O ransomware zCrypt é uma variante ransomware recente para a qual ainda não foi desenvolvida encriptação. Apesar do seu nome não ser muito sofisticado, o ransomware zCrypt tem semelhanças com o TeslaCrypt, CryptoWall, Cerber e outros ransomwares como estes porque utiliza um algoritmo assimétrico de encriptação para encriptar a informação das vítimas. É tido como sendo a versão mais recente dos ransomwares CryptoLocker e RSA. O traço interessante deste ficheiro encriptador é que ele mostra um pop-up com um aviso falso de sistema durante o processo de encriptação e atinge principalmente utilizadores Russos. As outras características básicas do ransomware zCrypt serão dadas no próximo parágrafo.
Sobre o Ransomware zCrypt
O Ransomware zCrypt atinge todas as versões do Windows OS. Ele utiliza as cifras RSA-2048 e AES CBC 256-bit. A RSA é a chave pública gerada para encriptação e a AES é a cave privada gerada para desencriptação. A chave de encriptação é armazenada publicamente e a chave de desencriptação é armazenada nos servidores remotos a cargo dos piratas informáticos. O encriptador de ficheiros zCrypt acrescenta a extensão .zCrypt aos ficheiros encriptados. Durante a encriptação um pop-up aleatório, “Não há nenhum disco na unidade. Por favor insira um disco na unidade D” aparece. As caixas de diálogo que contém estão inativas. Isto é apenas feito para o distrair das ações maliciosas que estão a ser feitas pelo cryptomalware zCrypt.
Após a encriptação estar feita, o ficheiro How_to_decrypt_files.txt aparece em todas as pastas de ficheiros encriptados, How_to_decrypt_files.png substitui a imagem de fundo do seu ambiente de trabalho e How_to_decrypt_files.html é colocado no seu ambiente de trabalho e é carregado automaticamente sempre que o navegador é aberto. Esses ficheiros contêm a nota de resgate. Os criminosos cibernéticos pedem neste momento 1.2 BTC que são 569.82 USD neste momento – uma quantia relativamente elevada quando comparada com outros ransomwares. Quatro dias são dados para pagar o resgate. Se o pagamento não for transferido, é aumentado para 5 BTC – 2,377.15 USD de momento. Se nenhuma transferência chegar aos piratas em 7 dias, eles afirmam destruir chave de desencriptação única. O endereço de contacto é [email protected].
Como é que o Ransomware zCrypt infeta o seu computador?
O trojan de codificação zCrypt faz uso de spambots. Ele envia e-mails de spam com anexos infetados para o correio das vítimas. Esses e-mails falsos são enviados por remetentes desconhecidos ou são disfarçados de cartas oficiais. Eles podem até conter logos ou outras marcas “legítimas”. Eles afirmam ser enviadas de companhias como DHL, FedEx, eBay, PayPal, etc. O outro caminho pelo qual este encriptador de ficheiros pode invadir o seu computador são as vulnerabilidades de segurança para as quais os kits de exploração estão orientados, como Angler EK (kit de exploração), Nuclear EK, etc.
Como desencriptar ficheiros encriptados pelo Ransomware zCrypt?
Pagar o resgate apenas iria resultar em perder uma grande quantia de dinheiro. Infelizmente, não há ferramentas de desencriptação disponíveis na altura de escrita deste artigo. Mas os especialistas em segurança cibernética estão a trabalhar arduamente para resolver este assunto. O Ransomare zCrypt apaga as Cópias de Volume Sombra para que o backup local não lhe sirva de nada. Assim, é recomendado que armazene a cópia da sua informação mais valiosa nalgum disco externo ou utilize um dispositivo de armazenamento externo tal como serviços de armazenamento na Cloud.
Contudo, caso seja demasiado tarde para aproveitar o anterior conselho, pode ainda aplicar ferramentas de recuperação de dados como PhotoRec, produtos do Kaspersky, etc. Para remover o Ransomware zCrypt emprega aplicações de remoção de malware profissionais tais como Spyhunter, Malwarebytes . Estas ferramentas de segurança não só irão apagar este terrível ransomware mas eliminam todas as outras ameaças e asseguram o seu futuro livre de malwares. Siga o guia de remoção do Ransomware zCrypt abaixo.
Como remover zCrypt Ransomware usando o System Restore?
1. Reinicie o seu computador no Modo de Segurança com Janela de Comandos
para Windows 7 / Vista/ XP
- Iniciar → Encerrar → Reiniciar → OK.
- Pressione a tecla F8 repetidamente até a janela de Oções de Arranque Avançadas aparecer.
- Escolha o Modo de Segurança com Janela de Comandos.
para o Windows 8 / 10
- Pressione o botão de Arranque na janela de login do Windows. Depois pressione e segure a tecla Shift e clique em Reiniciar.
- Escolha Resolução de Problemas → Opções Avançadas → Definições de Arranque e clique em Reiniciar.
- Quando carregar, selecione Habilitar Modo de Segurança com Janela de Comandos a partir das definições de Arranque.
Restaurar os ficheiros e definições de Sistema.
- Quando o modo de Janela de Comando carregar, introduza o cd de restauro e pressione Enter.
- Depois digite rstrui.exe e pressione Enter novamente.
- Clique em “Próximo” na janela que apareceu..
- Selecione um dos Pontos de Restauro que estão disponíveis antes do {parasite_name] se ter infiltrado no seu sistema e depois clique em “Próximo”.
- Para arrancar com o sistema clique em “Sim”.
2. Remoção complete do zCrypt Ransomware
Depois de restaurar o seu sistema, é recomendado que examine o seu computador com um programa anti-malware, como Spyhunter e remova todos os ficheiros maliciosos relacionados com zCrypt Ransomware.
3. Restaure os ficheiros afetados pelo zCrypt Ransomware usando Shadow Volume Copies
Se não usa a opção de Restauro de Sistema no seu sistema operativo, há uma hipótese de usar shadow copy snapshots. Eles armazenam cópias dos seus ficheiros do ponto temporal em que o snapshot de restauro foi criado. Normalmente, o zCrypt Ransomware tenta apagar todos os Shadow Volume Copies, por isso este método pode não funcionar em todos os computadores. Contudo, pode falhar em fazê-lo.
As Shadow Volume Copies estão apenas disponíveis com o Windows XP Service Pack 2, Windows Vista, Windows 7, e Windows 8. Há duas maneiras de recuperar os seus ficheiros usando a Shadow Volume Copy. Pode fazê-lo usando a nativa Windows Previous Versions ou através do Shadow Explorer.
a) Windows Previous Versions NativaClique com o botão direito do rato num ficheiro encriptado e selecione a aba Propriedades>Versões anteriores. Agora irá ver todas as cópias disponíveis desse ficheiro particular e a altura em que foi armazenada numa Shadow Volume Copy. Escolha a versão do ficheiro que quer recuperar e clique em Copiar se a quiser gravar nalgum diretório seu, ou Restaurar se quiser substituir o ficheiro existente e encriptado. Se quiser ver o conteúdo do ficheiro primeiro, clique apenas em Abrir.
b) Shadow Explorer
É um programa que pode ser encontrado online gratuitamente. Pode descarregar uma versão completa ou uma versão portátil do Shadow Explorer. Abra o programa. No canto superior esquerdo selecione o disco onde o ficheiro que procura está armazenado. Irá ver todos os ficheiros nesse disco. Para recuperar uma pasta inteira, clique com o botão direito do rato nela e selecione “Exportar”. Depois escolha onde quer que seja armazenada.
Nota: em muitos casos é impossível restaurar ficheiros de dados afetados por ransomwares modernos. Por isso recomendo utilizar um software de backup em rede como precaução. Recomendamos verificar o Carbonite, BlackBlaze, CrashPlan ou Mozy Home.
Ferramentas de Malware remoção automática
(Win)
Nota: julgamento Spyhunter fornece detecção de parasita como Zcrypt Ransomware e auxilia na sua remoção de forma gratuita. experimentação limitado disponível, Terms of use, Privacy Policy, Uninstall Instructions,
(Mac)
Nota: julgamento Combo Cleaner fornece detecção de parasita como Zcrypt Ransomware e auxilia na sua remoção de forma gratuita. experimentação limitado disponível,