Como evitar a encriptação de dados causados pelo ransomware DoppelPaymer?

Também Conhecido Como: vírus DoppelPaymer
Distribuição: Baixo
Nível de Estragos: Grave

Instruções de remoção do ransomware DoppelPaymer

O que é DoppelPaymer?

DoppelPaymer é um malware do tipo ransomware, projetado para impedir que as vítimas acedam aos seus ficheiros, encriptando-os. Para poder usar os seus ficheiros novamente, as vítimas são forçadas a pagar um resgate a criminosos cibernéticos. A pesquisa demonstra que os criminosos cibernéticos usam o DoppelPaymer em ataques direcionados. Isso significa que visam empresas e/ou setores específicos. Muitas vezes, os criminosos cibernéticos que têm um alvo específico procuram infiltrar-se (infectar) uma rede inteira, ou seja, computadores usados numa empresa específica. Este ransomware anexa a extensão ".locked" a um nome de ficheiro de todos os ficheiros encriptados, por exemplo, altera "1.jpg" para "1.jpg.locked" e assim por diante. Todos os ficheiros encriptados recebem a sua própria nota de resgate (ficheiro.txt). Por exemplo, uma observação para "1.jpg.locked" é "1.jpg.readme2unlock.txt" e assim por diante.

Todas as notas de resgate contêm texto idêntico. Conforme declarado nelas, as vítimas não devem desligar ou reiniciar os seus computadores, renomear ou excluir ficheiros encriptados (e notas de resgate) ou tentar restaurar ficheiros usando software. Segundo os criminosos cibernéticos, essas ações podem levar à perda permanente de dados. Para obter instruções sobre como desencriptar dados, as vítimas precisam instalar o navegador Tor e abrir o link fornecido em todas as notas de resgate criadas. É mencionado que as vítimas têm 7 dias para usar o link, depois disso tornar-se-á inválido. Além disso, afirma-se que quanto mais rápido as vítimas entrarem em contato com os desenvolvedores da DoppelPaymer, menor será o preço de uma desencriptação. O link mencionado acima abre um site Tor, onde as vítimas podem entrar em contato com criminosos cibernéticos através de um chat online. Um screenshot de um site Tor que foi gerado quando criminosos cibernéticos atacaram a empresa Ohio Gratings Inc. é fornecida abaixo. Normalmente, malware como o DoppelPaymer ransomware encripta ficheiros com algoritmos fortes e é impossível para as vítimas desencriptar dados sem ferramentas que somente os desenvolvedores de um ransomware específico possuem. Infelizmente, mesmo que os criminosos cibernéticos possuam essas ferramentas, tendem a não enviá-las. Simplificando, muitas vezes as vítimas que pagam um resgate são enganadas. Na maioria dos casos, a única forma (e gratuita) de recuperar ficheiros sem usar ferramentas que podem ser compradas apenas de criminosos cibernéticos é restaurá-los a partir de um cópia de segurança que também não foi encriptado. Além disso, os ficheiros encriptados permanecem encriptados, mesmo se as vítimas desinstalarem o ransomware do sistema. A desinstalação desse malware apenas o impede de causar mais encriptações.

Screenshot de uma mensagem a incentivar os utilizadores a pagar um resgate para desencriptar os seus dados comprometidos:

Instruções de desencriptação de DoppelPaymer

Mais exemplos de software do tipo ransomware são Nvram, Major e Lokf. Na maioria dos casos, foi projetado para encriptar dados e criar ou exibir uma nota de resgate com instruções sobre como pagar por uma ferramenta e/ou chave de desencriptação. As duas diferenças principais geralmente são o tamanho de um resgate e o algoritmo de encriptação (simétrico ou assimétrico) usado para encriptar os ficheiros da vítima. Infelizmente, a maioria desses programas causa encriptações fortes e é impossível desencriptar ficheiros sem ferramentas que apenas os desenvolvedores de um ransomware específico podem fornecer. Só é possível recuperar ficheiros sem a ajuda deles se um programa contiver bugs, falhas etc. É por isso que é importante ter uma cópia de segurança de dados e mantê-lo num servidor remoto (ou seja, nuvem) ou dispositivo de armazenamento desligado/não conectado.

Como é que o ransomware infectou o meu computador?

A maioria dos criminosos cibernéticos distribui programas fraudulentos (incluindo ransomware) através de campanhas de spam, cavalos de Troia, atualizadores de software falsos, canais/ferramentas não confiáveis de descarregamento de software e ferramentas não-oficiais de 'cracking' (ativação). Muitas vezes, os criminosos cibernéticos enviam e-mails com ficheiros anexados a que, se abertos, instalam software malicioso. Alguns exemplos de ficheiros são anexos de e-mail geralmente são apresentados como documentos do Microsoft Office,ZIP, RAR, JavaScript, ficheiros executáveis (ficheiros .exe), documentos PDF e assim por diante. Vale ressalvar que disfarçam e-mails importantes, oficiais e assim por diante. Os cavalos de Troia infectam sistemas instalando malware adicional. Estes são programas fraudulentos que geralmente são projetados para causar infecções em cadeia. No entanto, causam danos apenas se já estiverem instalados. Os atualizadores de software falsos, se usados, instalam software mal-intencionado em vez de atualizações ou exploram bugs, falhas de software desatualizado que está instalado no sistema operacional. Canais/fontes de descarregamento de software não confiáveis também estão a ser usados como ferramentas para distribuir malware. Exemplos de canais de descarregamento não confiáveis são os descarregadores de terceiros, redes peer-to-peer como clientes de torrent, eMule, sites de descarregamento de freeware, páginas gratuitas de hospedagem de ficheiros e assim por diante. Geralmente incluem ficheiros fraudulentos disfarçados de legítimos, inofensivos. Ao descarregar e abrir esses ficheiros, as pessoas instalam software malicioso por si mesmas. As ferramentas não oficiais de ativação de software que deveriam permitir que os seus utilizadores ignorassem ativações pagas de programas licenciados. No entanto, muitas vezes essas ferramentas são projetadas por criminosos cibernéticos que as usam com o objetivo de distribuir programas maliciosos. Simplesmente dito, se usadas, essas ferramentas podem causar a instalação de vários malwares de alto risco.

Resumo da Ameaça:
Nome vírus DoppelPaymer
Tipo de Ameaça Ransomware, Vírus Cripto, Ficheiros de bloqueio
Extensão de Ficheiros Encriptados .locked
Mensagem exigente de resgate readme2unlock.txt ficheiros de texto que são designados para todos os ficheiros encriptados e sites de Tor.
Valor do Resgate Depende da rapidez com que as vítimas entram em contato com criminosos cibernéticos.
Contacte com o criminoso cibernético btpsupport@protonmail.com e converse on-line no site Tor.
Nomes de Detecção Avast (Win32:MalwareX-gen [Trj]), BitDefender (Trojan.Agent.EFPT), ESET-NOD32 (A Variant Of Win32/Kryptik.GXEG), Kaspersky (Trojan.Win32.DelShad.ayr), Lista Completa de Detecções (VirusTotal)
Nome do Processo Fraudulento Plug-in do serviço SpotLife WebAlbum
Sintomas Não pode abrir os ficheiros armazenados no seu computador, os ficheiros anteriormente funcionais agora têm uma extensão diferente (por exemplo my.docx.locked). Uma mensagem exigente de resgate é exibida na sua área de trabalho. Os criminosos cibernéticos estão a pedir para pagar um resgate (geralmente em bitcoins) para desbloquear os seus ficheiros.
Informação Adicional A pesquisa demonstra que os criminosos cibernéticos usam o DoppelPaymer em ataques direcionados.
Métodos de distribuição Anexos de e-mail infectados (macros), sites de torrent, anúncios maliciosos.
Danos Todos os ficheiros são encriptados e não podem ser abertos sem pagar um resgate. Os trojans adicionais de roubo de palavra-passe e infecções por malware podem ser instalados juntamente com uma infecção por ransomware.
Remoção

Para eliminar vírus DoppelPaymer, os nossos pesquisadores de malware recomendam que verifique o seu computador com Spyhunter.
▼ Descarregar Spyhunter
O verificador gratuito verifica se o seu computador está infectado. Para remover malware, precisa de comprar a versão completa de Spyhunter.

Como se proteger de infecções por ransomware?

É altamente recomendável não abrir ficheiros ou clicar em links anexados/apresentados em e-mails irrelevantes, especialmente se forem enviados de endereço desconhecido ou suspeito. Além disso, o software não deve ser descarregue usando alguns descarregadores de terceiros, páginas não oficiais e outras fontes mencionadas acima. A melhor maneira de descarregar tudo é usar links de descarregamento direto e sites oficiais. Além disso, o software instalado deve estar sempre atualizado, no entanto, deve ser atualizado corretamente: usando ferramentas e/ou funções fornecidas (projetadas) por desenvolvedores oficiais de software. Ferramentas de terceiros nunca devem ser usadas. O mesmo aplica-se às ferramentas de ativação de software ('cracking'), além disso, não é legal usá-las. E, finalmente, é importante é ter um conjunto antispyware ou antivírus de boa reputação instalado e fazer a verificação do sistema operacional regularmente. Se o seu computador já está infectado com DoppelPaymer, recomendamos executar uma verificação com Spyhunter e elimine este ransomware.

Texto apresentado no ficheiro de texto DoppelPaymer:

A sua rede foi penetrada.
Todos os ficheiros em cada host na rede foram encriptados com um algoritmo forte.
As cópias de segurança foram encriptadas ou excluídas ou os discos das cópias de segurança foram formatados.
As cópias também são removidas, portanto, F8 ou qualquer outro método pode danificar os dados encriptados, mas não recuperá-los.
Temos exclusivamente um software de desencriptação para a sua situação.
Nenhum software de desencriptação está disponível para o público.

NÃO REINICIAR OU DESLIGAR - os ficheiros podem estar danificados.
NÃO renove ou mova os ficheiros encriptados e os ficheiros readme.
NÃO ELIMINE ficheiros readme.
NÃo use nenhum software de recuperação para restaurar ficheiros sobrescritos encriptados.
Isso pode levar à impossibilidade de recuperar certos ficheiros.

 

Para obter informações (desencriptar os seus ficheiros) entre em contato conosco
1. Descarregue o "Navegador Tor" do hxxps://www.torproject.org/download/ e instale
2. Após uma instalação bem-sucedida, execute o navegador e aguarde a inicialização.
3. Digite na barra de endereço:
*************
4. Siga as instruções no site
5. Deve entrar em contato em 48 HORAS desde que os seus sistemas foram infectados.
6. O link acima é válido por 7 dias.
Após esse período, se não entrar em contato
os seus dados locais seriam perdidos completamente.
7. Questões? e-mail: btpsupport@protonmail.com

 

Se o email não estiver a funcionar - novo, pode encontrar na página do tor.
Quanto mais rápido entrar em contato, menor o preço que pode esperar.
DADOS
-

Screenshot do site Tor de DoppelPaymer (quando a empresa alvo era a Ohio Gratings Inc):

Página web de DoppelPaymer

Texto nesta página:

DoppelPaymer
Ohio Gratings Inc. A sua rede foi invadida.
Este link e a sua chave de desencriptação expirarão em 14 dias após a infecção do sistema.
Partilhar esse link ou e-mail levará à remoção irreversível das chaves de desencriptação.
Não resta tempo para um preço especial.
Todos os ficheiros em cada host na rede foram encriptados com um algoritmo forte.
As cópias de segurança foram encriptadas ou excluídas ou os discos das cópias de segurança foram formatados.
Nenhum software de desencriptação em funcionamento está disponível em outras fontes.
Não renomeie os ficheiros de texto encriptados ou informativos. Não mova os ficheiros de texto encriptados ou informativos.
Isso pode levar à impossibilidade de recuperar certos ficheiros.
Além disso, reunimos todos os seus dados confidenciais.
Portanto, se decidir não pagar, nós partilharíamos.
Isso pode prejudicar a reputação da sua empresa.
A sua ID de Referência é: 135
(recomendamos colocar o ID de referência como assunto ao entrar em contato)
Carteira BTC para pagamento:
********************
pode verificar o status aqui: hxxps: //www.blockchain.com/btc/address/17rJmFiKyYbNZmt9xiz8yTScX1QvWpt7pz
E-mail de contato: btpsupport@protonmail.com
Use o chat na parte inferior direita desta página para entrar em contato. Tem 48 horas para fazer isso para poder discutir o preço.
Não respondemos imediatamente, pode demorar algumas horas para ver a primeira resposta. Também pode precisar atualizar esta página no navegador tor.
Para desencriptar os ficheiros da sua rede, deve pagar pelo software de desencriptação.
O preço do desencriptador é baseado no tamanho da rede, número de funcionários e rendimento anual. Por favor, não hesite em contactar-nos para a quantidade de BTC deve ser paga.
Precisa agregar 2 pares de ficheiros exclusivos para (somefile1.locked & somefile1.readme2unlock.txt e somefile2.locked & somefile2.readme2unlock.txt que não possuem informações confidenciais, mas somente o possui) em ZIP e envie-nos.
E terá esses 2 desbloqueados e terá certeza de que está a funcionar.
Algumas informações confidenciais foram roubadas dos servidores de ficheiros e serão enviadas ao público caso não nos pague.
Deve entrar em contato conosco dentro de 2 dias após ter notado a encriptação. Se isso não acontecer, o preço é aumentado em 25% após 2 dias.
O preço seria aumentado em 100% (preço duplo) em 1 semana.
A sua chave seria completamente apagada em 2 semanas.
Online chat

Screenshot dos ficheiros encriptados pelo DoppelPaymer (extensão ".locked"):

Ficheiros encriptados por DoppelPaymer

Processo malicioso do DoppelPaymer em execução no Gestor de Tarefas como "SpotLife WebAlbum Service Plugin":

Processo DoppelPaymer no Gestor de tarefas

Remoção do ransomware DoppelPaymer:

Remoção imediata automática de vírus DoppelPaymer: A remoção manual de ameaças pode ser um processo demorado e complicado que requer conhecimentos avançados de informática. Spyhunter é uma ferramenta profissional de remoção automática de malware que é recomendada para se livrar de vírus DoppelPaymer. Descarregue ao clicar no botão abaixo:
▼ DESCARREGAR Spyhunter O verificador gratuito faz uma verificação se o seu computador estiver infetado. Para remover o malware, é necessário comprar a versão completa de Spyhunter. Ao descarregar qualquer software listado no nosso website, concorda com a nossa Política de Privacidade e Termos de Uso.

Menu rápido:

Passo 1

Utilizadores Windows XP e Windows 7: Inicie o seu computador no Modo de Segurança. Clique em Iniciar, Clique em Encerrar, clique em Reiniciar, clique em OK. Durante o processo de reinício do seu computador pressione a tecla F8 no seu teclado várias vezes até ver o menu Opções Avançadas do Windows e, em seguida, selecione Modo Segurança com Rede da lista.

Modo de Segurança com Rede

O vídeo demonstra como iniciar o Windows 7 "Modo de Segurança com Rede"

Utilizadores Windows 8: Inicie o Windows 8 com Modo Segurança com Rede - Vá para o ecrã de início Windows 8, escreva Avançado, nos resultados da pesquisa, selecione Configurações. Clique em opções de inicialização avançadas, na janela aberta "Definições Gerais de PC", selecione inicialização Avançada. Clique no botão "Reiniciar agora". O seu computador será reiniciado no "Menu de opções de inicialização avançadas". Clique no botão "Solucionar Problemas" e, em seguida, clique no botão "Opções avançadas". No ecrã de opções avançadas, clique em "Definições de inicialização". Clique no botão "Reiniciar". O seu PC será reiniciado no ecrã de Definições de Inicialização. Pressione F5 para iniciar em Modo de Segurança com Rede.

Modo de Segurança com rede Windows 8

O vídeo demonstra como iniciar o Windows 8 "Modo de Segurança com Rede":

Utilizadores Windows 10: Clique no logo do Windows e selecione o ícone de Energia. No menu aberto clique em "Reiniciar" enquanto mantém o botão "Shift" premido no seu teclado. Na janela "escolha uma opção", clique em "Solução de problemas", em seguida selecione "Opções avançadas". No menu de opções avançadas, selecione "Configurações de inicialização" e clique no botão "Reiniciar". Na janela seguinte deve clicar no botão "F5" no seu teclado. Isso irá reiniciar o seu sistema operacional no modo de segurança com rede.

Modo de Segurança com rede Windows 10

O vídeo demonstra como iniciar o Windows 10 "Modo de Segurança com Rede":

Passo 2

Faça login na conta infectada com o vírus DoppelPaymer. Inicie o seu navegador de Internet e descarregue um programa anti-spyware legítimo. Atualize o software anti-spyware e comece uma verificação de sistema completa. Remova todas as entradas detectadas.

Se não puder iniciar o computador no Modo de Segurança com Rede, tente executar um Restauro de Sistema.

O vídeo demonstra como remover o vírus ransomware usando "Modo de Segurança com Comando Prompt" e "Restauro de Sistema":

1. Durante o processo de reinício do seu computador prima a tecla F8 do seu teclado várias vezes até ver o menu Opções Avançadas do Windows e, em seguida, selecione Modo Segurança com Comando Prompt da lista e prima ENTER.

Inicie o seu computador no Modo de Segurança com Comando Prompt

2. Quando o modo Comando Prompt carregar, digite a seguinte linha: cd restore e prima ENTER.

restauro de sistema usando comandos; escreva cd restore

3. Em seguida, digite esta linha:rstrui.exe e prima ENTER.

restauro de sistema usando comandos escreva prompt rstrui.exe

4. Na janela aberta, clique em "Seguinte".

restauro de sistemas de ficheiros e definições

5. Selecione um dos Pontos de Restauro disponíveis e clique em "Seguinte" (isto irá restaurar o seu sistema de computador para um tempo e data anteriores, anterior à infiltração do vírus ransomware DoppelPaymer no seu PC).

selecione um ponto de restauro

6. Na janela aberta, clique em "Sim".

execute o restauro de sistema

7. Depois de restaurar o seu computador para uma data anterior, descarregue e analise o seu PC com software de remoção de malware recomendado para eliminar todo o ransomware DoppelPaymer restante.

Para restaurar os ficheiros encriptados individuais por este ransomware, tente usar a funcionalidade de Versões Anteriores do Windows. Este método só é eficaz se a função de Restauro do Sistema foi ativada num sistema operacional infectado. Note que algumas variantes de DoppelPaymer são conhecidas por remover Cópias de Volume Shadow dos ficheiros, por isto este método pode não funcionar em todos os computadores.

Para restaurar um ficheiro, clique com o botão direito do rato sobre ele, vá a Propriedades e selecione o separador Versões Anteriores. Se o ficheiro relevante tem um Ponto de Restauro, selecione-o e clique no botão "Restauro".

Restaurando ficheiros encriptados por CryptoDefense

Se não puder iniciar o computador no Modo de Segurança com Rede (ou com Comando Prompt), inicie o seu computador usando um disco de recuperação. Algumas variantes de ransomware desativam o Modo de Segurança, tornando a sua remoção complicada. Para este passo, irá precisar de ter acesso a outro computador.

Para recuperar o controlo dos ficheiros encriptados por DoppelPaymer também pode tentar usar um programa chamado Shadow Explorer. Mais informação sobre como usar este programa está disponível aqui.

screenshot de shadow explorer

Para proteger o seu computador de tal ficheiro de encriptação ransomware como este, deve usar programas anti-spyware antivírus respeitável. Como um método de proteção extra, os utilizadores de computador podem usar os programas chamados HitmanPro.Alert e EasySync CryptoMonitor que implanta artificialmente objetos de política de grupo no registo para bloquear programas fraudulentos tais como DoppelPaymer.

Observe que Windows 10 Fall Creators Update inclui um recurso de "Pasta de Controlo de Acesso" que bloqueia tentativas de ransomware para encriptar os seus ficheiros. Por padrão, esse recurso automaticamente protege os ficheiros armazenados nos documentos, fotos, vídeos, música, favoritos bem como pastas do ambiente de trabalho.

Pasta de Controlo de Acesso

Os utilizadores Windows 10 devem instalar esta atualização para proteger os seus dados contra ataques de ransomware. Aqui encontra mais informações sobre como obter essa atualização e adicionar uma camada de proteção adicional do ransomware infecções.

HitmanPro.Alert CryptoGuard - detecta a encriptação de ficheiros e neutraliza quaisquer tentativas sem a necessidade da intervenção do utilizador:

aplicação de prevenção ransomware hitmanproalert

Malwarebytes Anti-Ransomware Beta usa avançada tecnologia pró-ativa que monitoriza a atividade do ransomware e termina-o imediatamente - antes de atingir os ficheiros dos utilizadores:

Anti-ransomware Malwarebytes

  • A melhor maneira de evitar danos causados por infecções ransomware é manter as cópias de segurança regulares atualizadas. Mais informações sobre soluções de cópias de segurança e dados recuperação software online Aqui.

Outras ferramentas conhecidas para remover o ransomware DoppelPaymer:

Fonte: https://www.pcrisk.com/removal-guides/16325-doppelpaymer-ransomware

Sobre o autor:

Tomas Meskauskas

Sou um apaixonado por segurança e tecnologia de computadores. Tenho experiência de mais de 10 anos a trabalhar em diversas empresas relacionadas à resolução de problemas técnicas e segurança na Internet. Tenho trabalhado como autor e editor para PCrisk desde 2010. Siga-me no Twitter e no LinkedIn para manter-se informado sobre as mais recentes ameaças à segurança on-line. Saiba mais sobre o autor.

O portal de segurança PCrisk é criado por forças unidas de pesquisadores de segurança para ajudar a educar os utilizadores de computador sobre as mais recentes ameaças de segurança online. Mais informações sobre os autores e pesquisadores que estão a trabalhar na PCrisk na nossa página de contato.

Os nossos guias de remoção de malware são gratuitos. Contudo, se quiser continuar a ajudar-nos, pode-nos enviar uma ajuda, sob a forma de doação.

Instruções de remoção em outras línguas
Code QR
vírus DoppelPaymer Code QR
Um código QR (Código de Resposta Rápida) é um código legível por uma máquina que armazena URLs e outras informações. Este código pode ser lido através de uma câmara num smartphone ou um tablet. Digitalize o código QR para ter um guia de remoção de acesso fácil de vírus DoppelPaymer no seu dispositivo móvel.
Nós recomendamos:

Livre-se de vírus DoppelPaymer hoje:

▼ REMOVER AGORA com Spyhunter

Plataforma: Windows

Classificação do editor para Spyhunter:
Excelente!

[Início da Página]

O verificador gratuito faz uma verificação se o seu computador estiver infetado. Para remover o malware, é necessário comprar a versão completa de Spyhunter.