Servidor Infectado por Ransomware: Anti-Child Porn Spam Protection - 2.0

[ederbertollobg]

Olá, boa tarde pessoal, preciso de uma ajuda desesperadamente, Hoje a tarde, chegou aqui na minha bancada, um servidor de um cliente, com o windows server 2008, onde seu banco de dados e todos os outros arquivos estavam infectados pelo Ransomware: Anti-Child Porn Spam Protection - 2.0, segue um link onde vocês podem ver mais ou menos do que se trata,

Você não tem permissão para ver links. Faça login ou cadastre-se.

até o momento não consegui nada para remover o mesmo, conto com a ajuda de vocês.

[gnu informatica]

 

Se esse é o que pede pagamento, não vi ninguém ainda resolver isso.

 

Ele criptografa os arquivos e não tem como.

 

Um tempo atrás um usuário por aqui fez de tudo e não conseguiu, dizendo ele que pagaram e foi resolvido.

 

Vou ver se acho o tópico.

 

Roberto

[ederbertollobg]

Sim esse é o que pede de 3 a 4 mil dólares para resolver o problema

[gnu informatica]

 

Você não tem permissão para ver links. Faça login ou cadastre-se.

[Walkirio Fernandes]

Você não tem permissão para ver links. Faça login ou cadastre-se.

 

 

Veja se tem resultado

[bismith]

Boa tarde,

 

 

Eu peguei uma máquina que tinha um Ransomware da interpoll, devido a acessos indevidos (dizia que o dono havia visto pornografia infantil) e somente pagamento de um valor liberava a máquina.

Fiz umas pesquisas e não encontrei nada a respeito para remover.

Não permitia finalizar processos, nem entrar no modo de segurança, nem fazer recovery ou recuperação a um estado anterior...

 

Quando ligava a cpu, aparecia uma tela, e não saia dela...

 

Minha solução foi colocar o HD em outro PC, copiei os arquivos e formatei a máquina....

 

Nem pensa em pagar o resgate, mesmo pagando, não liberam.... eh um negocio sem volta....

 

 

Por isso que se usam servidores linux, hehe

 

 

Att,

Fábio

 

[gnu informatica]

 

É uma ótima pedida fazer logo isso, tentar ler os arquivos em outro computador.

 

Vai que não estão criptografados.

 

Roberto

[nelson junior]

Já peguei em alguns clientes, e pelo q vejo , os q pega no windows server , sem chance . Agora os pega pelo windows profissional , start, ou home, colocando em outro pc consegue ate recuperar alguns arquivos.

As vezes que peguei casos com ele , pagamos e o kara mandou a programa com a senha de desbloqueio , o duro que o kara e ponta firme, responde e-mails rapidamente e manda a senha na hora, parece ate mentira. Mas acabamos tendo que lidar com esses com esse tipo de ladrão, e pode ter certeza a policia não faz nd. Pois um dos clientes que pegou este tipo de vírus tem grande influencia e nd adiantou.

 

A detalhe tem uma versão que quanto mais rápido vc transferir os arquivos mais chance vc tem de recuperar mais, pois ele vai se espalhando. O ideal pegar este tipo de virus ja desliga o pc e coloca o hd em outro pc para copiar os dados.

 

 

Outra coia tb que consegue recuperar uma vez, foi clicando com o botão direito na pasta que pegou e ficou com senha clica em versões anteriores e escolhe uma data antes de ter dado o problema e restaura.

[ederbertollobg]

E dae gente boa, tudo belezinha? So pra avisar a vocês, depois de 26 horas sem dormir, consegui recuperar 90% dos dados do cliente e todo o arquivo mdb de 5 gb, consegui a solução, se alguém quiser ajuda nos contate.

[jjlik]

tempos atras peguei um caso semelhante ao relatado : 

Você não tem permissão para ver links. Faça login ou cadastre-se.

Pelo que tive pesquisando qto mais recente for a detecção aumenta muito a chance de recuperação, pois o que esse virus faz nada mais é que criar uma copia dos arquivos, ou seja junto todos seus arquivos importantes do tipo .doc, ,jpeg etc, e e criptografa , logo apos ele apaga a essa copia, e deixa somente um recado em forma de um aviso em cada pasta afetada . A que vai a dica, se vc for agir e rápido utilizando softwares de Recover a chance de recuperação é grande, tem também a opção de voltar a copia de sombra do windows, lembrando que qto mais rápido e ágil for o serviço, mais chance tem de recuperar !!

[nelson junior]

E dae gente boa, tudo belezinha? So pra avisar a vocês, depois de 26 horas sem dormir, consegui recuperar 90% dos dados do cliente e todo o arquivo mdb de 5 gb, consegui a solução, se alguém quiser ajuda nos contate.

Amigo, não passando a solução aqui no tópico, estou achando q vc esta tendo uma ideia errada do que é um fórum. Veio aqui pedir ajuda, achou a solução e fica querendo guardar para vc? então pra que participar de um fórum? pra quando aparecer outro problema vir aqui pegar mais informações e guardar pra si mesmo! Legal! 

[ederbertollobg]

Sim, recuperar os dados também foi uma ótima idéia, so que toda a vez que o software encontrava algum arquivo importante, ele corrompia e criptografava ao mesmo tempo, a solução que encontrei, foi usar 3 softwares de recuperação de dados ao mesmo tempo, no primeiro usei o pci fiile recovery pro, no segundo usei o R-Studio 6.1 e no terceiro usei o Active File Recovery for windows, rodei os 3 ao mesmo tempo, após o término do scan dos 3, eu colocava uma copia aleatória dos dados dos 2 primeiros, e no terceiro, eu copiava somente o que era interessante, como dados do servidor e o banco de dados de 45 gigas, desta forma funcionou enquanto ele aparentemente corrompia os dados copiados do primeiro e as vezes do segundo scan, o do terceiro ficou funcionando, sendo assim consegui recuperar 80% dos dados, eu disse que ia postar a solução so queria ter certeza que havia funcionado.