GoldenEye Ransomware - Como remover

Petya e Mischa não são os nomes de dois tipos russos: estamo-nos a referir a um par de vírus cripto-ransomware que já não são ameaças. Pesquisadores de segurança investigaram estes dois casos cuidadosamente, reuniram provas suficientes e finalmente conseguiram produzir uma desencriptação funcional para estas duas infeções. Ainda assim, os criadores destes últimos vírus não têm intenção de desistir assim tão facilmente. Recentemente, um parente do Petya e Mischa entrou no mundo cibernético. Os especialistas de TI não perderam tempo precioso e atiraram-se rapidamente à oportunidade de o analisar. Ao que parece, o cripto-ransomware GoldenEye atinge utilizadores que falam Alemão e envia mensagens de spam também nesta língua. O seu principal instalador é anexado a cartas eletrónicas que têm, alegadamente, origem em fontes legítimas. Não deve confiar em pessoas através de e-mails e escolher manter-se com as antigas conversas cara-a-cara em assuntos importantes.

O que é o Ransomware GoldenEye?

A introdução precedente foi bastante informativa em relação aos aspetos gerais do vírus GoldenEye, deixando de fora detalhes específicos. Como revelaram especialistas de TI, esta variante está proximamente relacionada com o Petya e Mischa na medida em que todas estas infeções têm um caminho semelhante para a encriptação. Contudo, apesar destas amostras de ransomware serem comparáveis, elas também têm alguns aspetos distintivos. O vírus GoldenEye pode ser indicado como a versão melhorada do P&M uma vez que desenvolveu uma capacidade de encriptar tanto os ficheiros dos utilizadores como as suas unidades de armazenamento.

À primeira vista, uma vez que o ransomware se tenha infiltrado com sucesso na pasta Temp, a linguagem de programação de aplicações visual basic irá correr a aplicação maliciosa. Após isso, não há quase nada entre o vírus GoldenEye e a encriptação. Este caso amoroso retorcido atinge a tabela de ficheiros mestre tanto da informação como das unidades de armazenamento.

Em primeiro lugar, o ransomware irá iniciar o seu trabalho sujo encriptando ficheiros com várias extensões e adicionando oito caracteres no final (letras, números ou símbolos sem qualquer ordem em particular). Além disso, se o vírus conseguir realmente infetar o registo de arranque mestre do seu computador, você será proibido de aceder a todos os ficheiros no seu disco rígido. Para encobrir o seu crime, o vírus GoldenEye utiliza um ecrã enganador, indicando que os seus discos contêm erros e estão a precisar de reparação. Em breve, este ecrã desaparece e uma imagem assustadora de uma caveira amarela aparece. Após isso, tem de aceitar o facto de que um ransomware invadiu o seu espaço. As seguintes imagens irão conter informação sobre os websites que os utilizadores são aconselhados a aceder através do navegador Tor. É basicamente uma versão bonita de outro ransomware qualquer que também exija bitcoins.

O vírus GoldenEye diference na forma como produz muitas instruções sobre comprar bitcoins e oferece até a possibilidade de enviar uma mensagem aos bandidos. Não deve tentar entrar numa conversa com estas pessoas nojentas uma vez que nada de bom pode daí advir.

Em adição a isso, nunca pague o resgate exigido. Neste caso, o vírus GoldenEye exige 1.33284506 BTC, o que corresponde a 1001.71 dólares americanos.

O que é que o ransomware GoldenEye causa com a sua distribuição?

De forma semelhante a muitas outras amostras de ransomware, o vírus GoldenEye também se espalha através de cartas eletrónicas infeciosas. Uma vez que os utilizadores que falam Alemão são atingidos, as cartas podem ser escritas nesta língua para as tornar mais credíveis. Pode receber notificações bizarras sobre pagamentos atrasados, questões financeiras, transações, bilhetes aéreos ou etc. O que quer que seja, certifique-se de que a mensagem tem origem numa fonte fiável em vez duma completamente suspeita. Mesmo que o endereço de correio eletrónico do remetente pareça semelhante ao oficial, não deve assumir coisas que podem facilmente estar erradas.

Há alguma maneira de desencriptar ficheiros e unidades de armazenamento que estão arruinadas pelo Ransomware GoldenEye?

Na altura em que este artigo foi escrito, pesquisadores de segurança estavam apenas a tocar a superfície desta infeção. De forma a encontrar um método adequado para a desencriptação, os génios de TI têm de analizar uma infeção detalhadamente. Pode verificar se as Shadow Volume Copies estão apagadas e tentar restaurá-las. Adicionalmente, algumas pessoas acham ferramentas universais úteis. Mesmo que essas recomendações não tenham o melhor resultado, nunca pague a programadores suspeitos uma quantia enorme de dinheiro por desencriptação. Irá apenas agir como patrocinador de futuras campanhas de infeção por spam.

Spyhunter ou Malwarebytes irão apropriadamente verificar o estado do seu dispositivo e eliminar o vírus GoldenEye. Estas ferramentas irão também ser convenientes caso seja infetado com outros tipos de malware.

Como remover GoldenEye Ransomware usando o System Restore?

1. Reinicie o seu computador no Modo de Segurança com Janela de Comandos

para Windows 7 / Vista/ XP

• Iniciar → Encerrar → Reiniciar → OK.
• Pressione a tecla F8 repetidamente até a janela de Oções de Arranque Avançadas aparecer.
• Escolha o Modo de Segurança com Janela de Comandos.

para o Windows 8 / 10

• Pressione o botão de Arranque na janela de login do Windows. Depois pressione e segure a tecla Shift e clique em Reiniciar.
• Escolha Resolução de Problemas → Opções Avançadas → Definições de Arranque e clique em Reiniciar.
• Quando carregar, selecione Habilitar Modo de Segurança com Janela de Comandos a partir das definições de Arranque.

Restaurar os ficheiros e definições de Sistema.

• Quando o modo de Janela de Comando carregar, introduza o cd de restauro e pressione Enter.
• Depois digite rstrui.exe e pressione Enter novamente.
• Clique em “Próximo” na janela que apareceu..
• Selecione um dos Pontos de Restauro que estão disponíveis antes do {parasite_name] se ter infiltrado no seu sistema e depois clique em “Próximo”.
• Para arrancar com o sistema clique em “Sim”.

2. Remoção complete do GoldenEye Ransomware

Depois de restaurar o seu sistema, é recomendado que examine o seu computador com um programa anti-malware, como Spyhunter e remova todos os ficheiros maliciosos relacionados com GoldenEye Ransomware.

3. Restaure os ficheiros afetados pelo GoldenEye Ransomware usando Shadow Volume Copies

Se não usa a opção de Restauro de Sistema no seu sistema operativo, há uma hipótese de usar shadow copy snapshots. Eles armazenam cópias dos seus ficheiros do ponto temporal em que o snapshot de restauro foi criado. Normalmente, o GoldenEye Ransomware tenta apagar todos os Shadow Volume Copies, por isso este método pode não funcionar em todos os computadores. Contudo, pode falhar em fazê-lo.

As Shadow Volume Copies estão apenas disponíveis com o Windows XP Service Pack 2, Windows Vista, Windows 7, e Windows 8. Há duas maneiras de recuperar os seus ficheiros usando a Shadow Volume Copy. Pode fazê-lo usando a nativa Windows Previous Versions ou através do Shadow Explorer.

a) Windows Previous Versions Nativa

Clique com o botão direito do rato num ficheiro encriptado e selecione a aba Propriedades>Versões anteriores. Agora irá ver todas as cópias disponíveis desse ficheiro particular e a altura em que foi armazenada numa Shadow Volume Copy. Escolha a versão do ficheiro que quer recuperar e clique em Copiar se a quiser gravar nalgum diretório seu, ou Restaurar se quiser substituir o ficheiro existente e encriptado. Se quiser ver o conteúdo do ficheiro primeiro, clique apenas em Abrir.

b) Shadow Explorer

É um programa que pode ser encontrado online gratuitamente. Pode descarregar uma versão completa ou uma versão portátil do Shadow Explorer. Abra o programa. No canto superior esquerdo selecione o disco onde o ficheiro que procura está armazenado. Irá ver todos os ficheiros nesse disco. Para recuperar uma pasta inteira, clique com o botão direito do rato nela e selecione “Exportar”. Depois escolha onde quer que seja armazenada.

Nota: em muitos casos é impossível restaurar ficheiros de dados afetados por ransomwares modernos. Por isso recomendo utilizar um software de backup em rede como precaução. Recomendamos verificar o Carbonite, BlackBlaze, CrashPlan ou Mozy Home.

Ferramentas de Malware remoção automática