Forum

Share Button

Ferramentas de Descriptografia de Ransomware  

  RSS

Duarte Spínola
(@kbase)
Trusted Member Admin
Joined: 1 year ago
Posts: 72
30/01/2018 1:46 pm  

O que é o Ransomware?

O Ransomware é uma ameaça informática (trojan) que após se instalar no computador, pode impedir o acesso ao mesmo ou aos ficheiros através de métodos de encriptação. Em que o atacante exige ao utilizador um resgate (pagamento) numa moeda virtual (ex. Bitcoin), para restabelecer o acesso ao computador / ficheiros.

A melhor protecção contra Ransomware é prevenção, devemos assegurar determinados comportamentos, para evitar que chegue ao nosso sistema ou minimizar os estragos.

WannaCrypt

 

 

Como prevenir?

Existem diferentes métodos e formas de infetar o seu sistema, dependo da família de Ransomware, pelo que devemos assegurar:

  1. Backups regulares offline (disco externo) ou na Cloud (ex. Cloud BackuppcloudDropboxGoogle Drive, etc…) dos ficheiros mais importantes;
  2. Garantir que o sistema operativo está atualizado com os últimas atualizações disponíveis (permitir que o SO atualize automaticamente);
  3. Garantir que as aplicações criticas (ex. browsers, ferramentas de Office, antivírus/firewall) estão atualizados;
  4. Ter uma ferramenta de segurança que ofereça proteção contra Ransomware;
  5. Instalar ou executar aplicações somente de fontes seguras;
  6. Na sua conta de email, não abrir ou efetuar download de anexos, apenas de fontes fidedignas e após passar pelo Virus Total. Não clicar em links directamente (verificar através do portal  https://global.sitesafety.trendmicro.com/  se é um link seguro);
  7. Evitar acesso a sites de warez, cracks, torrent, basicamente sites que possam ter software adulterado.

 

O que fazer se computador afectado?

Antes de utilizar uma ferramenta para desencriptação dos ficheiros, deverá ter a certeza que removeu todo o malware do seu sistema primeiro, caso contrário irá repetidamente bloquear o seu sistema ou cifrar ficheiros. Consultar como Remover Malware do Computador.

Caso o computador tenha sido afetado devemos identificar qual a família do Ransomware (pela extensão do ficheiro e pela mensagem que foi deixada) ou utilizando a ferramenta Bitdefender Ransomware Recognition Tool. Após identificar a familia, procurar por uma ferramenta de Ransomware File Decryptor que forneça métodos de desbloqueio ou desencriptação para os nossos ficheiros encriptados.

Na impossibilidade de desencriptar, utilizar uma ferramenta de recuperação de dados, isto porque algumas famílias de Ransoware ex. .wncry/.wcry copiam os ficheiros e os encriptam e apagam os originais do disco.

Quando nenhum método resulta, efectuar um backup dos dados dos ficheiros, dado que nunca se sabe se no futuro poderá surgir um método para recuperar / desencriptar os dados.

 

Ferramentas gratuitas disponibilizadas de desencriptação:

A primeira opção será consultar oas ferramentas disponibilizadas no portal No More Ransom, portal criado por um grupo de fornecedores de ferramentas de segurança para combater o Ransomware.

Avast 

 
Bitdefender

 

Emsisoft 
 
Trendmicro

 

Ransomware Nome do Ficheiro e extensão
CryptXXX V1, V2, V3* {Nome do ficheiro original}.crypt, cryp1, crypz, or 5 hexadecimal characters
CryptXXX V4, V5 {MD5 Hash}.5 hexadecimal characters
TeslaCrypt V1** {Nome do ficheiro original}.ECC
TeslaCrypt V2** {Nome do ficheiro original}.VVV, CCC, ZZZ, AAA, ABC, XYZ
TeslaCrypt V3 {Nome do ficheiro original}.XXX or TTT or MP3 or MICRO
TeslaCrypt V4 File name and extension are unchanged
SNSLocker {Nome do ficheiro original}.RSNSLocked
AutoLocky {Nome do ficheiro original}.locky
BadBlock {Original file name}
777 {Nome do ficheiro original}.777
XORIST {Nome do ficheiro original}.xorist or random extension
XORBAT {Nome do ficheiro original}.crypted
CERBER V1 {10 random characters}.cerber
Stampado {Nome do ficheiro original}.locked
Nemucod {Nome do ficheiro original}.crypted
Chimera {Nome do ficheiro original}.crypt
LECHIFFRE {Nome do ficheiro original}.LeChiffre
MirCop Lock.{Nome do ficheiro original}
Jigsaw {Nome do ficheiro original}.random extension
Globe/Purge V1: {Nome do ficheiro original}.purge
V2: {Nome do ficheiro original}.{email address + random characters}
V3: Extension not fixed or file name encrypted
DXXD V1: {Nome do ficheiro original}.{Extensão original}dxxd
Teamxrat/Xpan V2: {Original filename}.__xratteamLucked
Crysis .{id}.{email address}.xtbl, .{id}.{email address}.crypt, .{id}.{email addres}.dharma, .{id}.{email address}.wallet
TeleCrypt {Original file name}
DemoTool .demoadc
WannaCry (WCRY) {Nome do ficheiro original}.WNCRY, {Nome do ficheiro original}.WCRY
Petya N/A

 Já foste afectado? conseguiste recuperar os teus dados?

Fonte: https://www.kbase.pt/ferramentas-de-descriptografia-ransomware/


Quote
Share:
Share Button