Ransomware Iron

Também Conhecido Como: Iron (vírus)
Distribuição: Baixo
Nível de Estragos: Grave

Instruções de remoção do ransomware Iron

O que é Iron?

Descoberto pela primeira vez por MalwareHunterTeam, Iron é uma versão atualizada do ransomware de alto risco chamado Maktub. Iron foi projetado para encriptar os dados armazenados usando encriptação RSA. Durante a encriptação, acrescenta nomes de ficheiros encriptados com extensão ".encry". Uma vez que os ficheiros são encriptados, usá-los torna-se impossível. Após a encriptação bem-sucedida, o Iron abre uma janela pop-up e cria um ficheiro HTML ("!HELP_YOUR_FILES.HTML"), colocando uma cópia em todas as pastas existentes. Todos contêm uma mensagem exigente de resgate.

A mensagem informa que os ficheiros são encriptados e incentiva as vítimas a visitar o site da Iron se quiserem restaurar os seus dados comprometidos. Os utilizadores são encorajados a comprar uma chave de desencriptação. Como mencionado acima, o Iron usa o RSA, um algoritmo de encriptação assimétrica que gera duas chaves: 1) público [encriptação] e; 2) [desencriptação privada]. Criminosos virtuais (os desenvolvedores de Iron) armazenam todas as chaves privadas num servidor remoto. Portanto, as vítimas devem enviar pagamentos de 0,2 Bitcoin (atualmente equivalente a ~$1370) em troca da liberação de suas chaves. A mensagem informa que o resgate deve ser pago dentro de 12 horas, caso contrário, a chave será excluída permanentemente e o restauro dos ficheiros tornar-se-á impossível. Apesar disso, o site de Iron afirma que o custo aumenta gradualmente a cada 72 horas. É atualmente desconhecido o que está correto, no entanto, nunca deve concordar em enviar pagamentos. A pesquisa demonstra que essa pessoas ignora as vítimas, assim que os pagamentos sejam submetidos. Pagar normalmente não dá resultado positivo e as vítimas são simplesmente enganadas. Portanto, é fortemente aconselhável ignorar todos os incentivos para pagar. Infelizmente, atualmente não há ferramentas capazes de quebrar o algoritmo RSA e restaurar ficheiros encriptados gratuitamente por Iron. A única solução é restaurar os seus tudo a partir de uma cópia de segurança.

Screenshot de uma mensagem a encorajar os utilizadores a pagar o resgate para desencriptar os seus dados comprometidos:

Instruções de desencriptação de Iron

Iron é virtualmente praticamente idêntico a RSA2048Pro, Vurten, GANDCRAB V2.0, My Decryptor, e dezenas de outros vírus de tipo ransomware. Embora todos sejam desenvolvidos por criminosos virtuais, todos têm comportamento idêntico - encriptam dados e exigem pedidos de resgate. Na maioria dos casos, os vírus de tipo ransomware têm duas diferenças principais: 1) tamanho do resgate, e; 2) tipo de algoritmo de encriptação utilizado. A maioria desses vírus emprega algoritmos que geram chaves de descodificação exclusivas (por exemplo, RSA, AES etc.). Portanto, a menos que o malware não esteja totalmente desenvolvido ou tenha alguns bugs/falhas, restaurar ficheiros manualmente sem o envolvimento de desenvolvedores (entrar em contato com essas pessoas) recomendado) é impossível. Esses vírus são uma das principais razões pelas quais deve manter backups regulares de dados, no entanto, manter ficheiros de cópia de segurança armazenados num servidor remoto (por exemplo, Cloud) ou um dispositivo de armazenamento externo desligado. Caso contrário, as cópias de segurança serão encriptadas juntamente com ficheiros regulares.

Como é que o ransomware infectou o meu computador?

Os desenvolvedores proliferam o ransomware de várias maneiras, no entanto, os mais populares são: 1) e-mails de spam [anexos fraudulentos]; 2) fontes não-oficiais de descarregamentode software [redes peer-to-peer, sites de atualização de ficheiros gratuitos, sites de descarregamentode freeware e assim por diante]; 3) falsificados atualizadores de software e; 4) trojans. Os anexos fraudulentos geralmente vêm em formato de ficheiros JavaScript ou documentos do MS Office. Ao abri-los, os utilizadores executam scripts que, furtivamente, descarregam e instalam malwares. Fontes de descarregamento de software de terceiros apresentam malware como software legítimo. Ao fazer isso, os criminosos enganam os utilizadores para que descarreguem e instalem malwares. Os atualizadores falsos infectam o sistema, explorando erros/falhas de software desatualizados ou simplesmente descarregando e instalando vírus em vez de atualizações. Os Trojans são os mais simples de todos. Simplesmente abrem a "porta" para outros malwares serem instalados no sistema.

Como se proteger de infecções de ransomware?

Os principais motivos das infecções por computador são o conhecimento insuficiente e o comportamento imprudente. A chave para a segurança é ter cuidado. Portanto, preste muita atenção ao navegar na Internet. Pense duas vezes antes de abrir anexos de email. Se o ficheiro parecer irrelevante e tiver sido enviado por um endereço de e-mail suspeito/irreconhecível, não o abra - exclua o e-mail imediatamente. Lembre-se também de descarregar as suas aplicações apenas de fontes oficiais, usando links de descarregamento direto. Os descarregadores/instaladores de terceiros costumam ser usados para proliferar aplicações fraudulentos e, portanto, essas ferramentas nunca devem ser usadas. Mantenha as aplicações instaladas atualizadas e tenha um pacote anti-vírus/antispyware legítimo instalado e em execução, no entanto, como os criminosos proliferam malware usando atualizadores falsos, as aplicações devem ser atualizadas usando funções ou ferramentas implementadas apenas pelo desenvolvedor oficial.

Screenshot do ficheiro HTML de Iron:

Ficheiro html Iron

Texto apresentado na janela pop-up Iron ransomware e no ficheiro HTML ("!HELP_YOUR_FILES.HTML"):

AVISO!
Os seus ficheiros pessoais foram encriptados!
Os seus documentos, fotos, bases de dados e outros ficheiros importantes foram encriptados com uma encriptação forte e uma chave exclusiva, gerada por este computador. A chave para desencriptar é privada é armazenada num servidor de Internet secreto, e ninguém pode desencriptar os seus ficheiros antes de pagar e obter a chave privada. O servidor vai eliminar a chave após um tempo específico nesta janela.
Também pode enviar 0,2 btc e entrar em contato abaixo.
1cimKyzS64PRNEiG89iFU3qzckVuEQuUj
recoverfile@mail2tor.com

Screenshot do website Iron:

Website Iron

Texto apresentado neste website:

OLÁ!
Lamentamos muito que todos os seus ficheiros pessoais tenham sido encriptados :( Mas há boas notícias: não foram - ainda tem a oportunidade de restaurá-los! estatisticamente, o tempo de vida da hard-drive é estimada entre 3 a 5 anos de vida. Se não fizer cópia de informação importante, deve perder tudo! Imagine só! De forma a receber o programa que irá desencriptar todos os seus ficheiros, necessitará de pagar um certo montante. Mas vamos começar com outra coisa ...

 

NÃO ESTAMOS A MENTIR!
É fácil excluir o programa do seu computador pessoal. Mas nenhum dos programas de terceiros será capaz de fazer a coisa mais importante - desencriptar os seus ficheiros! De forma a fazer isto, necessita de ter a chave-mestra privada que apenas nós temos. E apenas nós podemos restaurar os seus ficheiros.

 

QUANTO CUSTA?
Acreditamos que está convencido que podemos desencriptar todos os seus ficheiros. Agora, a coisa mais importante! Quanto mais rápido transferir o dinheiro, mais barata ficará a desencriptação. Em cada etapa do pagamento, terá 3 dias ou 72 horas. Pode ver a contagem decrescente no canto superior direito. Após o relógio mostrar 00:00:00 avança para a próxima etapa do pagamento e o preço aumenta automaticamente. Aceitamos apenas o câmbio electrónico Bitcoin como forma de pagamento. Eis aqui uma tabela que mostra a data do pagamento e preço. A sua etapa atual é marcada a amarelo.
Após 15 dias sem pagamento, não garantimos a chave guardada. Este site pode ser desligado a qualquer momento e perderá os seus dados para sempre.
Por favor considere isto seriamente.


ONDE PAGO?

O processo inteiro de confirmação de pagamento é automatizado! Assim que enviar o dinheiro, demorará apenas algumas horas para o sistema contabilizá-los automaticamente e criar o programa que descodificará o seu ficheiro.
Depois de enviar seu pagamento, basta atualizar este site após 1 minuto (ou aceder à página inicial para inserir a sua ID pessoal).
Deve transferir 0.2 BTC para o endereço seguinte: 1cimKyzS64PRNEiG89iFU3qzckVuEQuUj

Screenshot dos ficheiros encriptados por Iron (extensão ".encry"):

Ficheiros encriptados por Iron

Remoção do ransomware Iron:

Remoção imediata automática de Iron (vírus): A remoção manual de ameaças pode ser um processo demorado e complicado que requer conhecimentos avançados de informática. Spyhunter é uma ferramenta profissional de remoção automática de malware que é recomendada para se livrar de Iron (vírus). Descarregue ao clicar no botão abaixo:
▼ DESCARREGAR Spyhunter O verificador gratuito faz uma verificação se o seu computador estiver infetado. Para remover o malware, é necessário comprar a versão completa de Spyhunter. Ao descarregar qualquer software listado no nosso website, concorda com a nossa Política de Privacidade e Termos de Uso.

Menu rápido:

Passo 1

Utilizadores Windows XP e Windows 7: Inicie o seu computador no Modo de Segurança. Clique em Iniciar, Clique em Encerrar, clique em Reiniciar, clique em OK. Durante o processo de reinício do seu computador pressione a tecla F8 no seu teclado várias vezes até ver o menu Opções Avançadas do Windows e, em seguida, selecione Modo Segurança com Rede da lista.

Modo de Segurança com Rede

O vídeo demonstra como iniciar o Windows 7 "Modo de Segurança com Rede"

Utilizadores Windows 8: Inicie o Windows 8 com Modo Segurança com Rede - Vá para o ecrã de início Windows 8, escreva Avançado, nos resultados da pesquisa, selecione Configurações. Clique em opções de inicialização avançadas, na janela aberta "Definições Gerais de PC", selecione inicialização Avançada. Clique no botão "Reiniciar agora". O seu computador será reiniciado no "Menu de opções de inicialização avançadas". Clique no botão "Solucionar Problemas" e, em seguida, clique no botão "Opções avançadas". No ecrã de opções avançadas, clique em "Definições de inicialização". Clique no botão "Reiniciar". O seu PC será reiniciado no ecrã de Definições de Inicialização. Pressione F5 para iniciar em Modo de Segurança com Rede.

Modo de Segurança com rede Windows 8

O vídeo demonstra como iniciar o Windows 8 "Modo de Segurança com Rede":

Utilizadores Windows 10: Clique no logo do Windows e selecione o ícone de Energia. No menu aberto clique em "Reiniciar" enquanto mantém o botão "Shift" premido no seu teclado. Na janela "escolha uma opção", clique em "Solução de problemas", em seguida selecione "Opções avançadas". No menu de opções avançadas, selecione "Configurações de inicialização" e clique no botão "Reiniciar". Na janela seguinte deve clicar no botão "F5" no seu teclado. Isso irá reiniciar o seu sistema operacional no modo de segurança com rede.

Modo de Segurança com rede Windows 10

O vídeo demonstra como iniciar o Windows 10 "Modo de Segurança com Rede":

Passo 2

Faça login na conta infectada com o vírus Iron. Inicie o seu navegador de Internet e descarregue um programa anti-spyware legítimo. Atualize o software anti-spyware e comece uma verificação de sistema completa. Remova todas as entradas detectadas.

Se não puder iniciar o computador no Modo de Segurança com Rede, tente executar um Restauro de Sistema.

O vídeo demonstra como remover o vírus ransomware usando "Modo de Segurança com Comando Prompt" e "Restauro de Sistema":

1. Durante o processo de reinício do seu computador prima a tecla F8 do seu teclado várias vezes até ver o menu Opções Avançadas do Windows e, em seguida, selecione Modo Segurança com Comando Prompt da lista e prima ENTER.

Inicie o seu computador no Modo de Segurança com Comando Prompt

2. Quando o modo Comando Prompt carregar, digite a seguinte linha: cd restore e prima ENTER.

restauro de sistema usando comandos; escreva cd restore

3. Em seguida, digite esta linha:rstrui.exe e prima ENTER.

restauro de sistema usando comandos escreva prompt rstrui.exe

4. Na janela aberta, clique em "Seguinte".

restauro de sistemas de ficheiros e definições

5. Selecione um dos Pontos de Restauro disponíveis e clique em "Seguinte" (isto irá restaurar o seu sistema de computador para um tempo e data anteriores, anterior à infiltração do vírus ransomware Iron no seu PC).

selecione um ponto de restauro

6. Na janela aberta, clique em "Sim".

execute o restauro de sistema

7. Depois de restaurar o seu computador para uma data anterior, descarregue e analise o seu PC com software de remoção de malware recomendado para eliminar todo o ransomware Iron restante.

Para restaurar os ficheiros encriptados individuais por este ransomware, tente usar a funcionalidade de Versões Anteriores do Windows. Este método só é eficaz se a função de Restauro do Sistema foi ativada num sistema operacional infectado. Note que algumas variantes de Iron são conhecidas por remover Cópias de Volume Shadow dos ficheiros, por isto este método pode não funcionar em todos os computadores.

Para restaurar um ficheiro, clique com o botão direito do rato sobre ele, vá a Propriedades e selecione o separador Versões Anteriores. Se o ficheiro relevante tem um Ponto de Restauro, selecione-o e clique no botão "Restauro".

Restaurando ficheiros encriptados por CryptoDefense

Se não puder iniciar o computador no Modo de Segurança com Rede (ou com Comando Prompt), inicie o seu computador usando um disco de recuperação. Algumas variantes de ransomware desativam o Modo de Segurança, tornando a sua remoção complicada. Para este passo, irá precisar de ter acesso a outro computador.

Para recuperar o controlo dos ficheiros encriptados por Iron também pode tentar usar um programa chamado Shadow Explorer. Mais informação sobre como usar este programa está disponível aqui.

screenshot de shadow explorer

Para proteger o seu computador de tal ficheiro de encriptação ransomware como este, deve usar programas anti-spyware antivírus respeitável. Como um método de proteção extra, os utilizadores de computador podem usar os programas chamados HitmanPro.Alert e EasySync CryptoMonitor que implanta artificialmente objetos de política de grupo no registo para bloquear programas fraudulentos tais como Iron.)

Observe que Windows 10 Fall Creators Update inclui um recurso de "Pasta de Controlo de Acesso" que bloqueia tentativas de ransomware para encriptar os seus ficheiros. Por padrão, esse recurso automaticamente protege os ficheiros armazenados nos documentos, fotos, vídeos, música, favoritos bem como pastas do ambiente de trabalho.

Pasta de Controlo de Acesso

Os utilizadores Windows 10 devem instalar esta atualização para proteger os seus dados contra ataques de ransomware. Aqui encontra mais informações sobre como obter essa atualização e adicionar uma camada de proteção adicional do ransomware infecções.

HitmanPro.Alert CryptoGuard - detecta a encriptação de ficheiros e neutraliza quaisquer tentativas sem a necessidade da intervenção do utilizador:

aplicação de prevenção ransomware hitmanproalert

Malwarebytes Anti-Ransomware Beta usa avançada tecnologia pró-ativa que monitoriza a atividade do ransomware e termina-o imediatamente - antes de atingir os ficheiros dos utilizadores:

Anti-ransomware Malwarebytes

  • A melhor maneira de evitar danos causados por infecções ransomware é manter as cópias de segurança regulares atualizadas. Mais informações sobre soluções de cópias de segurança e dados recuperação software online Aqui.

Outras ferramentas conhecidas para remover o ransomware Iron:

Fonte: https://www.pcrisk.com/removal-guides/12611-iron-ransomware