Ransomware WhiteRose

Também Conhecido Como: WhiteRose (vírus)
Distribuição: Baixo
Nível de Estragos: Grave

Instruções de remoção do ransomware WhiteRose

O que é WhiteRose?

Primeiramente descoberto por Michael Gillespie, WhiteRose é um vírus do tipo ransomware que se infiltra furtivamente no sistema e encripta os ficheiros armazenados. A pesquisas demonstra que o WhiteRose é originário da mesma família de ransomware que os vírus BlackRuby2 e Zenis. Durante a encriptação, WhiteRose renomeia ficheiros usando o padrão "[12_random_letters_and_digits]_ENCRYPTED_BY.WHITEROSE". Por exemplo, "sample.jpg" pode ser renomeado para um nome de ficheiro como "1D3AbF5EACFE_ENCRYPTED_BY.WHITEROSE". Os ficheiros encriptados tornam-se inutilizáveis ??e indistinguíveis. Após a encriptação bem-sucedida, WhiteRose cria um ficheiro html ("HOW-TO-RECOVERY-FILES.TXT") colocando uma cópia em todas as pastas existentes.

O novo ficheiro de texto informa as vítimas da encriptação e informando o que fazer a seguir. Para restaurar os dados, os utilizadores devem entrar em contato com os desenvolvedores do WhiteRose via Tox. Devem enviar aos desenvolvedores uma identificação particular juntamente com dois ficheiros selecionados. Estes são então desencriptados e devolvidos como uma 'garantia' de que a desencriptação é possível. As vítimas também receberão instruções de pagamento. Atualmente, não se sabe se WhiteRose utiliza encriptação simétrica ou assimétrica - essa informação não é fornecida. Em qualquer caso, a desencriptação requer uma chave exclusiva gerada individualmente para cada vítima. Os criminosos virtuais armazenam essas chaves num servidor remoto e os utilizadores devem comprar uma ferramenta de desencriptação com a chave incorporada. O custo também não é especificado, no entanto, os resgates normalmente oscilam entre $500 e $1.500 num tipo de criptomoeda (principalmente Bitcoins). Os criminosos virtuais nunca devem ser confiáveis. A pesquisa demonstra que essa pessoas ignora as vítimas, mesmo que os pagamentos sejam submetidos. Portanto, não importa quão baixo ou alto seja o custo, nunca pague esses criminosos. Na maioria dos casos, pagar normalmente não dá resultado positivo e as vítimas são simplesmente enganadas. Por isso, recomendamos fortemente a ignorar todas as exigências para manter contato com essas pessoas e/ou pagar qualquer resgate. Simplesmente estará a apoiar simplesmente o seu negócio fraudulento. Infelizmente, não existem ferramentas capazes de restaurar os ficheiros encriptados por WhiteRose. Por isso, pode restaurar os seus ficheiros/sistema a partir de uma cópia de segurança.

Screenshot de uma mensagem a encorajar os utilizadores a pagar o resgate para desencriptar os seus dados comprometidos:

Instruções de desencriptação de WhiteRose

Existem dezenas de vírus do tipo ransomware semelhantes a WhiteRose. A lista de exemplos inclui (mas não está limitada a) L0cked, Rapid 2.0, Stinger, e Unlock92. Note que, embora todos sejam desenvolvidos por criminosos virtuais, todos têm comportamento idêntico - encriptam dados e exigem pedidos de resgate. Na maioria dos casos, os vírus de tipo ransomware têm duas diferenças principais: 1) tamanho do resgate, e; 2) tipo de algoritmo de encriptação utilizado. A pesquisas demonstra que, infelizmente, a maioria usa algoritmos (por exemplo, RSA, AES e assim por diante) que geram chaves de desencriptação exclusivas. Portanto, a menos que o malware não esteja totalmente desenvolvido ou tenha certos bugs/falhas (por exemplo, a chave é codificada, armazenada localmente etc.), o restauro de ficheiros sem o envolvimento de desenvolvedores (o contato com essas pessoas não é recomendado) é impossível. O malware, como o WhiteRose, apresenta um forte argumento para a manutenção de cópia de seguranças regulares de dados. No entanto, os ficheiros de cópia de segurança devem ser armazenados num dispositivo de armazenamento externo desligado ou num servidor remoto (como o Cloud). Caso contrário, o malware também os encripta.

Como é que o ransomware infectou o meu computador?

Para proliferar o ransomware, os desenvolvedores geralmente usam e-mails de spam, fontes não-oficiais de descarregamento de software, falsificados atualizadores de software e trojans. E-mails de spam geralmente contêm anexos fraudulentos (por exemplo, ficheiros JavaScript, documentos do MS Office e assim por diante) qu, depois de abertos, descarregam e instalam malwares, enquanto fontes de descarregamento de terceiros (redes peer-to-peer, sites de descarregamento gratuito, ficheiros gratuitos hospedagem de sites, etc.) apresentam executáveis ??fraudulentos como software legítimo. Por isso, os utilizadores são enganados a descarregar e instalar malware. Os atualizadores falsos infectam o sistema, explorando erros/falhas de software desatualizados ou simplesmente descarregando e instalando malwares em vez de atualizações de software. Os Trojans são os mais simples de todos. Na maioria dos casos, abrem "portões" para que outros vírus de alto risco se infiltrem no sistema. Essencialmente, os principais motivos das infecções por computador são o conhecimento insuficiente e o comportamento imprudente.

Como se proteger de infecções de ransomware?

A chave para a segurança do computador é ter cuidado. Portanto, preste muita atenção ao navegar na Internet. Nunca abra anexos que pareçam irrelevantes e tenham sido enviados de endereços de e-mail irreconhecíveis/suspeitos. É altamente recomendável que exclua esses e-mails sem ler. As aplicações devem ser descarregues a partir de fontes oficiais apenas, usando links de descarregamento direto. As suas aplicações devem ser descarregues apenas de fontes oficiais, usando links de descarregamento direto. Além disso, mantenha todas as suas aplicações instaladas actualizadas e use um pacote anti-vírus/anti-spyware legítimo. Tenha em mente, no entanto, que o ransomware é distribuído usando atualizadores falsos. Por esse motivo, as aplicações devem ser atualizadas usando a funcionalidade ou ferramentas implementadas apenas pelos desenvolvedores oficiais.

Texto apresentado no ficheiro de texto do ransomware WhiteRose ("HOW-TO-RECOVERY-FILES.TXT"):

WhiteRose

O canto dos pardais, a brisa das montanhas do norte e o cheiro da terra que estava chovendo pela manhã enchiam todo o espaço do jardim. Estou sentado numa cadeira de madeira ao lado de um arbusto, tenho um livro legível em minhas mãos e estou suando minha primavera com uma xícara de café amargo. Hoje é um dia diferente.

Atrás de mim está uma casa vazia de sonhos e na minha frente, cheia de lindas rosas brancas. À minha esqurda, há uma piscina azul vazia de peixes vermelhos e à direita, árvores cheias de flores brancas da primavera.

Eu bebo café, continuarei a ler um livro de William Faulkner. No ambiente do jardim, paz e tranquilidade. A minha vida sempre é assim. Sempre sozinho sem sequer um amigo íntimo.

Eu não tenho nem um animal de estimação, nem um amigo ou um inimigo; Eu sou uma pessoa normal com desejos fantásticos entre as hordas de flores rosas brancas. Tudo é natural. Estou apenas um pouco interessado em hacking e programação. Os meus únicos dispositivos eletrónicos neste grande jardim são um PC antigo para fazer projetos e um iPhone para verificar os feeds de notícias para análise de malware no Twitter sem posts de gosto.

Acredite em mim, os meus únicos bens são as rosas brancas deste jardim. Eu penso em dias e escrevo à noite: a história, poema, código, exploração ou o acúmulo do número de rosas brancas vendidas e eu digo a mim mesmo que a riquza está tendo diferentes amigos de diferentes raças, línguas, hábitos e religiões, Não sendo apenas num jardim bastante elegante com plena de rosas brancas originais.

Hoje em dia, penso profundamente sobre a decisão que envolveu minha mente por várias semanas. Uma decisão para a liberdade e para o valor da unidade, intimidade, alegria e amor e é a decisão de libertar rosas brancas e dar presentes a todos os povos do mundo.

Eu não penso em vender rosas brancas novamente. Desta vez, vou plantar todas as rosas brancas do jardim para trazer um presente diferente para as pessoas de cada país. Não importa onde é meu jardim e de onde eu sou, não importa se é dona de casa ou dona de uma grande empresa, não importa se está a oeste do mundo ou a leste, é importante que as rosas brancas sejam infinitas e infinito. Não precisa enviar cartas ou e-mails para obter essas rosas. Apenas espere até amanha. Espere por bons dias com White Rose.

Espero que aceite este presente de mim e, se chegar até si, feche os olhos e coloque-se num grande jardim numa cadeira de madeira e sinta esta bela cena para reduzir a sua ansiedade e a sua tensão diária. Obrigado por confiar em mim. Agora abra seus olhos. O seu sistema tem uma flor como um pequeno jardim; Uma flor rosa branca.

///////////////

[Instruções de recuperação]

I. Faça o descarregamento do qTox no seu computador a partir de [https://tox.chat/descarregamento.html]
II. Crie um novo perfil e insira a nossa ID nos contatos de pesquisa
A nossa ID de Tox: "-"
III. Espere por nós para aceitar o seu pedido.
IV. Copie '[PersonalKey]' no ficheiro "HOW-TO-RECOVERY-FILES.TXT" e envie esta chave com um ficheiro encriptado menor que 2 MB
confie em nós no nosso chat do Tox.
IV.I. Somente se não receber uma resposta após 24 horas de nós,
Envie a sua mensagem para o nosso endereço de e-mail tor seguro "TheWhiteRose@Torbox3uiot6wchz.onion";.
IV.II. Para executar o "Passo IV.I" e entrar na rede TOR, deve descarregar o navegador tor
e registe-se no Mail Service "http://torbox3uiot6wchz.onion")
V. Nós desencriptamos os seus dois ficheiros e lhe enviaremos.
VI. Depois de garantir a integridade dos ficheiros, enviar-lhe-emos informações de pagamento.
VII. Agora, após o pagamento, recebe "WhiteRose Decryptor", juntamente com a chave privada do seu sistema.
VIII.Tudo volta ao normal e os seus ficheiros serão libertados.



/////////////////////////

O que é a encriptação?

A encriptação é o processo de codificar uma mensagem ou informação de tal forma que somente as partes autorizadas podem acede-las, e aquelas que não são autorizadas não podem. A encriptação não impede a interferência, mas nega o conteúdo inteligível a um possível interceptador. Num esquema de encriptação, a informação ou mensagem pretendida, referida como texto simples, é encriptada usando um algoritmo de encriptação - um texto cifrado que gera cifras que podem ser lidas somente se desencriptadas. Por razões técnicas, um esquema de encriptação geralmente usa uma chave de encriptação pseudo-aleatória gerada por um algoritmo.

Em princípio, é possível desencriptar a mensagem sem possuir a chave, mas, para um esquema de encriptação bem projetado, são necessários recursos computacionais e competências consideráveis. Um destinatário autorizado pode facilmente desencriptar a mensagem com a chave fornecida pelo originador para os destinatários, mas não para utilizadores não autorizados. No seu caso, o software “WhiteRose Decryptor” para a desencriptação segura e completa de todos os seus ficheiros e dados.



Qualquer outra maneira?

Se vir este texto na Internet e compreender que algo está errado com os seus ficheiros e não tiver nenhuma instrução para restaurar os seus ficheiros, contacte o serviço de apoio do seu anti-vírus.

Screenshot dos ficheiros encriptados por WhiteRose ("[12_random_letters_and_digits]_ENCRYPTED_BY.WHITEROSE" nome do ficheiro padrão):

Ficheiros encriptados por WhiteRose

Remoção do ransomware WhiteRose:

Remoção imediata automática de WhiteRose (vírus): A remoção manual de ameaças pode ser um processo demorado e complicado que requer conhecimentos avançados de informática. Spyhunter é uma ferramenta profissional de remoção automática de malware que é recomendada para se livrar de WhiteRose (vírus). Descarregue ao clicar no botão abaixo:
▼ DESCARREGAR Spyhunter O verificador gratuito faz uma verificação se o seu computador estiver infetado. Para remover o malware, é necessário comprar a versão completa de Spyhunter. Ao descarregar qualquer software listado no nosso website, concorda com a nossa Política de Privacidade e Termos de Uso.

Menu rápido:

Passo 1

Utilizadores Windows XP e Windows 7: Inicie o seu computador no Modo de Segurança. Clique em Iniciar, Clique em Encerrar, clique em Reiniciar, clique em OK. Durante o processo de reinício do seu computador pressione a tecla F8 no seu teclado várias vezes até ver o menu Opções Avançadas do Windows e, em seguida, selecione Modo Segurança com Rede da lista.

Modo de Segurança com Rede

O vídeo demonstra como iniciar o Windows 7 "Modo de Segurança com Rede"

Utilizadores Windows 8: Inicie o Windows 8 com Modo Segurança com Rede - Vá para o ecrã de início Windows 8, escreva Avançado, nos resultados da pesquisa, selecione Configurações. Clique em opções de inicialização avançadas, na janela aberta "Definições Gerais de PC", selecione inicialização Avançada. Clique no botão "Reiniciar agora". O seu computador será reiniciado no "Menu de opções de inicialização avançadas". Clique no botão "Solucionar Problemas" e, em seguida, clique no botão "Opções avançadas". No ecrã de opções avançadas, clique em "Definições de inicialização". Clique no botão "Reiniciar". O seu PC será reiniciado no ecrã de Definições de Inicialização. Pressione F5 para iniciar em Modo de Segurança com Rede.

Modo de Segurança com rede Windows 8

O vídeo demonstra como iniciar o Windows 8 "Modo de Segurança com Rede":

Utilizadores Windows 10: Clique no logo do Windows e selecione o ícone de Energia. No menu aberto clique em "Reiniciar" enquanto mantém o botão "Shift" premido no seu teclado. Na janela "escolha uma opção", clique em "Solução de problemas", em seguida selecione "Opções avançadas". No menu de opções avançadas, selecione "Configurações de inicialização" e clique no botão "Reiniciar". Na janela seguinte deve clicar no botão "F5" no seu teclado. Isso irá reiniciar o seu sistema operacional no modo de segurança com rede.

Modo de Segurança com rede Windows 10

O vídeo demonstra como iniciar o Windows 10 "Modo de Segurança com Rede":

Passo 2

Faça login na conta infectada com o vírus Zenis. Inicie o seu navegador de Internet e descarregue um programa anti-spyware legítimo. Atualize o software anti-spyware e comece uma verificação de sistema completa. Remova todas as entradas detectadas.

Se não puder iniciar o computador no Modo de Segurança com Rede, tente executar um Restauro de Sistema.

O vídeo demonstra como remover o vírus ransomware usando "Modo de Segurança com Comando Prompt" e "Restauro de Sistema":

1. Durante o processo de reinício do seu computador prima a tecla F8 do seu teclado várias vezes até ver o menu Opções Avançadas do Windows e, em seguida, selecione Modo Segurança com Comando Prompt da lista e prima ENTER.

Inicie o seu computador no Modo de Segurança com Comando Prompt

2. Quando o modo Comando Prompt carregar, digite a seguinte linha: cd restore e prima ENTER.

restauro de sistema usando comandos; escreva cd restore

3. Em seguida, digite esta linha:rstrui.exe e prima ENTER.

restauro de sistema usando comandos escreva prompt rstrui.exe

4. Na janela aberta, clique em "Seguinte".

restauro de sistemas de ficheiros e definições

5. Selecione um dos Pontos de Restauro disponíveis e clique em "Seguinte" (isto irá restaurar o seu sistema de computador para um tempo e data anteriores, anterior à infiltração do vírus ransomware Zenis no seu PC).

selecione um ponto de restauro

6. Na janela aberta, clique em "Sim".

execute o restauro de sistema

7. Depois de restaurar o seu computador para uma data anterior, descarregue e analise o seu PC com software de remoção de malware recomendado para eliminar todo o ransomware Zenis restante.

Para restaurar os ficheiros encriptados individuais por este ransomware, tente usar a funcionalidade de Versões Anteriores do Windows. Este método só é eficaz se a função de Restauro do Sistema foi ativada num sistema operacional infectado. Note que algumas variantes de Zenis são conhecidas por remover Cópias de Volume Shadow dos ficheiros, por isto este método pode não funcionar em todos os computadores.

Para restaurar um ficheiro, clique com o botão direito do rato sobre ele, vá a Propriedades e selecione o separador Versões Anteriores. Se o ficheiro relevante tem um Ponto de Restauro, selecione-o e clique no botão "Restauro".

Restaurando ficheiros encriptados por CryptoDefense

Se não puder iniciar o computador no Modo de Segurança com Rede (ou com Comando Prompt), inicie o seu computador usando um disco de recuperação. Algumas variantes de ransomware desativam o Modo de Segurança, tornando a sua remoção complicada. Para este passo, irá precisar de ter acesso a outro computador.

Para recuperar o controlo dos ficheiros encriptados por Zenis também pode tentar usar um programa chamado Shadow Explorer. Mais informação sobre como usar este programa está disponível aqui.

screenshot de shadow explorer

Para proteger o seu computador de tal ficheiro de encriptação ransomware como este, deve usar programas anti-spyware antivírus respeitável. Como um método de proteção extra, os utilizadores de computador podem usar os programas chamados HitmanPro.Alert e EasySync CryptoMonitor que implanta artificialmente objetos de política de grupo no registo para bloquear programas fraudulentos tais como Zenis.)

Observe que Windows 10 Fall Creators Update inclui um recurso de "Pasta de Controlo de Acesso" que bloqueia tentativas de ransomware para encriptar os seus ficheiros. Por padrão, esse recurso automaticamente protege os ficheiros armazenados nos documentos, fotos, vídeos, música, favoritos bem como pastas do ambiente de trabalho.

Pasta de Controlo de Acesso

Os utilizadores Windows 10 devem instalar esta atualização para proteger os seus dados contra ataques de ransomware. Aqui encontra mais informações sobre como obter essa atualização e adicionar uma camada de proteção adicional do ransomware infecções.

HitmanPro.Alert CryptoGuard - detecta a encriptação de ficheiros e neutraliza quaisquer tentativas sem a necessidade da intervenção do utilizador:

aplicação de prevenção ransomware hitmanproalert

Malwarebytes Anti-Ransomware Beta usa avançada tecnologia pró-ativa que monitoriza a atividade do ransomware e termina-o imediatamente - antes de atingir os ficheiros dos utilizadores:

Anti-ransomware Malwarebytes

  • A melhor maneira de evitar danos causados por infecções ransomware é manter as cópias de segurança regulares atualizadas. Mais informações sobre soluções de cópias de segurança e dados recuperação software online Aqui.

Outras ferramentas conhecidas para remover o ransomware WhiteRose:

Fonte: https://www.pcrisk.com/removal-guides/12529-whiterose-ransomware