Mahasaraswati ransomware - Como remover

O ransomware Mahasaraswati é uma ameaça ransomware recente designada a partir da deusa Hindu de oito braços. A nota de resgate deste cryptomalware tem esta deusa no fundo. O codificador Mahasaraswati tal como os ransomwares TeslaCrypt, CryptoLocker e CryptoWall (apenas para nomear alguns) utiliza um algoritmo de encriptação assimétrico para corromper a informação da vítima.

Sobre o Ransomware Mahasaraswati

Uma vez que o ransomware Mahasaraswati esteja no seu computador, ele inicia o processo de encriptação. As chaves RSA pública e AES privada são geradas. A chave privada é armazenada nos servidores remotos controlados por bandidos cibernéticos. O ransomware anexa uma desajeitada extensão .id-[ID ÚNICO DE UTILIZADOR].{mahasaraswati(@)india.com}.xtbl aos ficheiros encriptados. Um ficheiro How_to_decrypt_files.txt é largado em cada pasta de ficheiros encriptados e How_to_decrypt_files.png substitui a imagem de fundo do ambiente de trabalho. Estes dois ficheiros carregam a nota de resgate. Neste momento o resgate exigido é de 3 BTC (1,425.18 USD no momento de escrita deste artigo) que é uma compensação pesada em comparação com outros ransomwares, tais como o Locky, que requer cerca de 0.5 BTC (237.59 USD). Contudo, a cada 24 horas o resgate aumenta 2 BTC (950.21 USD). São-lhe fornecidas instruções detalhadas de pagamento e o contacto de correio electrónico [email protected] na mensagem. De forma interessante, os piratas informáticos fazem uma oferta de desencriptar até 10 Mb de ficheiros de texto e imagens encriptadas para provar que têm de facto a chave de desencriptação e são capazes de desencriptar a informação.

Como é que o Ransomware Mahasaraswati se espalha?

O principal método de distribuição do Ransomware Mahasaraswati são e-mails de spam com ligações maliciosas ou os seus anexos infetados. Os e-mails ou são enviados a partir de remetentes desconhecidos ou apresentam as letras oficiais de instituições ou companhias legítimas. Uma vez que este encriptador de ficheiros é um trojan, ele pode vir disfarçado como uma aplicação útil. Se, neste último caso, for deixado com a escolha de abrir as letras ou instalar uma aplicação (que literalmente significa ficar infetado), os exploradores não lhe farão tal favor. Estes irão apontar-se a vulnerabilidades do sistema e deixar a porta aberta para que outros ransomwares entrem em cena.

Como desencriptar ficheiros encriptados pelo Ransomware Mahasaraswati?

Por azar, não há muitas ferramentas de desencriptação disponíveis no momento. Este crypto-vírus apaga as Shadow Volume Copies. Por isso o serviço Shadow Volume Copy não lhe servirá de nada. Contudo, pode continuar a executar ferramentas de recuperação de dados como PhotoRec, R-Studio, etc. Geralmente, é recomendado que faça um armazenamento de reserva dos ficheiros num disco externo. Não o deixe ligado mas atualize-o regularmente.

Para remover o ransomware Mahasaraswati empregue ferramentas de remoção de malware credíveis tais como Spyhunter, Malwarebytes ou StopZilla. Siga as instruções de remoção deste ransomware abaixo.

Como remover Mahasaraswati ransomware usando o System Restore?

1. Reinicie o seu computador no Modo de Segurança com Janela de Comandos

para Windows 7 / Vista/ XP

• Iniciar → Encerrar → Reiniciar → OK.
• Pressione a tecla F8 repetidamente até a janela de Oções de Arranque Avançadas aparecer.
• Escolha o Modo de Segurança com Janela de Comandos.

para o Windows 8 / 10

• Pressione o botão de Arranque na janela de login do Windows. Depois pressione e segure a tecla Shift e clique em Reiniciar.
• Escolha Resolução de Problemas → Opções Avançadas → Definições de Arranque e clique em Reiniciar.
• Quando carregar, selecione Habilitar Modo de Segurança com Janela de Comandos a partir das definições de Arranque.

Restaurar os ficheiros e definições de Sistema.

• Quando o modo de Janela de Comando carregar, introduza o cd de restauro e pressione Enter.
• Depois digite rstrui.exe e pressione Enter novamente.
• Clique em “Próximo” na janela que apareceu..
• Selecione um dos Pontos de Restauro que estão disponíveis antes do {parasite_name] se ter infiltrado no seu sistema e depois clique em “Próximo”.
• Para arrancar com o sistema clique em “Sim”.

2. Remoção complete do Mahasaraswati ransomware

Depois de restaurar o seu sistema, é recomendado que examine o seu computador com um programa anti-malware, como Spyhunter e remova todos os ficheiros maliciosos relacionados com Mahasaraswati ransomware.

3. Restaure os ficheiros afetados pelo Mahasaraswati ransomware usando Shadow Volume Copies

Se não usa a opção de Restauro de Sistema no seu sistema operativo, há uma hipótese de usar shadow copy snapshots. Eles armazenam cópias dos seus ficheiros do ponto temporal em que o snapshot de restauro foi criado. Normalmente, o Mahasaraswati ransomware tenta apagar todos os Shadow Volume Copies, por isso este método pode não funcionar em todos os computadores. Contudo, pode falhar em fazê-lo.

As Shadow Volume Copies estão apenas disponíveis com o Windows XP Service Pack 2, Windows Vista, Windows 7, e Windows 8. Há duas maneiras de recuperar os seus ficheiros usando a Shadow Volume Copy. Pode fazê-lo usando a nativa Windows Previous Versions ou através do Shadow Explorer.

a) Windows Previous Versions Nativa

Clique com o botão direito do rato num ficheiro encriptado e selecione a aba Propriedades>Versões anteriores. Agora irá ver todas as cópias disponíveis desse ficheiro particular e a altura em que foi armazenada numa Shadow Volume Copy. Escolha a versão do ficheiro que quer recuperar e clique em Copiar se a quiser gravar nalgum diretório seu, ou Restaurar se quiser substituir o ficheiro existente e encriptado. Se quiser ver o conteúdo do ficheiro primeiro, clique apenas em Abrir.

b) Shadow Explorer

É um programa que pode ser encontrado online gratuitamente. Pode descarregar uma versão completa ou uma versão portátil do Shadow Explorer. Abra o programa. No canto superior esquerdo selecione o disco onde o ficheiro que procura está armazenado. Irá ver todos os ficheiros nesse disco. Para recuperar uma pasta inteira, clique com o botão direito do rato nela e selecione “Exportar”. Depois escolha onde quer que seja armazenada.

Nota: em muitos casos é impossível restaurar ficheiros de dados afetados por ransomwares modernos. Por isso recomendo utilizar um software de backup em rede como precaução. Recomendamos verificar o Carbonite, BlackBlaze, CrashPlan ou Mozy Home.

Ferramentas de Malware remoção automática