Ransomware Hermes

Também Conhecido Como: HERMES (vírus)
Distribuição: Baixo
Nível de Estragos: Médio

Instruções de remoção do ransomware Hermes

O que é Hermes?

Hermes é um malware de tipo de ransomware descoberto por Michael Gillespie. Assim que estiver infiltrado, Hermes encripta ficheiros usando a encriptação RSA-2048. Este malware não acrescentar extensões para os ficheiros encriptados. Após a encriptação bem sucedida, Hermes cria um ficheiro HTML que contém uma mensagem de pedido de resgate ("DECRYPT_INFORMATION.html"), colocando em cada pasta que contém ficheiros encriptados. Também fornece um ficheiro UNIQUE_ID_DO_NOT_REMOVE que as vítimas são encorajadas a anexar às mensagens de e-mail ao comunicar com criminosos virtuais responsáveis por este malware.

A mensagem informa vítimas da encriptação e afirma que devem adquirir software de desencriptação para restaurar os seus ficheiros comprometidos. Devem fazer isso contactando os criminosos virtuais através de um endereço de e-mail fornecido. Tal como mencionado acima, Hermes usa 2048-RSA, um algoritmo de encriptação assimétrica, e, assim, o público (encriptação) e chaves privadas (desencriptação) são geradas. Desencriptar ficheiros sem uma chave privada é impossível. Os criminosos virtuais ocultam essa chave num servidor remoto e fazem pedidos de resgate para recebê-la. O custo não é atualmente confirmado, no entanto, os criminosos geralmente exigem $500-1500 Bitcoins. Apesar destas ameaças e exigências, nunca confie nestas pessoas - ignoram vítimas assim que os pagamentos são submetidos. Pagar não garante que os seus ficheiros já estejam desencriptados - pode ser enganado. Ignore todos os pedidos para entrar em contato com estas pessoas ou pagar qualquer resgate. Infelizmente, não existem ferramentas capazes de quebrar a encriptação RSA-2048 e restaurar os ficheiros comprometidos por Hermes. Portanto, esse problema só pode ser resolvido ao restaurar o seu sistema de ficheiros de cópia de segurança.

Screenshot de uma mensagem incentivando os utilizadores a pagar um resgate para desencriptar os seus dados comprometidos:

Instruções do desencriptador Hermes

Aqui está um screenshot de uma variante atualizada deste ransomware "Hermes 2.0":

Ransomware Hermes 2.0

Existem centenas de vírus de tipo ransomware semelhante a Hermes, incluindo, por exemplo, SerbRansom 2017, Serpent, Zyka, e Digisom. Todos têm um comportamento idêntico - encripta ficheiros e faz pedidos de resgate. Existem apenas duas grandes diferenças entre estes vírus: 1) tipo de encriptação [simétrica/assimétrica] usada, e; 2) custo da desencriptação. Os métodos de distribuição também são idênticos. Os vírus de tipo ransomware são distribuídos usando e-mails spam (anexos fraudulentos), software de terceiros para descarregar fontes (fontes de descarregamento de software gratuito, websites de hospedagem de ficheiros gratuitos, torrents e outro peer-to-peer, redes, etc.), falsos atualizadores de software, e cavalos de Tróia. Po risso, nunca descarregue nenhum software de fontes não oficiais ou abra ficheiros recebidos de e-mails suspeitos. Além disso, mantenha as suas aplicações instaladas actualizadas e use um pacote de anti-virus/anti-spyware legítimo. Tenha em mente, no entanto, que os criminosos da Internet, muitas vezes empregam atualizadores de software falsificado para infectar o sistema do computador. Portanto, nunca atualize os seus programas através de ferramentas de terceiros. A chave para a segurança do computador é ter cuidado.

Atualização de 14 de março de 2017 - o pesquisador de segurança Michael Gillespie lançou um desencriptador grátis que pode ser usado por estas vítimas de ransomware para recuperar o controlo dos seus ficheiros comprometidos. Pode descarregá-lo AQUI. Mais informações sobre como usá-lo AQUI.

desencriptador do ransomware  Hermes

Mensagem de pedido de resgate apresentada dentro do ficheiro HTML:

Todos os seus ficheiros importantes foram encriptados os seus ficheiros foram encriptados usando o algoritmo RSA2048 e a chave pública exclusiva armazenada no seu PC. Há apenas uma maneira de recuperar os seus ficheiros: contacte-nos, pague e receba o desencriptador de software. Você tem o arquivo UNIQUE_ID_DO_NOT_REMOVE na sua área de trabalho também é duplicado em algumas pastas, a sua única idkey, anexá-lo à letra quando o contato com a gente. Também pode desencriptar 3 ficheiros para teste. Aceitamos Bitcoin, pode encontrar trocadores na hxxp://www.bitcoin.com/buy-bitcoin e outros. Informações de contato: e-mail principal: BM-2cXfK4B5W9nvci7dYxUhuHYZSmJZ9zibwH@bitmessage.ch reserve email: x2486@india.com

Screenshot de ficheiros encriptados por Hermes (sem extensões adicionados, pastas contêm ficheiros DECRYPT_INFORMATION.html e UNIQUE_ID_DO_NOT_REMOVE):

ficheiros do ransomware Hermes encriptado

Remoção do ransomware Hermes:

Remoção imediata automática de HERMES (vírus): A remoção manual de ameaças pode ser um processo demorado e complicado que requer conhecimentos avançados de informática. Spyhunter é uma ferramenta profissional de remoção automática de malware que é recomendada para se livrar de HERMES (vírus). Descarregue ao clicar no botão abaixo:
▼ DESCARREGAR Spyhunter O verificador gratuito faz uma verificação se o seu computador estiver infetado. Para remover o malware, é necessário comprar a versão completa de Spyhunter. Ao descarregar qualquer software listado no nosso website, concorda com a nossa Política de Privacidade e Termos de Uso.

Menu rápido:

Passo 1

Utilizadores Windows XP e Windows 7: Inicie o seu computador no Modo Seguro. Clique em Iniciar, Clique em Encerrar, clique em Reiniciar, clique em OK. Durante o processo de reinício do seu computador pressione a tecla F8 no seu teclado várias vezes até ver o menu Opções Avançadas do Windows e, em seguida, selecione Modo Segurança com Rede da lista.

Modo Seguro com Rede

O vídeo demonstra como iniciar o Windows 7 "Modo de Segurança com Rede":

Utilizadores Windows 8: Inicie o Windows 8 com Modo Segurança com Rede - Vá para o ecrão de início Windows 8, escreva Avançado, nos resultados da pesquisa, selecione Configurações. Clique em opções de inicialização avançadas, na janela aberta "Definições Gerais de PC", selecione inicialização Avançada. Clique no botão "Reiniciar agora". O seu computador será reiniciado no "Menu de opções de inicialização avançadas". Clique no botão "Solucionar Problemas" e, em seguida, clique no botão "Opções avançadas". No ecrã de opções avançadas, clique em "Definições de inicialização". Clique no botão "Reiniciar". O seu PC será reiniciado no ecrã de Definições de Inicialização. Prima "5" para iniciar em Modo de Segurança com Rede. Modo de Segurança com rede Windows 8

Windows 8

O vídeo demonstra como começar Windows 8 "Modo de Segurança com Rede":

Utilizadores Windows 10: Clique no logotipo do Windows e seleccione o ícone Energia. No menu aberto, clique em "Reiniciar", mantendo o botão "Shift" premido no seu teclado. Na janela "escolher uma opção", clique em "Solucionar Problemas" e selecione "Opções avançadas". No menu de opções avançadas, selecione "Startup Settings" e clique no botão "Reiniciar". Na janela seguinte deve clicar no botão "F5" do seu teclado. Isso irá reiniciar o sistema operacional em modo de segurança com rede.

Modo de Segurança com rede Windows 10

O vídeo demonstra como iniciar o Windows 7 "Modo de Segurança com Rede":

Passo 2

Faça o login na conta infectada com o ransomware Hermes . Inicie o seu navegador de Internet e descarregue um programa anti-spyware legítimo. Atualize o software anti-spyware e comece uma verificação de sistema completa. Remova todas as entradas detetadas.

Se não puder iniciar o computador no Modo de Segurança com Rede, tente executar um Restauro de Sistema.

O vídeo demonstra como remover os vírus a usar "Modo de Segurança com Comando Prompt" e "Restauro de Sistema":

1. Durante o processo de reinício do seu computador pressione a tecla F8 no seu teclado várias vezes até ver o menu Opções Avançadas do Windows e, em seguida, selecione Modo Segurança com Comando Prompt da lista e pressione ENTER.

inicie o seu computador no Modo de Segurança com Comando Prompt

2. Quando o modo Comando Prompt carregar, insira a seguinte linha: cd restore e prima ENTER.

restauro de sistema usando comandos escreva cd restore

3. Seguidamente, insira esta linha: rstrui.exe e prima ENTER.

restauro de sistema usando comandos escreva cd rstrui.exe

4. Na janela aberta, clique em "Seguinte".

restaure sistemas de ficheiros e definições

5. Selecione um dos Pontos de Restauro disponíveis e clique em "Seguinte" (isto irá restaurar o seu sistema de computador para um tempo e data anteriores, anterior à infiltração do vírus ransomware Hermes no seu PC).

selecione um ponto de restauro

6. Na janela aberta, clique em "Sim".

execute o restauro de sistema

7. Depois de restaurar o seu computador para uma data anterior, descarregue e analise o seu PC com software de remoção de malware recomendado para eliminar todo o ransomware Hermes restante.

Para restaurar os ficheiros encriptados individuais por este ransomware, tente usar a funcionalidade de Versões Anteriores do Windows. Este método só é eficaz se a função de Restauro do Sistema foi ativada num sistema operacional infectado. Note que algumas variantes de Hermes são conhecidas por remover Cópias de Volume Sombra dos ficheiros, por isto este método pode não funcionar em todos os computadores.

Para restaurar um ficheiro, clique com o botão direito do rato sobre ele, vá a Propriedades e selecione o separador Versões Anteriores. Se o ficheiro relevante tem um Ponto de Restauro, selecione-o e clique no botão "Restauro".

Restaurando ficheiros encriptados por CryptoDefense

Se não puder iniciar o computador no Modo de Segurança com Rede (ou com Comando Prompt), inicie o seu computador usando um disco de recuperação. Algumas variantes de ransomware desativam o Modo de Segurança, tornando a sua remoção complicada. Para este passo, irá precisar de ter acesso a outro computador.

Para recuperar o controlo dos ficheiros encriptados por Hermes também pode tentar usar um programa chamado Shadow Explorer. Mais informação sobre como usar este programa está disponível aqui.

screenshot de shadow explorer

Para proteger o seu computador de tal ficheiro de encriptação ransomware como este, deve usar programas anti-spyware antivírus respeitável. Como um método de proteção extra, os utilizadores de computador podem usar os programas chamados HitmanPro.Alert e Malwarebytes Anti-Ransomware que implanta artificialmente objetos de política de grupo no registo para bloquear programas fraudulentos tais como o ransomware Hermes.

HitmanPro.Alert CryptoGuard - detecta a encriptação de ficheiros e neutraliza qualquer tentativa sem a necessidade da intervenção do utilizador:

aplicação de prevenção ransomware hitmanproalert

Malwarebytes Anti-Ransomware Beta usa a tecnologia pró-ativa avançado que monitoriza a actividade do ransomware e termina-a imediatamente - antes de alcançar os ficheiros dos utilizadores:

Malwarebytes Anti-Ransomware Beta

A melhor maneira de evitar danos causados por infecções ransomware é manter cópias de segurança regulares atualizadas. Mais informações sobre soluções de cópia de segurança on-line e software de recuperação de dados Aqui.

Outras ferramentas conhecidas para remover o ransomware Hermes:

Fonte: https://www.pcrisk.com/removal-guides/10952-hermes-ransomware

Sobre o autor:

Tomas Meskauskas

Sou um apaixonado por segurança e tecnologia de computadores. Tenho experiência de mais de 10 anos a trabalhar em diversas empresas relacionadas à resolução de problemas técnicas e segurança na Internet. Tenho trabalhado como autor e editor para PCrisk desde 2010. Siga-me no Twitter e no LinkedIn para manter-se informado sobre as mais recentes ameaças à segurança on-line. Saiba mais sobre o autor.

O portal de segurança PCrisk é criado por forças unidas de pesquisadores de segurança para ajudar a educar os utilizadores de computador sobre as mais recentes ameaças de segurança online. Mais informações sobre os autores e pesquisadores que estão a trabalhar na PCrisk na nossa página de contato.

Os nossos guias de remoção de malware são gratuitos. Contudo, se quiser continuar a ajudar-nos, pode-nos enviar uma ajuda, sob a forma de doação.

Instruções de remoção em outras línguas
Code QR
HERMES (vírus) Code QR
Um código QR (Código de Resposta Rápida) é um código legível por uma máquina que armazena URLs e outras informações. Este código pode ser lido através de uma câmara num smartphone ou um tablet. Digitalize o código QR para ter um guia de remoção de acesso fácil de HERMES (vírus) no seu dispositivo móvel.
Nós recomendamos:

Livre-se de HERMES (vírus) hoje:

▼ REMOVER AGORA com Spyhunter

Plataforma: Windows

Classificação do editor para Spyhunter:
Excelente!

[Início da Página]

O verificador gratuito faz uma verificação se o seu computador estiver infetado. Para remover o malware, é necessário comprar a versão completa de Spyhunter.