecione um dos Pontos de Restauro disponíveis e clique em "Seguinte" (isto irá restaurar o seu sistema de computador para um tempo e data anteriores, anterior à infiltração do vírus ransomware GRYPHON no seu PC).

selecione um ponto de restauro

6. Na janela aberta, clique em "Sim".

execute o restauro de sistema

7. Depois de restaurar o seu computador para uma data anterior, descarregue e analise o seu PC com software de remoção de malware recomendado para eliminar todo o ransomware GRYPHON restante.

Para restaurar os ficheiros encriptados individuais por este ransomware, tente usar a funcionalidade de Versões Anteriores do Windows. Este método só é eficaz se a função de Restauro do Sistema foi ativada num sistema operacional infectado. Note que algumas variantes de GRYPHON são conhecidas por remover Cópias de Volume Sombra dos ficheiros, por isto este método pode não funcionar em todos os computadores.

Para restaurar um ficheiro, clique com o botão direito do rato sobre ele, vá a Propriedades e selecione o separador Versões Anteriores. Se o ficheiro relevante tem um Ponto de Restauro, selecione-o e clique no botão "Restauro".

Restaurando ficheiros encriptados por CryptoDefense

Se não puder iniciar o computador no Modo de Segurança com Rede (ou com Comando Prompt), inicie o seu computador usando um disco de recuperação. Algumas variantes de ransomware desativam o Modo de Segurança, tornando a sua remoção complicada. Para este passo, irá precisar de ter acesso a outro computador.

Para recuperar o controlo dos ficheiros encriptados por GRYPHON também pode tentar usar um programa chamado Shadow Explorer. Mais informação sobre como usar este programa está disponível aqui.

screenshot de shadow explorer

Para proteger o seu computador de tal ficheiro de encriptação ransomware como este, deve usar programas anti-spyware antivírus respeitável. Como um método de proteção extra, os utilizadores de computador podem usar os programas chamados HitmanPro.Alert e Malwarebytes Anti-Ransomware que implanta artificialmente objetos de política de grupo no registo para bloquear programas fraudulentos tais como o ransomware GRYPHON.

HitmanPro.Alert CryptoGuard - detecta a encriptação de ficheiros e neutraliza qualquer tentativa sem a necessidade da intervenção do utilizador:

aplicação de prevenção ransomware hitmanproalert

Malwarebytes Anti-Ransomware Beta usa a tecnologia pró-ativa avançado que monitoriza a actividade do ransomware e termina-a imediatamente - antes de alcançar os ficheiros dos utilizadores:

Malwarebytes Anti-Ransomware Beta

A melhor maneira de evitar danos causados por infecções ransomware é manter cópias de segurança regulares atualizadas. Mais informações sobre soluções de cópia de segurança on-line e software de recuperação de dados Aqui.

Outras ferramentas conhecidas para remover o ransomware GRYPHON: