Ransomware Kripto64 - Como remover?

 

Kripto64 é um criptovírus Turco recente que explica as suas exigências nesta língua. Uma vez que mais de 70 milhões de pessoas a compreendem ou vêem como a sua língua materna, o ransomware não deve ter dificuldades em encontrar vítimas para afetar. Pesquisadores atribuíram esta amostra ao grupo de projetos HiddenTear. Isto significa que o Kripto64 é um vírus de código aberto: algumas vezes, este tipo de infeção é menos complexa e a missão dos criadores de desencriptadores de ficheiros torna-se alcançável. O Kripto64 é seletivo no que toca aos sistemas operativos que escolhe invadir: principalmente dispositivos, correndo Windows de 64 bits. De momento, não há muita informação sobre esta variante, apenas se sabe que visa a parte da comunidade da Internet que fala Turco e mostra um bloqueador de ecrã com ameaças e instruções. Requer 500 LT (Lira Turca) que é, se convertido para Dólares Americanos, 134.69.

Ransomware Kripto64: principais aspetos a considerar

A carga do vírus Kripto64 foi processada por uma série de ferramentas de segurança. Algumas delas detetaram que esta infeção é uma variante de Ransom:MSIL/Ryzerlo. Estes também são baseados em códigos abertos HiddenTear. Esta teoria ainda não está confirmada uma vez que o ransomware requer mais testes. Contudo, se isto for verdade, então o vírus deve visar encriptar ficheiros a partir do caminho de ficheiros UserProfile Desktop. A carga que foi analisada tinha o nome a11edd5e5ad59ecfe98158727a951cf2.virus, mas o nome original do ficheiros é Kripto.exe. A infeção é referida desta forma, com Kripto com a adição de 64, significando que irá visar sistemas operativos Windows de 64 bits.

Contudo, enquanto lemos as instruções que o vírus Kripto64 indica na sua nota de resgate, não podemos deixar de pensar que esta variante está por terminar. Pode haver um ficheiro .text com instruções adicionais porque o bloqueador de ecrã não inclui informação, necessária a fazer uma transação de 500 LT. Também não possui um endereço de e-mail que possa ser usado para contactar com os piratas informáticos por trás deste cripto-vírus. Assim, com a informação fornecida, nem sequer é possível para as vítimas pagarem o resgate e salvarem os seus ficheiros.

Para piorar a situação, este ransomware ameaça perturbar os dispositivos afetados ainda mais e apagar a chave privada para desencriptação. Quando é que uma ação tão drástica terá lugar? As vítimas terão um prazo específico para fazer uma transação que difere de acordo com a data de infeção. Se os seus ficheiros se tornaram corrompidos e o ecrã está bloqueado com uma mensagem do vírus Kripto64, tem de agir rapidamente antes que o ransomware apague permanentemente os ficheiros.

O que deve fazer? Para fugir ao bloqueador de ecrã, é aconselhado a reiniciar o computador e a correr o modo de segurança. Depois, deve copiar todos os ficheiros que o Kripto64 influenciou com a encriptação e carrega-los para uma localização alternativa. Depois, proceda à eliminação deste ransomware. A decisão ótima seria executar um exame de segurança detalhado com uma ferramenta anti-malware respeitável como Spyhunter, Malwarebytes ou Hitman. Remover manualmente o ransomware pode ser arriscado uma vez que pode danificar o seu sistema.

Sugestões para completar o processo de desencriptação de ficheiros

Por agora, os investigadores de segurança ainda não produziram uma ferramenta para completar o processo de desencriptação. A infeção de Kripto64 não é desencriptável neste momento. Contudo, se a situação mudar, iremos seguramente informá-lo. As boas notícias são que há maneiras alternativas de recuperar ficheiros. Por exemplo, pode tentar ferramentas de recuperação de ficheiros que foram criadas antes do Kripto64 ter sido lançado. Adicionalmente, deve verificar se esta variante Turca apaga as Shadow Volume Copies ou se as deixa. Contudo, se tiver armazenado os seus ficheiros numa unidade de armazenamento de segurança, pode simplesmente apagar a infeção e recuperar os ficheiros a partir da localização alternativa.

Ransomware Kripto64: como se espalha?

Esta variante Turca pode utilizar os truques mais conhecidos que os ransomware exploram para a sua divulgação. Um deles: campanhas de e-mail spam. É possível que a sua caixa de entrada de e-mail se possa tornar uma fonte de ransomware. Como? Bom, se abrir cartas da categoria Spam e descarregar os anexos contidos no interior. Adicionalmente, kits de exploração podem também ajudar a distribuir as cargas de criptovírus. Ao explorar websites bizarros, pode inadvertidamente tornar-se comprometido. Após um ransomware entrar, o seu modo dissimulado permite que se mantenha por detetar.

Como remover Ransomware Kripto64 usando o System Restore?

1. Reinicie o seu computador no Modo de Segurança com Janela de Comandos


para Windows 7 / Vista/ XP
  • Iniciar → Encerrar → Reiniciar → OK.
  • Pressione a tecla F8 repetidamente até a janela de Oções de Arranque Avançadas aparecer.
  • Escolha o Modo de Segurança com Janela de Comandos. Windows 7 enter safe mode

para o Windows 8 / 10
  • Pressione o botão de Arranque na janela de login do Windows. Depois pressione e segure a tecla Shift e clique em Reiniciar. Windows 8-10 restart to safe mode
  • Escolha Resolução de Problemas → Opções Avançadas → Definições de Arranque e clique em Reiniciar.
  • Quando carregar, selecione Habilitar Modo de Segurança com Janela de Comandos a partir das definições de Arranque. Windows 8-10 enter safe mode

Restaurar os ficheiros e definições de Sistema.
  • Quando o modo de Janela de Comando carregar, introduza o cd de restauro e pressione Enter.
  • Depois digite rstrui.exe e pressione Enter novamente. CMD commands
  • Clique em “Próximo” na janela que apareceu.. Restore point img1
  • Selecione um dos Pontos de Restauro que estão disponíveis antes do {parasite_name] se ter infiltrado no seu sistema e depois clique em “Próximo”.Restore point img2
  • Para arrancar com o sistema clique em “Sim”. Restore point img3

2. Remoção complete do Kripto64 ransomware

Depois de restaurar o seu sistema, é recomendado que examine o seu computador com um programa anti-malware, como Reimage, Spyhunter e remova todos os ficheiros maliciosos relacionados com Kripto64 virus.


3. Restaure os ficheiros afetados pelo Ransomware Kripto64 usando Shadow Volume Copies

Se não usa a opção de Restauro de Sistema no seu sistema operativo, há uma hipótese de usar shadow copy snapshots. Eles armazenam cópias dos seus ficheiros do ponto temporal em que o snapshot de restauro foi criado. Normalmente, o Kripto64 ransomware tenta apagar todos os Shadow Volume Copies, por isso este método pode não funcionar em todos os computadores. Contudo, pode falhar em fazê-lo.

As Shadow Volume Copies estão apenas disponíveis com o Windows XP Service Pack 2, Windows Vista, Windows 7, e Windows 8. Há duas maneiras de recuperar os seus ficheiros usando a Shadow Volume Copy. Pode fazê-lo usando a nativa Windows Previous Versions ou através do Shadow Explorer.

a) Windows Previous Versions Nativa

Clique com o botão direito do rato num ficheiro encriptado e selecione a aba Propriedades>Versões anteriores. Agora irá ver todas as cópias disponíveis desse ficheiro particular e a altura em que foi armazenada numa Shadow Volume Copy. Escolha a versão do ficheiro que quer recuperar e clique em Copiar se a quiser gravar nalgum diretório seu, ou Restaurar se quiser substituir o ficheiro existente e encriptado. Se quiser ver o conteúdo do ficheiro primeiro, clique apenas em Abrir.

Previous version
b) Shadow Explorer

É um programa que pode ser encontrado online gratuitamente. Pode descarregar uma versão completa ou uma versão portátil do Shadow Explorer. Abra o programa. No canto superior esquerdo selecione o disco onde o ficheiro que procura está armazenado. Irá ver todos os ficheiros nesse disco. Para recuperar uma pasta inteira, clique com o botão direito do rato nela e selecione “Exportar”. Depois escolha onde quer que seja armazenada.
Shadow explorer

Nota: em muitos casos é impossível restaurar ficheiros de dados afetados por ransomwares modernos. Por isso recomendo utilizar um software de backup em rede como precaução. Recomendamos verificar o Carbonite, BlackBlaze, CrashPlan ou Mozy Home.

Ferramentas para remoção automática de Ransomware Kripto64

 
  Baixar Reimage para Kripto64 ransomware detecçãoNota: julgamento Reimage fornece detecção de parasita como Kripto64 ransomware e auxilia na sua remoção de forma gratuita. Você pode remover os arquivos detectados, processos e entradas de registro você mesmo ou comprar uma versão completa.
  We might be affiliated with some of these programs. Full information is available in disclosure 

Capturas de tela Ransomware Kripto64

 
           
     

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *