Cry ransomware - Como remover

Se não quiser afundar-se em lágrimas por ter perdido permanentemente todos os seus ficheiros, deve educar-se relativamente a vírus crypto-malware e métodos úteis para parar estas infeções de aparecer. A prevenção é melhor que a cura e sugerimos que os uiltizadores se recordem desta expressão. O vírus Cry é outro membro de um grupo chamado “ransomware”. Esta variante é designada pelos livros e pode ser escolhida para descrever com precisão uma infeção de ransomware típica. Uma vez que tenha encontrado o seu caminho para um dispositivo, o vírus Cry irá fazer tudo o que estiver ao seu alcance para permanecer por detetar até ao processo de encriptação estar completo. Não nos devemos esquecer que a codificação é sempre feita com a ajuda de algoritmos fortes que tornam a desencriptação um processo complexo. Por isso é que é melhor que se mantenha imune a este tipo de vírus. Mesmo que envie a quantidade pedida de bitcoins para a chave de desencriptação, relatórios de segurança sugerem que as vítimas são muito frequentemente enganadas. Eles recebem chaves que são incapazes de desencriptar, de facto, ficheiros ou os criminosos desaparecem após receberem a taxa.

Sobre o Ransomware Cry

O vírus Cry não é completamente um exemplo perfeito de infeções ransomware mas segue um caminho muito comum. Após uma descarga deste vírus ficar secretamente instalado num dispositivo, este pequeno ficheiro executável consegue causar problemas sem haver deteção a tempo. Ele envia variada informação relativa ao utilizador, para o servidor de Comando e Controlo utilizando UDP (este é considerado um sinal para os bandidos de que um novo computador foi infetado). A informação sobre a vítima pode ser carregada para dois domínios (imgur.com e Pastee.org). O vírus pode até encontrar a localização dos utilizadores infetados. Além disso, as Chaves de Registo do Windows são modificadas por isso o vírus Cry seria lançado juntamente com aplicações de outros utilizadores. De cada vez que reinicia o seu dispositivo, a descarga maldita tem uma oportunidade de começar o processo de encriptação. Antes disso, ele executa uma caça à informação de forma a encontrar ficheiros aptos para encriptar. O vírus Cry é direcionado aos tipos mais populares de documentos e pode corromper todos os seus ficheiros valiosos.

Uma vez que o processo de encriptação esteja completo, o vírus Cry está pronto para revelar a sua existência. De facto, este ransomware faz grandes distâncias para que as vítimas infetadas tratem seriamente desta infeção. Antes de mais, ele acrescenta a extensão .cry a todos os ficheiros codificados. Este pequeno suplemento identifica um pedaço de informação influenciada por um algoritmo forte (RSA-4096). Se os utilizadores tentarem executar tais ficheiros, irão apenas ficar desapontados pelo facto de não o conseguirem fazer. Além disso, o ransomware Cry revela a sua presença ao adicionar uma nova pasta chamada “atalhos antigos” e transfere para lá a informação encriptada. Contudo, os criadores parecem sentir-se inseguros de que note os seus esforços e adiciona dois ficheiros adicionais no seu ambiente de trabalho. Um deles é um ficheiro .txt e o outro é um .html, sugerindo que o irá levar a uma página web desconhecida (ambos chamados “Recuperação_[6 caracteres aleatórios]”. Há uma característica peculiar deste vírus Cry: ele finge ter origem na Central Security Treatment Organization. Esta organização não existe e o nome vistoso não o deve enganar de forma a pagar a soma pedida de 625 dólares (1.1 Bitcoin). O vírus Cry também é conhecido por apagar todas as Shadow Volume Copies.

O conteúdo da nota de resgate (após os utilizadores fazerem login na página web fornecida):

“Departamento de acordos pré-julgamento da Central Security Treatment Organization

Aviso! Os seus ficheiros estão encriptados!

Os seus documentos, bases de dados, ficheiros de projecto, conteúdo vídeo e áudio e outros ficheiros críticos foram encriptados com um algoritmo de encriptação de nível militar!!! Para restaurar o acesso aos seus ficheiros necessita de pagar a comissão para a desencriptação na quantia de $625

Apenas após a comissão ter sido completamente paga lhe será fornecido acesso ao software especial para recuperação da informação encriptada

Importante

No caso de não pagamento da comissão completa, dentro de 4d 4h, a quantia da comissão será aumentada para $1250 Atenção requerida Não tome qualquer ação para desencriptar os ficheiros por si mesmo! Isso é completamente impossível e pode levar à corrupção dos ficheiros encriptados e, por isso, não poderão ser recuperados no futuro! No caso do não-pagamento repetido da comissão aumentada durante o período de 4d 4h, o código de desencriptação único dos seus ficheiros irá ser bloqueado e a sua recuperação irá ser absolutamente impossível!”

Como desencriptar ficheiros encriptados pelo Ransomware Cry?

Os vírus ransomware já estão presentes há anos mas a desencriptação de ficheiros encriptados mantém-se um tópico delicado. Normalmente, os especialistas de TI têm de analisar de forma adequada novas variantes e apenas então são capazes de produzir chaves gratuitas para desencriptação. Por isso sugerimos que espere por elas para resolver o vírus Cry e dar-lhe a oportunidade de poupar 625 dólares. De facto, os criminosos estão a ameaçar aumentar esta quantia de dinheiro para 1250 dólares se não comprar o software de desencriptação em cerca de 100 horas. Para o futuro, faça sempre cópias dos seus ficheiros e armazene-as em dispositivos de armazenamento USB ou faça um backup. Estas ferramentas guardam a sua informação e pode recuperar os ficheiros daí sempre que quiser. Uma vez que o vírus Cry se oferece para desencriptar um ficheiro encriptado, aproveite esta oportunidade. Talvez ter duas versões desse ficheiro ajude a tarefa de desencriptação dos especialistas de TI.

Como é que o Ransomware Cry é distribuído?

O ransomware Cry pode ser distribuído utilizando as técnicas mais comuns para distribuir os ficheiros de transmissão. Pode detetar uma carta bizarra na sua caixa de entrada do e-mail e assumir que é inofensiva. Na realidade, ao abri-la e descarregar o anexo dentro, pode estar a dar as boas-vindas a um vírus ransomware no seu sistema informático. Além disso, o ransomware Cry pode ser implantado se clicar em pop-ups aleatórios, anúncios ou páginas web com conteúdo pornográfico, de apostas ou outros tópicos questionáveis.

Abandone todas as dúvidas e remova o vírus Cry do seu dispositivo com ferramentas sofisticadas que ajudaram os utilizadores a reavivar o seu sistema depois de um ataque de ransomware. Spyhunter ou Hitman são reconhecidas como extremamente apropriadas a este processo. Mais informação sobre a remoção/desencriptação manual podem ser encontradas abaixo.

Como remover Cry ransomware usando o System Restore?

1. Reinicie o seu computador no Modo de Segurança com Janela de Comandos

para Windows 7 / Vista/ XP

• Iniciar → Encerrar → Reiniciar → OK.
• Pressione a tecla F8 repetidamente até a janela de Oções de Arranque Avançadas aparecer.
• Escolha o Modo de Segurança com Janela de Comandos.

para o Windows 8 / 10

• Pressione o botão de Arranque na janela de login do Windows. Depois pressione e segure a tecla Shift e clique em Reiniciar.
• Escolha Resolução de Problemas → Opções Avançadas → Definições de Arranque e clique em Reiniciar.
• Quando carregar, selecione Habilitar Modo de Segurança com Janela de Comandos a partir das definições de Arranque.

Restaurar os ficheiros e definições de Sistema.

• Quando o modo de Janela de Comando carregar, introduza o cd de restauro e pressione Enter.
• Depois digite rstrui.exe e pressione Enter novamente.
• Clique em “Próximo” na janela que apareceu..
• Selecione um dos Pontos de Restauro que estão disponíveis antes do {parasite_name] se ter infiltrado no seu sistema e depois clique em “Próximo”.
• Para arrancar com o sistema clique em “Sim”.

2. Remoção complete do Cry virus

Depois de restaurar o seu sistema, é recomendado que examine o seu computador com um programa anti-malware, como Spyhunter e remova todos os ficheiros maliciosos relacionados com Cry ransomware.

3. Restaure os ficheiros afetados pelo Cry virus usando Shadow Volume Copies

Se não usa a opção de Restauro de Sistema no seu sistema operativo, há uma hipótese de usar shadow copy snapshots. Eles armazenam cópias dos seus ficheiros do ponto temporal em que o snapshot de restauro foi criado. Normalmente, o Cry ransomware tenta apagar todos os Shadow Volume Copies, por isso este método pode não funcionar em todos os computadores. Contudo, pode falhar em fazê-lo.

As Shadow Volume Copies estão apenas disponíveis com o Windows XP Service Pack 2, Windows Vista, Windows 7, e Windows 8. Há duas maneiras de recuperar os seus ficheiros usando a Shadow Volume Copy. Pode fazê-lo usando a nativa Windows Previous Versions ou através do Shadow Explorer.

a) Windows Previous Versions Nativa

Clique com o botão direito do rato num ficheiro encriptado e selecione a aba Propriedades>Versões anteriores. Agora irá ver todas as cópias disponíveis desse ficheiro particular e a altura em que foi armazenada numa Shadow Volume Copy. Escolha a versão do ficheiro que quer recuperar e clique em Copiar se a quiser gravar nalgum diretório seu, ou Restaurar se quiser substituir o ficheiro existente e encriptado. Se quiser ver o conteúdo do ficheiro primeiro, clique apenas em Abrir.

b) Shadow Explorer

É um programa que pode ser encontrado online gratuitamente. Pode descarregar uma versão completa ou uma versão portátil do Shadow Explorer. Abra o programa. No canto superior esquerdo selecione o disco onde o ficheiro que procura está armazenado. Irá ver todos os ficheiros nesse disco. Para recuperar uma pasta inteira, clique com o botão direito do rato nela e selecione “Exportar”. Depois escolha onde quer que seja armazenada.

Nota: em muitos casos é impossível restaurar ficheiros de dados afetados por ransomwares modernos. Por isso recomendo utilizar um software de backup em rede como precaução. Recomendamos verificar o Carbonite, BlackBlaze, CrashPlan ou Mozy Home.

Ferramentas de Malware remoção automática