Ransomware WannaCryptor - Como remover?

 

Os últimos dias de Março em 2017 foram definitivamente notados pela deteção frequente de criptovírus. A infeção ransomware WannaCryptor, também conhecida como WannaCry, apareceu pela primeira vez mesmo no final deste mês, aproximadamente a 26 de Março. Foi possível rastrear outro produto de volta para os piratas informáticos que criaram este vírus. O Wcry foi o primeiro a criar um segundo plano para o WannaCryptor. Ambos são bastante recentes (o Wcry apareceu em Fevereiro de 2017) e o seu objetivo principal é claro: utilizar táticas desonestas com o objetivo de privar as pessoas de dinheiro. De forma interessante, o vírus WannaCryptor deixa uma hiperligação para dropbox.com que é a fonte de um desencriptador. Claro, nem tudo é assim tão fácil. Se os utilizadores descarregarem o executável, ele irá abrir uma tabela “Wanna”, indicando que 300$ é a taxa para tornar este software de recolha de ficheiros funcional. A soma é cerca de 0.28798 BTC que é a unidade monetária que os piratas informáticos exigem.

Análise de um ransomware WannaCryptor

O ransomware WannaCryptor combina cifras AES e RSA, diferentemente do seu antecessor Wcry que apenas explorava a AES. Parece que os piratas informáticos tentaram subir o nível e produzir um ransomware mais sofisticado que fosse ainda mais aterrador. A sua nota de resgate, chamada !Please the Read Me.txt! fornece uma breve explicação da situação e oferece às pessoas a possibilidade de descarregar o software para a desencriptação dos ficheiros. Nenhuma informação adicional está listada na nota de resgate, por isso, naturalmente, tem de haver mais detalhes.

Obviamente, o software Wanna Decryptor destaca-se mais como uma fonte informativa. Na janela que abre após as vítimas descarregarem um ficheiro da dropbox, elas irão reparar que o desencriptador não funciona. Assim que executar a ferramenta de recuperação de ficheiros, um relógio irá começar uma contagem decrescente. Após um certo intervalo de tempo terminar, o preço da desencriptação irá aumentar. Os utilizadores podem também escolher de diferentes secções “Sobre bitcoin”, “Como comprar bitcoins?”, “Contacte-nos”. Esta última irá presumivelmente fornecer um endereço de algum tipo que irá ajudar as pessoas a entrarem em contacto com os autores do vírus WannaCryptor.

Adicionalmente, o software tem como característica uma carteira bitcoin que é suposto receber a quantia desejada de bitcoins. Se a vítima pagar, ele/ela tem de clicar em “Verificar Pagamento” que irá determinar se o seu pagamento chegou ao seu destino. Contudo, não podemos assegurar que os piratas informáticos cumpram a sua parte do acordo. O desencriptador pode não ser funcional o suficiente para restaurar toda a informação que o ransomware corrompe. Por esta razão, irá gastar 300 dólares ou mais completamente em vão. Não há relatórios sobre uma extensão que seja adicionada à informação encriptada.

Assistência na recuperação de dados: edição ransomware WannaCryptor

Não recomendamos que page pela ferramenta de desencriptação que os autores do WannaCryptor criaram. Pode nem sequer ser funcional e o seu dinheiro não irá mudar isso. Adicionalmente, os piratas informáticos normalmente têm muito pouco interesse em manter a sua atividade genuína. Por esta razão, eles não têm intenção de se preocuparem com as suas vítimas, apenas com dinheiro. Se for uma vítima do ransomware WannaCryptor, não irá ser capaz de abrir uma grande parte dos seus ficheiros, mas antes de entrar em pânico, deve tentar recuperar os seus dados gratuitamente. Deve ler as secções seguintes e tornar-se familiarizado com as Shadow Volume Copies e ferramentas universais de recuperação de ficheiros. Contudo, não há necessidade de suar unidades de armazenamento estão cheias da sua informação valiosa. Depois, remova o vírus Wanna Cryptor e passe para a desencriptação dos ficheiros restantes.

Como é que o ransomware WannaCryptor invade dispositivos?

Duas das estratégias mais populares para a distribuição de ransomware são a transmissão de cartas de e-mail malignas e infeções através de kits de exploração. A sua caixa de entrada pode ser visada pelos criadores de ransomware e eles irão enviar cartas dissimuladas para a sua conta. É muito possível que repare em e-mails bizarros que alegadamente o informam de negócios únicos ou o encorajam a reclamar um prémio sólido. Contudo, não siga hiperligações presentes em tais cartas. Adicionalmente a isto, vários anexos podem apenas ser impostos como ficheiros inofensivos. Na realidade, podem estar a esconder uma carga de um ransomware.

As vítimas devem lidar com o ransomware de forma extremamente cuidadosa. Remover manualmente esta infeção é possível, mas pode demorar algum tempo. Ferramentas anti-malware como Reimage, Spyhunter ou Malwarebytes irão fornecer aos utilizadores uma solução mais rápida para os seus problemas. Claro, não ajudarão no processo de recuperação de ficheiros, mas irão eliminar qualquer registo do vírus WannaCryptor para que não esteja mais presente.

Atualização de 15 de Maio, 2017. Pode já ter ouvido notícias de que o WannaCry se espalhou como fogo. Os utilizadores por todo o globo ficaram infetados e isso, naturalmente, despoletou muita atenção dos meios de comunicação por todo o mundo. Até empresas estiveram envolvidas nesta explosão massiva e espantosamente inesperada de ransomware. O WannaCry conseguiu infetar muitos computadores com o sistema operativo Windows num período de tempo muito curto. Felizmente, foi prevenido que a infeção ocorresse ainda mais, mas os utilizadores e pesquisadores de segurança recomendam que as pessoas tenham cuidado. Além disso, múltiplos copiadores do WannaCry foram descobertos hoje, alguns deles ainda em desenvolvimento. A melhor maneira de se assegurar é tirar vantagem de atualizações críticas que a Microsoft publicou. Adicionalmente, armazene a sua informação digital em unidades de armazenamento.

Como remover Ransomware WannaCryptor usando o System Restore?

1. Reinicie o seu computador no Modo de Segurança com Janela de Comandos


para Windows 7 / Vista/ XP
  • Iniciar → Encerrar → Reiniciar → OK.
  • Pressione a tecla F8 repetidamente até a janela de Oções de Arranque Avançadas aparecer.
  • Escolha o Modo de Segurança com Janela de Comandos. Windows 7 enter safe mode

para o Windows 8 / 10
  • Pressione o botão de Arranque na janela de login do Windows. Depois pressione e segure a tecla Shift e clique em Reiniciar. Windows 8-10 restart to safe mode
  • Escolha Resolução de Problemas → Opções Avançadas → Definições de Arranque e clique em Reiniciar.
  • Quando carregar, selecione Habilitar Modo de Segurança com Janela de Comandos a partir das definições de Arranque. Windows 8-10 enter safe mode

Restaurar os ficheiros e definições de Sistema.
  • Quando o modo de Janela de Comando carregar, introduza o cd de restauro e pressione Enter.
  • Depois digite rstrui.exe e pressione Enter novamente. CMD commands
  • Clique em “Próximo” na janela que apareceu.. Restore point img1
  • Selecione um dos Pontos de Restauro que estão disponíveis antes do {parasite_name] se ter infiltrado no seu sistema e depois clique em “Próximo”.Restore point img2
  • Para arrancar com o sistema clique em “Sim”. Restore point img3

2. Remoção complete do Virus WannaCryp

Depois de restaurar o seu sistema, é recomendado que examine o seu computador com um programa anti-malware, como Reimage, Spyhunter e remova todos os ficheiros maliciosos relacionados com WanaCrypt0r.


3. Restaure os ficheiros afetados pelo Virus WannaCry usando Shadow Volume Copies

Se não usa a opção de Restauro de Sistema no seu sistema operativo, há uma hipótese de usar shadow copy snapshots. Eles armazenam cópias dos seus ficheiros do ponto temporal em que o snapshot de restauro foi criado. Normalmente, o Ransomware WannaCryptor tenta apagar todos os Shadow Volume Copies, por isso este método pode não funcionar em todos os computadores. Contudo, pode falhar em fazê-lo.

As Shadow Volume Copies estão apenas disponíveis com o Windows XP Service Pack 2, Windows Vista, Windows 7, e Windows 8. Há duas maneiras de recuperar os seus ficheiros usando a Shadow Volume Copy. Pode fazê-lo usando a nativa Windows Previous Versions ou através do Shadow Explorer.

a) Windows Previous Versions Nativa

Clique com o botão direito do rato num ficheiro encriptado e selecione a aba Propriedades>Versões anteriores. Agora irá ver todas as cópias disponíveis desse ficheiro particular e a altura em que foi armazenada numa Shadow Volume Copy. Escolha a versão do ficheiro que quer recuperar e clique em Copiar se a quiser gravar nalgum diretório seu, ou Restaurar se quiser substituir o ficheiro existente e encriptado. Se quiser ver o conteúdo do ficheiro primeiro, clique apenas em Abrir.Previous version


b) Shadow Explorer

É um programa que pode ser encontrado online gratuitamente. Pode descarregar uma versão completa ou uma versão portátil do Shadow Explorer. Abra o programa. No canto superior esquerdo selecione o disco onde o ficheiro que procura está armazenado. Irá ver todos os ficheiros nesse disco. Para recuperar uma pasta inteira, clique com o botão direito do rato nela e selecione “Exportar”. Depois escolha onde quer que seja armazenada.
Shadow explorer

Nota: em muitos casos é impossível restaurar ficheiros de dados afetados por ransomwares modernos. Por isso recomendo utilizar um software de backup em rede como precaução. Recomendamos verificar o Carbonite, BlackBlaze, CrashPlan ou Mozy Home.

Ferramentas para remoção automática de Ransomware WannaCryptor

 

Outras ferramentas

 
  0   0
    Spyhunter
  0   0
    Malwarebytes’ Anti-Malware
 
  Baixar Reimage para Ransomware WannaCryptor detecçãoNota: julgamento Reimage fornece detecção de parasita como Ransomware WannaCryptor e auxilia na sua remoção de forma gratuita. Você pode remover os arquivos detectados, processos e entradas de registro você mesmo ou comprar uma versão completa.
  We might be affiliated with some of these programs. Full information is available in disclosure 

Capturas de tela Ransomware WannaCryptor

 
           
     

Deixar uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *