Ransomware Diablo6 - Como remover?

 

Lembra-se do infame ransomware Locky? Bem, parece que esta infeção ressuscitou numa forma ligeiramente diferente e com um nome completamente diferente – por favor dê as boas vindas ao vírus ransomware Diablo6. Este vírus utiliza as mesmas criptografias do ransomware Locky – RSA-2048 e/ou AES-128. Estas são criptografias bastante fortes que conseguem bloquear completamente os seus ficheiros – pode ser uma verdadeira luta desencriptá-los mais tarde.

O ransomware é um dos tipos mais perigosos de vírus – eles atacam utilizadores de todo o mundo, encriptam a maioria dos ficheiros armazenados no computador e depois pedem que o resgate seja pago de forma a receber o desencriptador e recuperar esses ficheiros bloqueados. É sempre melhor ouvir o relato da experiência da própria vítima. O utilizador 1dunn00 descreveu a sua experiência com este ransomware numa publicação no Reddit:


Diablo-virus-remove

Olá, creio que tenho um vírus no meu computador. Ele alterou a imagem de fundo e deixou vários ficheiros. O nome de todos os meus ficheiros foi alterado, como:

DB2B3823-2F3823932-3292.diablo6

e quando clico com o botão direito do rato e seleciono propriedades, diz Ficheiro Diablo6. Para que fique registado, eu não jogo o jogo Diablo.. parece um vírus. Quando abro o ficheiro readme, tenho uma página que diz “Locky Decryptor” e está com cor castanha. A página pede-me para pagar 0.5 BTC para recuperar os meus ficheiros. Ajuda, por favor

É uma descrição real de um ataque do ransomware Diablo6 (1).

Processos do vírus Diablo6

Antigamente, o ransowmare Locky era considerado um dos mais mortíferos e espalhados vírus ransomware. Agora está de volta numa nova forma e como confirmado pelo investigador de segurança cibernética Racco42 (2), agora vem sob o nome de ransomware Diablo6 e é principalmente distribuído através de e-mails de spam. Caso esteja interessado, pode também dar uma vista de olhos aos ficheiros desta infeção no Pastebin (3).

Por isso é claro que esta infeção vem como um anexo em e-mails de categoria spam. Tudo o que precisa de fazer é abrir esse anexo e todos os ficheiros serão automaticamente colocados no seu computador, e os processos maliciosos serão iniciados. Em primeiro lugar, o vírus Diablo6 irá executar um exame do seu sistema e detetar ficheiros que podem ser encriptados. Basicamente, todos os tipos de ficheiros mais comuns estão incluídos nesta categoria. Lista completa:

.sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt

Após a encriptação, a extensão .diablo6 será adicionada a cada um dos seus ficheiros e eles serão encriptados com criptografia RSA-2048 ou AES-128. A partir de agora, não será capaz de abrir esses ficheiros. Imediatamente após isso, irá reparar em 3 novos ficheiros colocados no seu ambiente de trabalho – Diablo6.html, Diablo6.[número de 4 dígitos].html, Diablo6.bmp . O fundo do seu ambiente de trabalho irá também ser alterado automaticamente.

Esta é a mensagem original mostrada pelo ransomware Diablo6, também conhecida como a nota de resgate:

INFORMAÇÃO IMPORTANTE !!!!

Todos os seus ficheiros estão encriptados com cifras RSA-2048 e AES-128.

Mais informações sobre RSA e AES podem ser encontradas aqui:

hxxps://en.wikipedia.org/wiki/RSA_(cryptosystem)

hxxps://en.wikipedia.org/wiki/Advanced_Encryption_Standard

Desencriptar os seus ficheiros é apenas possível com a chave privada e programa de desencriptação, que está no nosso servidor secreto.

Para receber a sua chave privada siga uma destas hiperligações:

Se nenhum estes endereços estiverem disponíveis, siga estes passos:

  1. Descarregue e instale o Tor Browser: hxxps://www.torproject.org/download/download-easy.html
  2. Após uma instalação com sucesso, execute o navegador e aguarde a inicialização.
  3. Digite na barra de endereços:
  4. Siga as instruções no site.

!!! O seu ID de identificação pessoal:

Como pod ever, a vítima é informada de que os ficheiros foram encriptados e que para resolver este problema, o Desencriptador Locky tem de ser comprador. Na altura, custa metade de uma bitcoin, o que se converte em cerca de mil e seiscentos dólares. Pode ser comprada na deep web, utilizando o navegador web TOR ou visitando hiperligações promovidas na nota de resgate.

Infelizmente, não há maneira de desencriptar a encriptação Locky gratuitamente, e o mesmo é válido para o Diablo6. A única esperança nesta situação é ou utilizar as Shadow Volume Copies ou os armazenamentos de sistema para restaurar o seu computador ao estado antecedente ao vírus. Também é uma boa ideia obter uma proteção em tempo real que negue malware que esteja a tentar entrar no seu computador. Recomendamos que utilize Reimage ou qualquer outra ferramenta reputada à sua escolha que disponibilize proteção em tempo real.

Como remover Ransomware Diablo6 usando o System Restore?

1. Reinicie o seu computador no Modo de Segurança com Janela de Comandos


para Windows 7 / Vista/ XP
  • Iniciar → Encerrar → Reiniciar → OK.
  • Pressione a tecla F8 repetidamente até a janela de Oções de Arranque Avançadas aparecer.
  • Escolha o Modo de Segurança com Janela de Comandos. Windows 7 enter safe mode

para o Windows 8 / 10
  • Pressione o botão de Arranque na janela de login do Windows. Depois pressione e segure a tecla Shift e clique em Reiniciar. Windows 8-10 restart to safe mode
  • Escolha Resolução de Problemas → Opções Avançadas → Definições de Arranque e clique em Reiniciar.
  • Quando carregar, selecione Habilitar Modo de Segurança com Janela de Comandos a partir das definições de Arranque. Windows 8-10 enter safe mode

Restaurar os ficheiros e definições de Sistema.
  • Quando o modo de Janela de Comando carregar, introduza o cd de restauro e pressione Enter.
  • Depois digite rstrui.exe e pressione Enter novamente. CMD commands
  • Clique em “Próximo” na janela que apareceu.. Restore point img1
  • Selecione um dos Pontos de Restauro que estão disponíveis antes do {parasite_name] se ter infiltrado no seu sistema e depois clique em “Próximo”.Restore point img2
  • Para arrancar com o sistema clique em “Sim”. Restore point img3

2. Remoção complete do Virus Diablo6

Depois de restaurar o seu sistema, é recomendado que examine o seu computador com um programa anti-malware, como Reimage, Spyhunter e remova todos os ficheiros maliciosos relacionados com Diablo Virus.


3. Restaure os ficheiros afetados pelo Locky usando Shadow Volume Copies

Se não usa a opção de Restauro de Sistema no seu sistema operativo, há uma hipótese de usar shadow copy snapshots. Eles armazenam cópias dos seus ficheiros do ponto temporal em que o snapshot de restauro foi criado. Normalmente, o Ransomware Diablo6 tenta apagar todos os Shadow Volume Copies, por isso este método pode não funcionar em todos os computadores. Contudo, pode falhar em fazê-lo.

As Shadow Volume Copies estão apenas disponíveis com o Windows XP Service Pack 2, Windows Vista, Windows 7, e Windows 8. Há duas maneiras de recuperar os seus ficheiros usando a Shadow Volume Copy. Pode fazê-lo usando a nativa Windows Previous Versions ou através do Shadow Explorer.

a) Windows Previous Versions Nativa

Clique com o botão direito do rato num ficheiro encriptado e selecione a aba Propriedades>Versões anteriores. Agora irá ver todas as cópias disponíveis desse ficheiro particular e a altura em que foi armazenada numa Shadow Volume Copy. Escolha a versão do ficheiro que quer recuperar e clique em Copiar se a quiser gravar nalgum diretório seu, ou Restaurar se quiser substituir o ficheiro existente e encriptado. Se quiser ver o conteúdo do ficheiro primeiro, clique apenas em Abrir.

Previous version
b) Shadow Explorer

É um programa que pode ser encontrado online gratuitamente. Pode descarregar uma versão completa ou uma versão portátil do Shadow Explorer. Abra o programa. No canto superior esquerdo selecione o disco onde o ficheiro que procura está armazenado. Irá ver todos os ficheiros nesse disco. Para recuperar uma pasta inteira, clique com o botão direito do rato nela e selecione “Exportar”. Depois escolha onde quer que seja armazenada.
Shadow explorer

Nota: em muitos casos é impossível restaurar ficheiros de dados afetados por ransomwares modernos. Por isso recomendo utilizar um software de backup em rede como precaução. Recomendamos verificar o Carbonite, BlackBlaze, CrashPlan ou Mozy Home.

Ferramentas para remoção automática de Ransomware Diablo6

 
  Baixar Reimage para Virus Diablo6 detecçãoNota: julgamento Reimage fornece detecção de parasita como Virus Diablo6 e auxilia na sua remoção de forma gratuita. Você pode remover os arquivos detectados, processos e entradas de registro você mesmo ou comprar uma versão completa.
  We might be affiliated with some of these programs. Full information is available in disclosure

Remoção manual Ransomware Diablo6

 
Processos:
arquivos:
Extensions:
           
     

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *