Conteúdo
O que é o Ransomware?
O Ransomware é uma ameaça informática (trojan) que após se instalar no computador, pode impedir o acesso ao mesmo ou aos ficheiros através de métodos de encriptação. Em que o atacante exige ao utilizador um resgate (pagamento) numa moeda virtual (ex. Bitcoin), para restabelecer o acesso ao computador / ficheiros.
A melhor protecção contra Ransomware é prevenção, devemos assegurar determinados comportamentos, para evitar que chegue ao nosso sistema ou minimizar os estragos.
Como prevenir?
Existem diferentes métodos e formas de infetar o seu sistema, dependo da família de Ransomware, pelo que devemos assegurar:
- Backups regulares offline (disco externo) ou na Cloud (ex. Cloud Backup, pcloud, Dropbox, Google Drive, etc…) dos ficheiros mais importantes;
- Garantir que o sistema operativo está atualizado com os últimas atualizações disponíveis (permitir que o SO atualize automaticamente);
- Garantir que as aplicações criticas (ex. browsers, ferramentas de Office, antivírus/firewall) estão atualizados;
- Ter uma ferramenta de segurança que ofereça proteção contra Ransomware;
- Instalar ou executar aplicações somente de fontes seguras;
- Na sua conta de email, não abrir ou efetuar download de anexos, apenas de fontes fidedignas e após passar pelo Virus Total. Não clicar em links directamente (verificar através do portal https://global.sitesafety.trendmicro.com/ se é um link seguro);
- Evitar acesso a sites de warez, cracks, torrent, basicamente sites que possam ter software adulterado.
O que fazer se computador afectado?
Antes de utilizar uma ferramenta para desencriptação dos ficheiros, deverá ter a certeza que removeu todo o malware do seu sistema primeiro, caso contrário irá repetidamente bloquear o seu sistema ou cifrar ficheiros. Consultar como Remover Malware do Computador.
Caso o computador tenha sido afetado devemos identificar qual a família do Ransomware (pela extensão do ficheiro e pela mensagem que foi deixada) ou utilizando a ferramenta Bitdefender Ransomware Recognition Tool. Após identificar a familia, procurar por uma ferramenta de Ransomware File Decryptor que forneça métodos de desbloqueio ou desencriptação para os nossos ficheiros encriptados.
Na impossibilidade de desencriptar, utilizar uma ferramenta de recuperação de dados, isto porque algumas famílias de Ransoware ex. .wncry/.wcry copiam os ficheiros e os encriptam e apagam os originais do disco.
Quando nenhum método resulta, efectuar um backup dos dados dos ficheiros, dado que nunca se sabe se no futuro poderá surgir um método para recuperar / desencriptar os dados.
Ferramentas gratuitas para desencriptação
A primeira opção será consultar oas ferramentas disponibilizadas no portal No More Ransom, portal criado por um grupo de fornecedores de ferramentas de segurança para combater o Ransomware.
Avast
Bitdefender
- Familia BTCWare: .btcware, .cryptobyte, .onyon, .xfile, .cryptowin, .theva, .master
Emsisoft
Trendmicro
- Lock Screen Ransomware Too
- Crypto Ransomware File Decryptor Tool – consultar notas e limitações aqui
Para procurar na tabela abaixo, utilize a função localizar do browser, pressione as teclas CTRL+F e insira a(s) palavra(s) a pesquisar.
Ransomware | Nome do Ficheiro e extensão |
CryptXXX V1, V2, V3* | {Nome do ficheiro original}.crypt, cryp1, crypz, or 5 hexadecimal characters |
CryptXXX V4, V5 | {MD5 Hash}.5 hexadecimal characters |
TeslaCrypt V1** | {Nome do ficheiro original}.ECC |
TeslaCrypt V2** | {Nome do ficheiro original}.VVV, CCC, ZZZ, AAA, ABC, XYZ |
TeslaCrypt V3 | {Nome do ficheiro original}.XXX or TTT or MP3 or MICRO |
TeslaCrypt V4 | File name and extension are unchanged |
SNSLocker | {Nome do ficheiro original}.RSNSLocked |
AutoLocky | {Nome do ficheiro original}.locky |
BadBlock | {Original file name} |
777 | {Nome do ficheiro original}.777 |
XORIST | {Nome do ficheiro original}.xorist or random extension |
XORBAT | {Nome do ficheiro original}.crypted |
CERBER V1 | {10 random characters}.cerber |
Stampado | {Nome do ficheiro original}.locked |
Nemucod | {Nome do ficheiro original}.crypted |
Chimera | {Nome do ficheiro original}.crypt |
LECHIFFRE | {Nome do ficheiro original}.LeChiffre |
MirCop | Lock.{Nome do ficheiro original} |
Jigsaw | {Nome do ficheiro original}.random extension |
Globe/Purge | V1: {Nome do ficheiro original}.purge V2: {Nome do ficheiro original}.{email address + random characters} V3: Extension not fixed or file name encrypted |
DXXD | V1: {Nome do ficheiro original}.{Extensão original}dxxd |
Teamxrat/Xpan | V2: {Original filename}.__xratteamLucked |
Crysis | .{id}.{email address}.xtbl, .{id}.{email address}.crypt, .{id}.{email addres}.dharma, .{id}.{email address}.wallet |
TeleCrypt | {Original file name} |
DemoTool | .demoadc |
WannaCry (WCRY) | {Nome do ficheiro original}.WNCRY, {Nome do ficheiro original}.WCRY |
Petya | N/A |
Já foste afectado? conseguiste recuperar os teus dados?