Como evitar os ficheiros encriptados pelo ransomware Maze

Também Conhecido Como: vÍrus Maze 2019
Distribuição: Baixo
Nível de Estragos: Grave

Instruções de remoção do ransomware Maze

O que é Maze?

Há mais de uma versão do ransomware Maze (a versão anterior também é denominada Maze). A nova versão foi descoberta por nao_sec. Os programas do tipo ransomware encriptam dados e criam mensagens de resgate que contêm informações sobre como desencriptar ficheiros; no entanto, as vítimas geralmente não podem recuperar o acesso aos seus ficheiros sem ferramentas mantidas apenas pelos desenvolvedores do ransomware. Essa variante do Maze não encripta ficheiros se detectar o ficheiro "C:\hutchins.txt" no sistema. Se esse não for o caso, o Maze encripta ficheiros, renomeia-os adicionando uma extensão aleatória (por exemplo, "1.jpg" se torna "1.jpg.sA16PA"), cria o ficheiro "DECRYPT-FILES.txt" e altera o fundo de ambiente de trabalho.

O fundo de ambiente de trabalho modificado contém uma mensagem de resgate informando que os ficheiros da vítima foram encriptados usando os algoritmos de encriptação RSA-2048 e ChaCha. Aparentemente, a única maneira de desencriptá-los é adquirir um desencriptador, seguindo as instruções fornecidas no ficheiro de texto "DECRYPT-FILES.txt" (mensagem de resgate). A mensagem afirma que as vítimas devem pagar o resgate através de um link do site, que pode ser aberto com o navegador Tor. Outra maneira de efetuar o pagamento é usar outro site (o link também é fornecido na mensagem de resgate), que pode ser aberta com qualquer navegador. De qualquer forma, ficou claro que as vítimas não podem desencriptar os seus ficheiros sem a ferramenta/chave correta. O site Tor afirma que as vítimas devem pagar $500 em Bitcoins usando o endereço da carteira BTC fornecido. É mencionado que, a menos que as vítimas paguem o resgate dentro de um determinado período de tempo (um contador regressivo é exibido na parte superior da página da web do Tor), o tamanho do resgate é dobrado. É possível desencriptar três ficheiros gratuitamente no mesmo site. Geralmente, os criminosos cibernéticos oferecem desencriptação gratuita para 'provar' que possuem ferramentas/chaves capazes de desencriptar ficheiros. Apesar disso, as pessoas que projetam ransomware nunca podem ser confiáveis. Só eles têm ferramentas/chaves de desencriptação, no entanto, raramente os fornecem, mesmo que as vítimas paguem os resgates. Como não existem ferramentas gratuitas capazes de desencriptar os ficheiros encriptados pelo Maze, sugerimos que os restaure a partir de uma cópia de segurança.

Screenshot de uma mensagem incentivando os utilizadores a pagar um resgate para desencriptar os seus dados comprometidos:

Instruções de desencriptação de Maze

Este ransomware é semelhante a outros programas desse tipo, incluindo, por exemplo, Uta, MedusaLocker, e Leto. Encriptam dados e criam/exibem mensagens de exigência de resgate. As principais diferenças são geralmente o custo da ferramenta de desencriptação/chave e o algoritmo criptográfico usado para encriptar os dados. Infelizmente, é impossível desencriptar a maioria das encriptações sem o uso de ferramentas mantidas apenas pelos criminosos cibernéticos que criaram o ransomware, a menos que o ransomware não esteja totalmente desenvolvido, contenha bugs, falhas etc. Para evitar a perda de dados causada pelo ransomware, mantenha cópias de segurança regulares de dados e armazene-os em servidores remotos ou dispositivos de armazenamento desligados.

Como é que o ransomware infectou o meu computador

A pesquisa demonstra que os criminosos cibernéticos distribuem o Maze usando o SpelevoEK (kit de exploração). Os kits de exploração são ferramentas usadas para iniciar 'explorações' contra software vulnerável (geralmente desatualizado) ou para injetar código malicioso em sites vulneráveis. Outras maneiras de proliferar programas do tipo ransomware (e outros malwares) são via e-mails, trojans, canais não confiáveis de descarregamento de software, ferramentas de 'cracking' de software e atualizadores falsos. Campanhas de email/spam podem ser usadas para infectar computadores por meio de ficheiros anexados a mensagens de email. Normalmente, os criminosos cibernéticos anexam documentos do Microsoft Office, ficheiros compactados (ZIP, RAR), ficheiros executáveis (.exe e outros ficheiros desse tipo), documentos PDF, arquivos JavaScript etc. O seu principal objetivo é induzir os destinatários a abrir os anexos. Se abertos, infectam os sistemas com malware. Outra maneira de proliferar infecções é via Trojans, que são programas maliciosos. Se já estiver instalado, abrem backdoors para outros malwares. Dessa forma, causam infecções em cadeia. Exemplos de fontes de descarregamento não confiáveis são: hospedagem de ficheiros, sites de descarregamento de freeware, redes peer-to-peer (P2P), como clientes de torrent, eMule e outros canais/ferramentas semelhantes. Os criminosos cibernéticos usam-nos para fazer o carregamento de ficheiros maliciosos disfarçados de legítimos ou inofensivos. Ao fazer o descarregamento e abrir/instalá-los, muitas pessoas instalam programas maliciosos inadvertidamente. As ferramentas de 'cracking' de software são usadas por pessoas (ilegalmente) para evitar pagar pela ativação do software licenciado. De fato, essas ferramentas geralmente instalam malware em vez de ativar qualquer software instalado gratuitamente. As ferramentas de atualização de software falsas (não oficiais) causam danos ao explorar bugs/falhas de software desatualizado que já está instalado no sistema ou simplesmente instalar programas maliciosos em vez de atualizações.

Resumo da Ameaça:
Nome vÍrus Maze 2019
Tipo de Ameaça Ransomware, Crypto Virus, Arquivo de ficheiros.
Extensão de ficheiros encriptados Este ransomware anexa uma extensão aleatória.
Mensagem exigente de resgate DECRYPT-FILES.txt, fundo de ambiente de trabalho e site do Tor.
Montante do resgate $500/$1000
Contato com criminosos cibernéticos As vítimas podem entrar em contato com os desenvolvedores do Maze através de uma janela de chat no site do Tor.
Nomes de Detecção Avast (FileRepMalware), AVG (FileRepMalware), ESET-NOD32 (Win32/Filecoder.NVY), Kaspersky (Trojan-Ransom.Win32.Gen.tno), Lista Completa de Detecções (VirusTotal)
Sintomas Não é possível abrir os ficheiros armazenados no seu computador; os ficheiros anteriormente funcionais agora têm uma extensão diferente (por exemplo, my.docx.locked). Uma mensagem de pedido de resgate é exibida na sua área de trabalho. Os criminosos cibernéticos exigem o pagamento de um resgate (geralmente em bitcoins) para desbloquear os seus ficheiros.
Informações adicionais Este ransomware não encripta ficheiros se detectar o ficheiro C:\hutchins.txt no sistema.
Métodos de distribuição SpelevoEK (kit de exploração), anexos de email infectados (macros), sites de torrent, anúncios maliciosos.
Danos Todos os ficheiros são encriptados e não podem ser abertos sem pagar um resgate. Trojans adicionais para roubar palavras-passe e infecções por malware podem ser instalados junto com uma infecção por ransomware.
Remoção

Para eliminar vÍrus Maze 2019, os nossos pesquisadores de malware recomendam que verifique o seu computador com Malwarebytes.
▼ Descarregar Malwarebytes
O verificador gratuito verifica se o seu computador está infectado. Para usar a versão completa do produto, precisa de comprar uma licença para Malwarebytes. 14 dias limitados para teste grátis disponível.

Como se proteger de infecções por ransomware

Não abra anexos de email apresentados em emails recebidos de endereços desconhecidos e suspeitos. Normalmente, estes são irrelevantes para os destinatários. Para induzir as pessoas a abrir anexos ou links da web, os cibercriminosos geralmente apresentam os seus e-mails como oficiais, importantes. Faça o descarregamento de todos os softwares de sites oficiais e confiáveis e através de links diretos. Todos os outros canais/fontes mencionados acima não devem ser confiáveis ou usados. Ferramentas não oficiais /de terceiros que supostamente atualizam o software instalado são frequentemente usadas para proliferar malware. Portanto, não devem ser usados. A maneira mais segura de atualizar o software é usar as ferramentas e funções fornecidas pelos desenvolvedores oficiais de software. Se o software instalado exigir ativação, isso NÃO deve ser feito usando ferramentas de 'cracking'. São ilegais e as pessoas que os usam frequentemente acabam por instalar programas maliciosos. Examine regularmente o sistema operacional com software antivírus ou anti-spyware respeitável e mantenha-o atualizado. Se o seu computador já estiver infectado com o Maze, recomendamos executar uma verificação com Malwarebytes para eliminar automaticamente esse ransomware.

Texto apresentado no fundo de ambiente de trabalho do Maze ransomware:

Ransomware Maze

Caro *****, os seus ficheiros foram encriptados pelos algoritmos RSA-2048 e ChaCha
A única maneira de restaurá-los é comprar o desencriptador
Esses algoritmos são um dos mais fortes
Pode ler sobre eles na wikipedia
Se entender a importância da situação, poderá restaurar todos os ficheiros seguindo as instruções no ficheiro DECRYPT-FILES.txt
Pode desencriptar os ficheiros gratuitamente como prova de trabalho
Sabemos que este computador é muito valioso para si
Então, nós dar-lhe-emos o preço apropriado para recuperar

Screenshot do ficheiro de texto Maze ("DECRYPT-FILES.txt"):

Ficheiro de texto do Maze

Texto neste ficheiro:

Atenção!
----------------------------
| O que aconteceu?
----------------------------
Todos os seus ficheiros, documentos, fotos, bases de dados e outros dados importantes são encriptados com segurança com algoritmos confiáveis.
Não pode aceder aos ficheiros no momento. Mas não se preocupe. Tem uma hipótese! É fácil recuperar nalgumas etapas.
----------------------------
| Como recuperar os meus ficheiros?
----------------------------
O único método para restaurar os seus ficheiros é comprar uma chave privada exclusiva para si, armazenada com segurança nos nossos servidores.
Para entrar em contato connosco e adquirir a chave, deve visitar o nosso site numa rede TOR oculta.
Existem duas maneiras gerais de chegar até nós:
1) [Recomendado] Usando rede TOR oculta.
a) Faça o descarregamento de um navegador TOR especial: hxxps://www.torproject.org/
b) Instale o navegador TOR.
c) Abra o navegador TOR.
d) Abra nosso site no navegador TOR: hxxp://aoacugmutagkwctu.onion/1dcb0b851e857d00
e) Siga as instruções nesta página.
2) Se tiver algum problema ao ligar ou usar a rede TOR
a) Abra nosso site: hxxps://mazedecrypt.top/1dcb0b851e857d00
b) Siga as instruções nesta página.
Aviso: o segundo (2) método pode ser bloqueado em alguns países. É por isso que o primeiro (1) método é recomendado.
Nesta página, verá instruções sobre como fazer um teste de desencriptação gratuita e como pagar.
Também tem um chat ao vivo com os nossos operadores e equipa de suporte.
----------------------------
| E as garantias?
----------------------------
Entendemos o seu stress e preocupação.
Assim, tem a oportunidade GRATUITA de testar um serviço, descodificando instantaneamente gratuitamente três ficheiros no seu computador!
Se tiver algum problema, a nossa equipa de suporte amigável está sempre aqui para ajudá-lo num chat ao vivo!
----------------------------
ESTE É UM BLOCO ESPECIAL COM INFORMAÇÃO PESSOAL E CONFIDENCIAL! NÃO TOQUE NECESSITAMOS DE IDENTIFICAR E AUTORIZÁ-LO
---COMEÇAR A CHAVE DE MAZE---
-
--- CHAVE FINAL DE MAZE---

Screenshot do site Maze Tor:

site do labirinto ransomware tor


Texto nesta página:

Ransomware Maze
O que aconteceu?
Se vir esta página, significa que tem sorte, porque nós oferecemos.lhe a hipótese de recuperar os seus dados. Faça o carregamento da sua nota de resgate usando o formulário abaixo e comece a recuperar os seus dados. Se a nota de resgate for reconhecida por nosso analisador, será autorizado com sucesso e receberá mais instruções.
Faça o carregamento da sua nota de resgate DECRYPT-FILES.txt
Garantias?
Podemos recuperar os seus ficheiros, pois nosso ransomware foi cuidadosamente projetado para manter a integridade dos seus dados encriptados.
Não tenha medo e comece a recuperar!
Corporações antivírus?
Se está à espera de uma solução gratuita, devemos desapontá-lo.
O nosso ransomware usa uma forte combinação de algoritmos. Isso levará décadas para ser resolvido.
Comece a trabalhar conosco.
Preço?
Entendemos que o cliente nem sempre pode pagar o resgate. Temos descontos e, às vezes, pode recuperar os seus ficheiros a trabalhar connosco.
Maze Ransomware 2019? Porque sempre damos uma segunda hipótese!
Para recuperar os seus ficheiros, deve pagar o resgate.
O seu preço de resgate atual 500$ (USD)
Deve apressar-se porque o preço do resgate dobrará após o contador no canto superior direito desta página chegar a zero. Se não pagar até esse momento, o preço aumentará x2 (duplicado); portanto, se fosse 500 USD, passará a 1000 USD. Pode enviar o dinheiro em partes (partes), o preço será recalculado em cada transação bem-sucedida.
A transação será concluída após 3 confirmações da rede.
Para pagar o resgate, deve comprar bitcoin e enviar exatamente essa quantidade de btc 0,0619667 BTC para o endereço:
3JGqKRWSsXQsnHWDpHXXNg7TJcubszJher
Para ver como comprar os bitcoins, clique em Comprar bitcoins no menu do separador na parte superior da página.
Estamos a fornecer três descodificações de teste, para provar que podemos recuperar os seus ficheiros.
Clique em Test Decrypt no menu na parte superior da página para desencriptar 3 ficheiros gratuitamente.
Atenção! Estamos a desencriptar apenas os ficheiros de imagem gratuitamente, pois não têm nenhum valor significativo para si.

Aparência do site Tor (GIF):

aparência do site Maze Tor

Screenshot dos ficheiros encriptados pelo Maze (extensão aleatória):

Ficheiros encriptados pelo Maze

Atualização 18 de dezembro de 2019 - Os desenvolvedores do ransomware Maze 2019 começaram recentemente a usar um novo método para ameaçar vítimas e incentivá-las a pagar resgates. O que os criminosos fazem é roubar uma certa quantidade de dados com a intenção de torná-los públicos se a vítima se recusar a pagar. Desenvolveram um site público para armazenar os dados roubados de várias vítimas. Embora os desenvolvedores usem essa tática principalmente contra vários negócios e empresas (como é mais provável que paguem do que utilizadores comuns), não há garantia de que a situação não acabará por mudar. Neste momento atual, o site mencionado acima contém 8 entradas diferentes.

Remoção do ransomware Maze:

Remoção imediata automática de vÍrus Maze 2019: A remoção manual de ameaças pode ser um processo demorado e complicado que requer conhecimentos avançados de informática. Malwarebytes é uma ferramenta profissional de remoção automática de malware que é recomendada para se livrar de vÍrus Maze 2019. Descarregue ao clicar no botão abaixo:
▼ DESCARREGAR Malwarebytes O verificador gratuito faz uma verificação se o seu computador estiver infetado. Para usar a versão completa do produto, precisa de comprar uma licença para Malwarebytes. 14 dias limitados para teste grátis disponível. Ao descarregar qualquer software listado no nosso website, concorda com a nossa Política de Privacidade e Termos de Uso.

Menu rápido:

Passo 1

Utilizadores Windows XP e Windows 7: Inicie o seu computador no Modo de Segurança. Clique em Iniciar, Clique em Encerrar, clique em Reiniciar, clique em OK. Durante o processo de reinício do seu computador pressione a tecla F8 no seu teclado várias vezes até ver o menu Opções Avançadas do Windows e, em seguida, selecione Modo Segurança com Rede da lista.

Modo de Segurança com Rede

O vídeo demonstra como iniciar o Windows 7 "Modo de Segurança com Rede"

Utilizadores Windows 8: Inicie o Windows 8 com Modo Segurança com Rede - Vá para o ecrã de início Windows 8, escreva Avançado, nos resultados da pesquisa, selecione Configurações. Clique em opções de inicialização avançadas, na janela aberta "Definições Gerais de PC", selecione inicialização Avançada. Clique no botão "Reiniciar agora". O seu computador será reiniciado no "Menu de opções de inicialização avançadas". Clique no botão "Solucionar Problemas" e, em seguida, clique no botão "Opções avançadas". No ecrã de opções avançadas, clique em "Definições de inicialização". Clique no botão "Reiniciar". O seu PC será reiniciado no ecrã de Definições de Inicialização. Pressione F5 para iniciar em Modo de Segurança com Rede.

Modo de Segurança com rede Windows 8

O vídeo demonstra como iniciar o Windows 8 "Modo de Segurança com Rede":

Utilizadores Windows 10: Clique no logo do Windows e selecione o ícone de Energia. No menu aberto clique em "Reiniciar" enquanto mantém o botão "Shift" premido no seu teclado. Na janela "escolha uma opção", clique em "Solução de problemas", em seguida selecione "Opções avançadas". No menu de opções avançadas, selecione "Configurações de inicialização" e clique no botão "Reiniciar". Na janela seguinte deve clicar no botão "F5" no seu teclado. Isso irá reiniciar o seu sistema operacional no modo de segurança com rede.

Modo de Segurança com rede Windows 10

O vídeo demonstra como iniciar o Windows 10 "Modo de Segurança com Rede":

Passo 2

Faça login na conta infectada com o vírus Maze. Inicie o seu navegador de Internet e descarregue um programa anti-spyware legítimo. Atualize o software anti-spyware e comece uma verificação de sistema completa. Remova todas as entradas detectadas.

Se não puder iniciar o computador no Modo de Segurança com Rede, tente executar um Restauro de Sistema.

O vídeo demonstra como remover o vírus ransomware usando "Modo de Segurança com Comando Prompt" e "Restauro de Sistema":

1. Durante o processo de reinício do seu computador prima a tecla F8 do seu teclado várias vezes até ver o menu Opções Avançadas do Windows e, em seguida, selecione Modo Segurança com Comando Prompt da lista e prima ENTER.

Inicie o seu computador no Modo de Segurança com Comando Prompt

2. Quando o modo Comando Prompt carregar, digite a seguinte linha: cd restore e prima ENTER.

restauro de sistema usando comandos; escreva cd restore

3. Em seguida, digite esta linha:rstrui.exe e prima ENTER.

restauro de sistema usando comandos escreva prompt rstrui.exe

4. Na janela aberta, clique em "Seguinte".

restauro de sistemas de ficheiros e definições

5. Selecione um dos Pontos de Restauro disponíveis e clique em "Seguinte" (isto irá restaurar o seu sistema de computador para um tempo e data anteriores, anterior à infiltração do vírus ransomware Maze no seu PC).

selecione um ponto de restauro

6. Na janela aberta, clique em "Sim".

execute o restauro de sistema

7. Depois de restaurar o seu computador para uma data anterior, descarregue e analise o seu PC com software de remoção de malware recomendado para eliminar todo o ransomware Maze restante.

Para restaurar os ficheiros encriptados individuais por este ransomware, tente usar a funcionalidade de Versões Anteriores do Windows. Este método só é eficaz se a função de Restauro do Sistema foi ativada num sistema operacional infectado. Note que algumas variantes de Maze são conhecidas por remover Cópias de Volume Shadow dos ficheiros, por isto este método pode não funcionar em todos os computadores.

Para restaurar um ficheiro, clique com o botão direito do rato sobre ele, vá a Propriedades e selecione o separador Versões Anteriores. Se o ficheiro relevante tem um Ponto de Restauro, selecione-o e clique no botão "Restauro".

Restaurando ficheiros encriptados por CryptoDefense

Se não puder iniciar o computador no Modo de Segurança com Rede (ou com Comando Prompt), inicie o seu computador usando um disco de recuperação. Algumas variantes de ransomware desativam o Modo de Segurança, tornando a sua remoção complicada. Para este passo, irá precisar de ter acesso a outro computador.

Para recuperar o controlo dos ficheiros encriptados por Maze também pode tentar usar um programa chamado Shadow Explorer. Mais informação sobre como usar este programa está disponível aqui.

screenshot de shadow explorer

Para proteger o seu computador de tal ficheiro de encriptação ransomware como este, deve usar programas anti-spyware antivírus respeitável. Como um método de proteção extra, os utilizadores de computador podem usar os programas chamados HitmanPro.Alert e EasySync CryptoMonitor que implanta artificialmente objetos de política de grupo no registo para bloquear programas fraudulentos tais como Maze.

Observe que Windows 10 Fall Creators Update inclui um recurso de "Pasta de Controlo de Acesso" que bloqueia tentativas de ransomware para encriptar os seus ficheiros. Por padrão, esse recurso automaticamente protege os ficheiros armazenados nos documentos, fotos, vídeos, música, favoritos bem como pastas do ambiente de trabalho.

Pasta de Controlo de Acesso

Os utilizadores Windows 10 devem instalar esta atualização para proteger os seus dados contra ataques de ransomware. Aqui encontra mais informações sobre como obter essa atualização e adicionar uma camada de proteção adicional do ransomware infecções.

HitmanPro.Alert CryptoGuard - detecta a encriptação de ficheiros e neutraliza quaisquer tentativas sem a necessidade da intervenção do utilizador:

aplicação de prevenção ransomware hitmanproalert

Malwarebytes Anti-Ransomware Beta usa avançada tecnologia pró-ativa que monitoriza a atividade do ransomware e termina-o imediatamente - antes de atingir os ficheiros dos utilizadores:

Anti-ransomware Malwarebytes

  • A melhor maneira de evitar danos causados por infecções ransomware é manter as cópias de segurança regulares atualizadas. Mais informações sobre soluções de cópias de segurança e dados recuperação software online Aqui.

Outras ferramentas conhecidas para remover o ransomware Maze:

Fonte: https://www.pcrisk.com/removal-guides/16145-maze-2019-ransomware

Sobre o autor:

Tomas Meskauskas

Sou um apaixonado por segurança e tecnologia de computadores. Tenho experiência de mais de 10 anos a trabalhar em diversas empresas relacionadas à resolução de problemas técnicas e segurança na Internet. Tenho trabalhado como autor e editor para PCrisk desde 2010. Siga-me no Twitter e no LinkedIn para manter-se informado sobre as mais recentes ameaças à segurança on-line. Saiba mais sobre o autor.

O portal de segurança PCrisk é criado por forças unidas de pesquisadores de segurança para ajudar a educar os utilizadores de computador sobre as mais recentes ameaças de segurança online. Mais informações sobre os autores e pesquisadores que estão a trabalhar na PCrisk na nossa página de contato.

Os nossos guias de remoção de malware são gratuitos. Contudo, se quiser continuar a ajudar-nos, pode-nos enviar uma ajuda, sob a forma de doação.

Instruções de remoção em outras línguas
Code QR
vÍrus Maze 2019 Code QR
Um código QR (Código de Resposta Rápida) é um código legível por uma máquina que armazena URLs e outras informações. Este código pode ser lido através de uma câmara num smartphone ou um tablet. Digitalize o código QR para ter um guia de remoção de acesso fácil de vÍrus Maze 2019 no seu dispositivo móvel.
Nós recomendamos:

Livre-se de vÍrus Maze 2019 hoje:

▼ REMOVER AGORA com Malwarebytes

Plataforma: Windows

Classificação do editor para Malwarebytes:
Excelente!

[Início da Página]

O verificador gratuito faz uma verificação se o seu computador estiver infetado. Para usar a versão completa do produto, precisa de comprar uma licença para Malwarebytes. 14 dias limitados para teste grátis disponível.