Ransomware InsaneCrypt

Instruções de remoção do ransomware InsaneCrypt

O que é InsaneCrypt?

Descoberto pelo pesquisador de segurança de malware, Karsten Hahn, InsaneCrypt é um malware de tipo ransomware que se infiltra furtivamente no sistema e encripta a maioria dos ficheiros armazenados. Ao fazê-lo, este vírus acrescenta nomes de ficheiro com a extensão "[insane@airmail.cc].insane" (por exemplo,"sample.jpg"é renomeado para "sample.jpg.[insane@airmail.cc].insane"). A partir deste ponto, usar ficheiros torna-se impossível. Após a encriptação de ficheiros cbem sucedida, InsaneCrypt cria um ficheiro de texto ("How_decrypt_files.txt" ou "note.txt"), colocando-o no ambiente de trabalho. Outra variante deste ransomware adiciona.a extensão [].DEUSCRYPT para encriptar ficheiros, por exemplo. [rememberggg@tutanota.com].DEUSCRYPT.

O novo ficheiro de texto contém uma mensagem encorajando as vítimas a entrar em contato com os desenvolvedores do InsaneCrypt (através de um endereço de e-mail fornecido) se querem desencriptar os seus ficheiros. Os utilizadores são fornecidos com instruções detalhadas sobre a desencriptação. InsaneCrypt usa um tipo de encriptação que gera uma chave de desencriptação exclusiva. Restaurar ficheiros sem esta chave é impossível. Portanto, os criminosos escondê-na num servidor remoto, que lhes permite fazer pedidos de resgate para o seu lançamento - os utilizadores devem pagar uma determinada taxa para receber a chave. O custo não é atualmente confirmado, mas normalmente oscila entre $500 e $1500 em Bitcoins (ou outro cripto moeda). Apesar dessas exigências, os criminosos virtuais são propensos a ignorar as vítimas, assim que os pagamentos são submetidos. Portanto, na maioria dos casos, pagar não resulta em qualquer resultado positivo - os utilizadores estão enganados. Portanto, nunca tente entrar em contato com estas pessoas ou envie qualquer dinheiro. Felizmente, Michael Gillespie desenvolveu uma ferramenta para restaurar arquivos gratuitamente (link para descarregamento). Portanto, não há nenhuma necessidade de pagar. Se, no entanto, o seu computador foi infectado com outro ransomware (não passível de desencriptar), a única solução é tudo restaurar a partir de um cópia de segurança.

Screenshot de uma mensagem a incentivar os utilizadores a pagar um resgate para desencriptar os seus dados comprometidos:

InsaneCrypt2 é virtualmente idêntico a MoneroPay, GHOST ARMY, PLANETARY e dezenas de outros vírus de tipo ransomware. Note que, embora estes vírus são desenvolvidos por criminosos virtuais diferentes, todos têm comportamento idêntico - encriptar dados e fazer pedidos de resgate. Normalmente têm apenas duas grandes diferenças: 1) o tamanho do resgate, e; 2) tipo de algoritmo de encriptação usado. Infelizmente, a maioria destes ransomware emprega algoritmos que geram chaves de desencriptação exclusivas (por exemplo, RSA, AES, etc.) Em tais casos, a menos que os ficheiros contenham erros/falhas (por exemplo, a chave é embutida ou armazenada localmente), restaurando os ficheiros manualmente, sem envolvimento de desenvolvedores (entrar em contato com essas pessoas, não é recomendado) é impossível. Por estas razões, o vírus de tipo ransomware apresentam um caso forte para manter cópias de segurança de dados regulares, no entanto, é importante armazenar os seus ficheiros de cópias de segurança num armazenamento externo desligado ou o servidor remoto (por exemplo, nuvem), caso contrário o malware também os encripta.

Como é que o ransomware infectou o meu computador?

Os vírus de tipo ransomware são distribuídos usando e-mails spam (anexos fraudulentos), software de terceiros para descarregar fontes (fontes de descarregamento de software gratuito, websites de hospedagem de ficheiros gratuitos, torrents e outro peer-to-peer [P2P], redes, etc.), falsos atualizadores de software, e trojans. Os anexos infecciosos vêm tipicamente em formato de ficheiros JavaScript ou documentos do MS Office que, uma vez abertos, fazem o descarregamento e instalação de malware. Fontes de descarregamento de software de terceiros apresentam malware como software legítimo, desse modo, enganando os utilizadores a descarregar e instalar o malware. As ferramentas de atualização de software falso exploram bugs de software desatualizado e falhas para infectar o sistema. Os trojans são os mais simples - apenas abrem portas para infiltrar malware de alto risco no sistema. Essencialmente, as principais razões para infecções do computador são o pobre conhecimento e o comportamento descuidado.

Como se proteger de infecções ransomware?

A chave para a segurança do computador é ter cuidado. Portanto, preste muita atenção quando navega na Internet. Nunca abra anexos recebidos de endereços de e-mail suspeitos - esses e-mails devem ser eliminados sem leitura. Adicionalmente, as suas aplicações devem ser descarregues de fontes oficiais, apenas usando um link de descarregamento direto. Os descarregadores/instaladores são frequentemente usados para proliferar malware (apps fraudulentas). Por isso, tais ferramentas nunca devem ser usadas. Mantenha as aplicações instaladas actualizadas e use um pacote de anti-virus/anti-spyware legítimo, no entanto, recomendamos fortemente que evite o uso de quaisquer atualizador de terceiros, use funções de atualização implementadas pelo desenvolvedor oficial.

Texto apresentado no ficheiro de texto de ransomware InsaneCrypt ("How_decrypt_files.txt"):

Olá!
Se quer restaurar os seus ficheiro escreva para o e-mail - insane@airmail.cc

Screenshot do desencriptador InsaneCrypt:

Screenshot dos ficheiros encriptados pela extensão InsaneCrypt (".[insane@airmail.cc].insane"):

Remoção do ransomware InsaneCrypt:

Remoção imediata automática de InsaneCrypt (vírus): A remoção manual de ameaças pode ser um processo demorado e complicado que requer conhecimentos avançados de informática. Spyhunter é uma ferramenta profissional de remoção automática de malware que é recomendada para se livrar de InsaneCrypt (vírus). Descarregue ao clicar no botão abaixo:
▼ DESCARREGAR Spyhunter O verificador gratuito faz uma verificação se o seu computador estiver infetado. Para remover o malware, é necessário comprar a versão completa de Spyhunter. Ao descarregar qualquer software listado no nosso website, concorda com a nossa Política de Privacidade e Termos de Uso.

Menu rápido:

• O que é InsaneCrypt?
• PASSO 1. Remoção do vírus InsaneCrypt usando o modo de segurança com rede.
• PASSO 2. Remoção do ransomware InsaneCrypt usando o Restauro de Sistema.

Passo 1

Utilizadores Windows XP e Windows 7: Inicie o seu computador no Modo de Segurança. Clique em Iniciar, Clique em Encerrar, clique em Reiniciar, clique em OK. Durante o processo de reinício do seu computador pressione a tecla F8 no seu teclado várias vezes até ver o menu Opções Avançadas do Windows e, em seguida, selecione Modo Segurança com Rede da lista.

O vídeo demonstra como iniciar o Windows 7 "Modo de Segurança com Rede"

Utilizadores Windows 8: Inicie o Windows 8 com Modo Segurança com Rede - Vá para o ecrã de início Windows 8, escreva Avançado, nos resultados da pesquisa, selecione Configurações. Clique em opções de inicialização avançadas, na janela aberta "Definições Gerais de PC", selecione inicialização Avançada. Clique no botão "Reiniciar agora". O seu computador será reiniciado no "Menu de opções de inicialização avançadas". Clique no botão "Solucionar Problemas" e, em seguida, clique no botão "Opções avançadas". No ecrã de opções avançadas, clique em "Definições de inicialização". Clique no botão "Reiniciar". O seu PC será reiniciado no ecrã de Definições de Inicialização. Pressione F5 para iniciar em Modo de Segurança com Rede.

O vídeo demonstra como iniciar o Windows 8 "Modo de Segurança com Rede":

Utilizadores Windows 10: Clique no logo do Windows e selecione o ícone de Energia. No menu aberto clique em "Reiniciar" enquanto mantém o botão "Shift" premido no seu teclado. Na janela "escolha uma opção", clique em "Solução de problemas", em seguida selecione "Opções avançadas". No menu de opções avançadas, selecione "Configurações de inicialização" e clique no botão "Reiniciar". Na janela seguinte deve clicar no botão "F5" no seu teclado. Isso irá reiniciar o seu sistema operacional no modo de segurança com rede.

O vídeo demonstra como iniciar o Windows 10 "Modo de Segurança com Rede":

Passo 2

Faça login na conta infectada com o vírus InsaneCrypt. Inicie o seu navegador de Internet e descarregue um programa anti-spyware legítimo. Atualize o software anti-spyware e comece uma verificação de sistema completa. Remova todas as entradas detectadas.

Se não puder iniciar o computador no Modo de Segurança com Rede, tente executar um Restauro de Sistema.

O vídeo demonstra como remover o vírus ransomware usando "Modo de Segurança com Comando Prompt" e "Restauro de Sistema":

1. Durante o processo de reinício do seu computador prima a tecla F8 do seu teclado várias vezes até ver o menu Opções Avançadas do Windows e, em seguida, selecione Modo Segurança com Comando Prompt da lista e prima ENTER.

2. Quando o modo Comando Prompt carregar, digite a seguinte linha: cd restore e prima ENTER.

3. Em seguida, digite esta linha:rstrui.exe e prima ENTER.

4. Na janela aberta, clique em "Seguinte".

5. Selecione um dos Pontos de Restauro disponíveis e clique em "Seguinte" (isto irá restaurar o seu sistema de computador para um tempo e data anteriores, anterior à infiltração do vírus ransomware InsaneCrypt no seu PC).

6. Na janela aberta, clique em "Sim".

7. Depois de restaurar o seu computador para uma data anterior, descarregue e analise o seu PC com software de remoção de malware recomendado para eliminar todo o ransomware InsaneCrypt restante.

Para restaurar os ficheiros encriptados individuais por este ransomware, tente usar a funcionalidade de Versões Anteriores do Windows. Este método só é eficaz se a função de Restauro do Sistema foi ativada num sistema operacional infectado. Note que algumas variantes de InsaneCrypt são conhecidas por remover Cópias de Volume Sombra dos ficheiros, por isto este método pode não funcionar em todos os computadores.

Para restaurar um ficheiro, clique com o botão direito do rato sobre ele, vá a Propriedades e selecione o separador Versões Anteriores. Se o ficheiro relevante tem um Ponto de Restauro, selecione-o e clique no botão "Restauro".

Se não puder iniciar o computador no Modo de Segurança com Rede (ou com Comando Prompt), inicie o seu computador usando um disco de recuperação. Algumas variantes de ransomware desativam o Modo de Segurança, tornando a sua remoção complicada. Para este passo, irá precisar de ter acesso a outro computador.

Para recuperar o controlo dos ficheiros encriptados por InsaneCrypt também pode tentar usar um programa chamado Shadow Explorer. Mais informação sobre como usar este programa está disponível aqui.

Para proteger o seu computador de tal ficheiro de encriptação ransomware como este, deve usar programas anti-spyware antivírus respeitável. Como um método de proteção extra, os utilizadores de computador podem usar os programas chamados HitmanPro.Alert e EasySync CryptoMonitor que implanta artificialmente objetos de política de grupo no registo para bloquear programas fraudulentos tais como InsaneCrypt.)

Observe que Windows 10 Fall Creators Update inclui um recurso de "Acesso Controlado de pasta" que bloqueia tentativas de ransomware para encriptar os seus ficheiros. Por padrão, esse recurso automaticamente protege os ficheiros armazenados nos documentos, fotos, vídeos, música, favoritos bem como pastas do ambiente de trabalho.

Os utilizadores Windows 10 devem instalar esta atualização para proteger os seus dados contra ataques de ransomware. Aqui estão mais informações sobre como obter essa atualização e adicionar uma camada de proteção adicional do ransomware infecções.

HitmanPro.Alert CryptoGuard - detecta a encriptação de ficheiros e neutraliza quaisquer tentativas sem a necessidade da intervenção do utilizador:

Malwarebytes Anti-Ransomware Beta usa tecnologia avançada pró-ativa que monitoriza a atividade do ransomware e termina-o imediatamente - antes de atingir os ficheiros dos utilizadores:

• A melhor maneira de evitar danos causados por infecções ransomware é manter as cópias de segurança regulares atualizadas. Mais informações sobre soluções de cópias de segurança e dados recuperação software online aqui.

Outras ferramentas conhecidas para remover o ransomware InsaneCrypt:

• Malwarebytes Anti-Malware

Fonte: https://www.pcrisk.com/removal-guides/12175-insanecrypt-ransomware