Ransomware XData - Como remover?

 

O vírus ransomware XData foi detetado ontem, dia 18 de Maio. O XData é um ransomware, optando por funcionar como um Codificador de Ficheiros. De acordo com a análise da carga msdcom.exe, esta amostra ransomware em específico pode ser distribuída de acordo com o Trojan Heur uma vez que muitas ferramentas de segurança indicaram a sua potencial presença. O processo de encriptação que esta infeção inflige em ficheiros digitais é especificamente desempenhado com o algoritmo AES. Os pesquisadores parecem ter recebido relatórios de algumas dúzias de utilizadores, explicando que os seus ficheiros foram modificados para conter a extensão .xdata.

Características deste ransowmare

Na nota de resgate, as vítimas são instruídas a encontrar o ficheiro de chave do PC que deve conter a extensão “.key.~data~”. É indicado que deve estar colocada algures no disco C:, dependendo do sistema operativo. As vítimas individuais irão ser vistas de forma diferente de acordo com a distribuição de números de identificação únicos. Há provas suficientes de infeções que vieram antes desta que sugerem que as quantias do resgate irão diferir. A quantia pode ser definida de acordo com o número de documentos, fotos, material vídeo e outros tipos de ficheiros digitais que tenham sido encriptados.

Após isso, a informação codificada deixa de estar disponível para utilização uma vez que os utilizadores não serão capazes de as abrir. Não indicar o resgate exato em ficheiros .txt mas antes fornecê-lo através de transações por e-mail tornou-se um traço predominante para os criadores de ransomware. Várias contas de e-mail são deixadas no ficheiro HOW_CAN_I_DECRYPT_MY_FILES.txt: beqins@colocasia.org, bilbo@colocasia.org, frodo@colocasia.org, trevor@thwonderfulday.com, bob@thwonderfulday.com, bil@thwonderfulday.com.

A carga da infeção XData foi explicitamente identificada como sendo o ficheiro msdcom.exe. Investigadores de segurança indicam que este é um processo não solicitado e se está a correr no seu Gestor de Tarefas, deve aperceber-se da sua inutilidade. Previamente, este procedimento potencialmente nocivo foi incluído em sistemas operativos por um Word W32/SDBOT. Agora, este ficheiro foi selecionado para extrair executáveis adicionais e iniciar o processo principal: encriptação de ficheiros. Irá também cobrir outros procedimentos, como criar entradas adicionais nas Chaves de Registo Windows e ligar aos servidores C&C.

Não perca o seu tempo a contactar piratas informáticos através de endereços de e-mail. Os bandidos irão apenas elaborar sobre o resgate exato e em que carteira de bitcoin querem que vá ter. mesmo que cumpra as regras e lhes envie a quantia exigida, não se deve sentir confiante sobre a recuperação dos seus ficheiros.

Os autores de ransomware têm tendência a desaparecer após as suas contas serem enchidas de bitcoins. Isto significa que irá ter desperdiçado o seu dinheiro. Uma vez que não há limitações de tempo para pagar o resgate, terá todo o tempo do mundo para desencriptar os seus ficheiros sem receio de serem totalmente destruídos.

Como recuperar ficheiros?

Até ao momento, ainda não foi desenvolvido um desencriptador original, mas há sempre a hipótese de que seja libertado. Em vez de pagar pelo resgate, deve explorar opções adicionais. Por exemplo, as Shadow Volume Copies podem ter ficado intocadas e a sua restauração pode ainda ser possível. Adicionalmente, pode usar software que tenha sido criado para recuperar a informação após ter sido codificada. Ambas estas opções são discutidas em mais detalhe após o parágrafo sobre distribuição de ransomware.

Contudo, se tiver sido suficiente cuidadoso para armazenar os seus ficheiros em unidades de armazenamento externas, deve simplesmente remover a infeção e continuar com a recuperação de informação das unidades de armazenamento. Para se livrar de todos os registos de procedimentos maliciosos, é recomendado que utilize Reimage, Spyhunter ou Hitman para o processo de deteção e remoção do ransomware XData.

Potenciais métodos de transmissão de cargas maliciosas

Executáveis nocivos podem ser tornados disponíveis em cartas de correio eletrónico que recebe na sua caixa de entrada. Este tipo de menagens de spam normalmente finge ser originária de autoridades respeitáveis, quando na realidade, os seus criadores são piratas informáticos. Não descarregue ficheiros que estejam incluídos como anexos uma vez que é muito provável que iniciem vários tipos de procedimentos nocivos. Adicionalmente, ransomware pode chegar graças a websites vulneráveis, anúncios manchados. Partilha pessoa-a-pessoa também representa um papel significativo na distribuição de Trojans.

Atualização de 1 de Junho, 2017. Um fonte desconhecida publicou uma chave de desencriptação maestra de ficheiros que o XData danificou. Descarregue a ferramenta clicando aqui. Antes de começar de facto a recuperar os ficheiros, é aconselhado a terminar os processos maliciosos pertencentes a esta infeção ransomware. Isto pode ser feito manualmente, se abrir o seu gestor de transferências e terminar os seguintes processos: msdns.exe, mssql.exe, ou mscom.exe. Apenas então deve descarregar o desencriptador e seguir para os outros objetivos.

Como remover Ransomware XData usando o System Restore?

1. Reinicie o seu computador no Modo de Segurança com Janela de Comandos


para Windows 7 / Vista/ XP
  • Iniciar → Encerrar → Reiniciar → OK.
  • Pressione a tecla F8 repetidamente até a janela de Oções de Arranque Avançadas aparecer.
  • Escolha o Modo de Segurança com Janela de Comandos. Windows 7 enter safe mode

para o Windows 8 / 10
  • Pressione o botão de Arranque na janela de login do Windows. Depois pressione e segure a tecla Shift e clique em Reiniciar. Windows 8-10 restart to safe mode
  • Escolha Resolução de Problemas → Opções Avançadas → Definições de Arranque e clique em Reiniciar.
  • Quando carregar, selecione Habilitar Modo de Segurança com Janela de Comandos a partir das definições de Arranque. Windows 8-10 enter safe mode

Restaurar os ficheiros e definições de Sistema.
  • Quando o modo de Janela de Comando carregar, introduza o cd de restauro e pressione Enter.
  • Depois digite rstrui.exe e pressione Enter novamente. CMD commands
  • Clique em “Próximo” na janela que apareceu.. Restore point img1
  • Selecione um dos Pontos de Restauro que estão disponíveis antes do {parasite_name] se ter infiltrado no seu sistema e depois clique em “Próximo”.Restore point img2
  • Para arrancar com o sistema clique em “Sim”. Restore point img3

2. Remoção complete do XData ransomware

Depois de restaurar o seu sistema, é recomendado que examine o seu computador com um programa anti-malware, como Reimage, Spyhunter e remova todos os ficheiros maliciosos relacionados com XData virus.


3. Restaure os ficheiros afetados pelo Ransomware XData usando Shadow Volume Copies

Se não usa a opção de Restauro de Sistema no seu sistema operativo, há uma hipótese de usar shadow copy snapshots. Eles armazenam cópias dos seus ficheiros do ponto temporal em que o snapshot de restauro foi criado. Normalmente, o XData ransomware tenta apagar todos os Shadow Volume Copies, por isso este método pode não funcionar em todos os computadores. Contudo, pode falhar em fazê-lo.

As Shadow Volume Copies estão apenas disponíveis com o Windows XP Service Pack 2, Windows Vista, Windows 7, e Windows 8. Há duas maneiras de recuperar os seus ficheiros usando a Shadow Volume Copy. Pode fazê-lo usando a nativa Windows Previous Versions ou através do Shadow Explorer.

a) Windows Previous Versions Nativa

Clique com o botão direito do rato num ficheiro encriptado e selecione a aba Propriedades>Versões anteriores. Agora irá ver todas as cópias disponíveis desse ficheiro particular e a altura em que foi armazenada numa Shadow Volume Copy. Escolha a versão do ficheiro que quer recuperar e clique em Copiar se a quiser gravar nalgum diretório seu, ou Restaurar se quiser substituir o ficheiro existente e encriptado. Se quiser ver o conteúdo do ficheiro primeiro, clique apenas em Abrir.

Previous version
b) Shadow Explorer

É um programa que pode ser encontrado online gratuitamente. Pode descarregar uma versão completa ou uma versão portátil do Shadow Explorer. Abra o programa. No canto superior esquerdo selecione o disco onde o ficheiro que procura está armazenado. Irá ver todos os ficheiros nesse disco. Para recuperar uma pasta inteira, clique com o botão direito do rato nela e selecione “Exportar”. Depois escolha onde quer que seja armazenada.
Shadow explorer

Nota: em muitos casos é impossível restaurar ficheiros de dados afetados por ransomwares modernos. Por isso recomendo utilizar um software de backup em rede como precaução. Recomendamos verificar o Carbonite, BlackBlaze, CrashPlan ou Mozy Home.

Ferramentas para remoção automática de Ransomware XData

 
  Baixar Reimage para XData ransomware detecçãoNota: julgamento Reimage fornece detecção de parasita como XData ransomware e auxilia na sua remoção de forma gratuita. Você pode remover os arquivos detectados, processos e entradas de registro você mesmo ou comprar uma versão completa.
  We might be affiliated with some of these programs. Full information is available in disclosure 

Capturas de tela Ransomware XData

 
           
     

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *