Ir para conteúdo
  • Cadastre-se

Vírus Ransonware - Sequestra seus arquivos !

Avalie este tópico:


Posts em destaque

Pessoal seguinte

Peguei um Vírus Ontem Que Danificou parte do meus arquivos do hd

Sintomas: Vários arquivos foram modificados a extensão para .CCC, consequentemente nao abriam e quando eu voltava para a extensão correta ele abria todo criptografado.!

Todas As paginas tinha um arquivos HOWTO_RESTORE_FILE_XCHURD.CCC e um txt me passando Links e pedindo Pagamento (Resgate) em forma de bitcoins.

 

CUidado: Ele se espalha por toda a rede! :o

 

ReCuperar Arquivos> Tentei passar recovery (vários), Boot com Linux Ubuntu, COlocar o hd em outro pc, nada adiantou, os arquivos nao abriam... Unica forma que consegui foi "Botão Direito em cima do C: > Restaurar versões anteriores> ai escolhi um dia antes - fiz todo o bkp no hd externo PS: Uma outra maquina que estava na rede nao estava ativo essa opção e acabei perdendo 2 partições =/  =/

 

REMOÇÂO: Não adiantou passar Combofix, Hijackt, NortonPower, MalwareBytes, etc, etc... Só FOrmatando.

 

Essa dica de restaurar os arquivos salvou muito! Estou compartilhando... se alguem souber de alguma outra coisa que possa fazer posta ai!

 

Valew Abraço!

 

 

Link para o comentário
Compartilhar em outros sites

Então, o pessoal aqui que por acaso tiver contratos de manutenção e for responsável por pequenas redes (ou mesmo grandes) e responsável também por BKPS de clientes e empresas, acho bom tomarem alguns cuidados extras, porque um amigo meu também pegou esse vírus, e quando eu fui ler e me informar a respeito, vi que muita gente tá passando por esse problema e que não tem pra onde correr quando não dá pra usar a opção de restauração.

Link para o comentário
Compartilhar em outros sites

  • 1 mês depois...

Pessoal estava pesquisando um pouco sobre estes vírus e alguns algoritmos bloqueadores são tão complexos que para decodificação completa exigem 15 milhões de anos em um pc atual, infelizmente a melhor prevenção é o famoso backup em uma unidade externa, seja diariamente, semanalmente ou mensalmente (neste caso o prejuizo é maior mas pelo menos ainda teremos alguma coisa) outra alternativa é apontar um bkp nas nuvens (GD,Dropbox,etc...)

 

Acredito que eles afetem o registro da maquina e seus algoritmos trabalhem via SO não sei informar se afetam tbm os arquivos nas nuvens, mas de qlqr forma seria bom se previnir.

Link para o comentário
Compartilhar em outros sites

  • 1 mês depois...

Opa...para quem tem os dados no ONEDRIVE da MS (sincronizados) não adianta de nada.....o incompetente Onedrive sobe pra nuvem tudo infectado/criptografado! Absurdo essa falha da Microsoft! Primário isso, elementar!

Não sei nos outros serviços (Google Drive, Dropbox).....no Onedrive foi decepção,

 

[]s!

Link para o comentário
Compartilhar em outros sites

  • 2 semanas depois...

galera trabalho com informatica e ja peguei varios casos desses, infelizmente a criptografia utilizada nos dados é de 2048, resumindo levaria meses apenas para recuperar um arquivo, vi posts no fórum da kaspersky que eles tinham apreendido um dos servidores que criptografa as nossas coisas, no proprio site deles eles tem um software que tenta recuperar as coisas.... ja testei em micros que pegaram a pouco tempo mas nao resolveu , acredito que se os computadores foram infectados antes deles terem pego este servidor entao há uma esperança

Link para o comentário
Compartilhar em outros sites

Infelizmente não há muito o que fazer depois de infectado, a não ser que o vírus seja o CoinVault , neste caso siga este tutorial:

Você não tem permissão para ver links. Faça login ou cadastre-se.

 

Mais informações sobre esse tipo de vírus no blog da Kasperski em:

 

Pelo que li e ví pessoalmente, o vírus infecta Windows XP e Windows Server 2003, alguém foi infectado usando Windows 7 ou Server 2008?

Link para o comentário
Compartilhar em outros sites

Olá!

Trabalho com assistência em informática no interior do RS e passei por uma situação dessas há umas duas semanas. Assim como os amigos acima já falaram, a recuperação é praticamente impossível. No meu caso o vírus foi o CriptoWall. Ele criptografou os arquivos no notebook que foi infectado e nos mapeamentos de rede ativos nesse note (inclusive dois compartilhamentos no servidor da loja).

 

Felizmente, realizamos o backup do servidor diariamente, então não tivemos perda de dados. Ainda, o vírus não se espalhou na rede, apenas afetou o que estava mapeado no note infectado em específico, outras pastas compartilhadas do servidor como pastas de outros usuários não foram afetadas.

 

Da última vez que acessei o bleepingcomputer.com, não se tinha nenhuma ferramenta para quebrar a criptografia desse vírus em específico, porém para outras variantes desses ransomwares já possuem antídoto.

 

O lance é manter o backup em dia e cuidar com os mapeamentos e dispositivos USB conectados em cada equipamento. Ainda, em algum lugar vi uma dica sobre desativar algo na Cópia de Sombra de Volume e dificultar o trabalho do vírus, mas não encontrei o link agora. Se encontrar, posto mais tarde.

Link para o comentário
Compartilhar em outros sites

  • 5 semanas depois...

Ja consegui recuperar arquivos infectados no windows 7 apenas, através do ponto de restauração do usuário e não do sistema.

Botão direito na pasta do usuário-propriedades-versões anteriores, dae e só escolher o ponto de restauração mais antigo.

 

Lembrando consegui apenas no windows 7.

Link para o comentário
Compartilhar em outros sites

Aqui um pequeno texto que peguei na internet;

 

"Como ocorreu a infecção?

 

A prioridade era recuperar os arquivos, mas ainda faltava responder como o computador havia sido infectado?

Detalhes da máquina

 

    Sistema operacional: Win7(SP1);

    Anti-virus: Symantec Endpoint Protection;

    O acesso a internet era feito através do browser, limitado por um proxy autenticado(RADIUS);

    O proxy permitia apenas conexões saintes para portas 80(http) e 443(https);

    As conexões estavam também sendo filtradas também pelo Endpoint;

    Browser: Chrome lastver;

    Histórico de navegação: Vários ads acessados, aparentemente o usuário adorava clicar em anúncios.

    Plugins/addons instalados? BAM! Java 6.

 

Sim, o ransom entrou através de um exploit do Java 6, o usuário simplemente acessou um ad malicioso, o qual identificou sua versão pré-histórica do Java e abriu uma shell em seu computador, escalou privilégios e executou sua rotina de encriptar arquivos.

 

Tudo isso invisível ao Anti-virus, pois o exploit não spawna nem faz upload de executáveis para a máquina, ele roda no processo existente do Java, dificilmente um AV detecta este tipo de ameaça.

Anti-virus? Destaque para o Hitman Pro Alert

 

Tempos atrás executei alguns testes em diversos AVs usando exploits p/ o Java, tal como o Rhino(famoso payloader que permite remote code execution no Java 7), o único que interceptou a ameaça foi o Hitman Pro Alert, pois ele é baseado num novo conceito de AV que consegue monitorar a execução de payloaders na memória alocada por cada processo. Desde então tenho recomendado este AV para usuários Windows.

Conclusão e recomendações

 

Flash e Java atualmente são portas de entradas pra todo tipo de ameaça na internet, apenas de navegar num site você pode liberar acesso total a seu computador para um Malware/Hacker, o qual pode além de ter total controle de seu computador, sua WebCam, também explorar toda sua rede interna e infectar outros dispositivos, inclusive os mobiles."

 

[

Você não tem permissão para ver links. Faça login ou cadastre-se.

Link para o comentário
Compartilhar em outros sites

realmente, de varios clientes que tinha condenado os arquivos mantive uma iso do sistema inteiro salva no hd, ja contatei vários do primeiro que me trouce já resolveu (y), estou no aguardo dos outros.

 

aqui esta o link para salvar a pele da galera:

Você não tem permissão para ver links. Faça login ou cadastre-se.

Link para o comentário
Compartilhar em outros sites

Participe agora da conversa!

Você pode postar agora e se cadastrar mais tarde. Se você tiver uma conta, faça login para postar com sua conta.

Visitante
Responder

×   Você colou conteúdo com formatação.   Restaurar formatação

  Apenas 75 emoticons máximos são permitidos.

×   Seu link foi incorporado automaticamente.   Exibir apenas como um link

×   Seu conteúdo anterior foi restaurado.   Limpar o editor

×   Você não pode colar imagens diretamente. Envie ou insira imagens do URL.

SOBRE O ELETRÔNICABR

EletrônicaBR é o melhor fórum técnico online, temos o maior e mais atualizado acervo de Esquemas, Bios e Firmwares da internet. Através de nosso sistema de créditos, usuários participativos têm acesso totalmente gratuito. Os melhores técnicos do mundo estão aqui!
Técnico sem o EletrônicaBR não é um técnico completo! Leia Mais...
×
×
  • Criar Novo...