Vírus Bad Rabbit - Como remover

O vírus ransomware Bad Rabbit não anda a brincar e uma enorme infeção global foi detetada a 24 de Outubro, 2017. A situação parece-se fortemente com crises de infeções WannaCry e NotPetya. O Bad Rabbit não é inteiramente uma ameaça ransomware uma vez que é considerado que contém traços de uma versão nova e melhorada do Petya. Como já pode saber, foi determinado que o NotPetya é um codificador de disco ou por outras palavras um viper. O malware Bad Rabbit chega aos sistemas operativos como um ficheiro install_flash_player.exe. Também coloca ficheiros infpub.dat, rundll32.exe no disco C.

Os principais sintomas do ransomware Bad Rabbit, referências ao Game of Thrones e encriptação de ficheiros AES

O ransomware conseguiu infiltrar-se em computadores, pertencendo a utilizadores da Europa de Leste. Isto, mais uma vez, inclui a Ucrânia, juntamente com regiões da Rússia, Bulgária, Polónia, Estados Unidos, Coreia do Sul e Turquia. As organizações e empresas de negócios têm de se focar na segurança cibernética neste momento porque o ataque massivo do vírus Bad Rabbit pode começar a espalhar-se de forma ainda mais intensiva. O Ministério Ucraniano da Infraestrutura, o sistema do metropolitano e o aeroporto de Odessa já se tornaram vítimas desta infeção. Algumas empresas da Rússia também reportaram situações muito críticas dos seus serviços devido ao malware Bad Rabbit (New ransomware attack hits Russia and spreads around globe).

A ameaça Bad Rabbit opta não só agir como um codificador de disco, mas também encriptar ficheiros nos dispositivos das vítimas. Parece que o algoritmo AES está selecionado para este processo de codificação de ficheiros. Para tornar isto mais complicado, a chave de desencriptação gerada é codificada adicionalmente com uma cifra RSA-2048, que é uma estratégia popular entre infeções ransomware (Bad Rabbit Ransomware Strikes Russia and Ukraine).

Pode ficar surpreendido em saber que a infeção não anexa a extensão aos executáveis danificados. Em vez disso, ele irá adicionar um marcador de ficheiro no nome de cada ficheiro danificado. Um outro aspeto muito importante deste ransomware é que ele será capaz de obter a capacidade de se ligar a uma rede remotamente partilhada. Isto significa que a infeção poderia ser transmitida de um dispositivo para outro. Originalmente, é esperado que o surto tenha ocorrido a partir de um website russo argumentiru.com. Se se lembrar, no caso do NotPetya, a infeção foi transmitida a partir dos servidores M.E.Doc.

Acredita-se que o cripto-vírus tenha sido gerado por fans obcecados com a série Game of Thrones. Durante a informação técnica do ransomware, os investigadores encontraram referências à popular série de TV, por exemplo, um trio de tarefas agendadas têm o nome dos famosos dragões Viserion, Rhaegal e Drogon.

O vírus Bad Rabbit é entregue através de um método de transferência de passagem, mais especificamente, falsas atualizações do Adobe Flash Player. Alguns domínios frequentemente visitados na web foram pirateados para que os criminosos cibernéticos fossem capazes de infetar JavaScripts maliciosos no seu corpo HTML ou no seu ficheiro .js (Bad Rabbit: Not-Petya is back with improved ransomware). Por isso, uma vez que o utilizador visita um domínio comprometido, irá ser-lhe oferecida a possibilidade de instalar uma atualização do Flash Player. Após um visitante concordar com a configuração de uma atualização, um ficheiro do Ldnscontrol.com parece ser na verdade um Win32/FileCoder.D.

O codificador de disco também rouba a informação das vítimas ao tentar agir como um spyware. Uma vez que configure tudo aquilo de que necessita, juntamente com as modificações ao Master Boot Record (MBR), os computadores das vítimas irão ser prevenidos de abrir completamente. Contudo, é debatível se as mesmas pessoas estão por trás do malware Bad Rabbit. Ainda que tenham semelhanças, há também muitas diferenças, e apenas 13% dos códigos NotPetya são reutilizados.

Este pesadelo malware Bad Rabbit recentemente detetado também requerem que os utilizadores entrem num website através do TOR. O domínio Caforssztxqzf2nm.onion irá apresentar uma mensagem de texto, insistindo que as vítimas seriam forçadas a introduzir a sua chave pessoal na caixa abaixo. Assim, se a chave for reconhecida, as vítimas são apresentadas a explicações mais detalhadas sobre a forma através da qual o resgate tem de ser enviado. 0.05 BTC é tipicamente o resgate exigido, o que é aproximadamente 274.87 USD. Contudo, esta soma não é o resgate final: após 40 horas da recusa das vítimas em pagar, esta taxa irá aumentar. Ainda assim, encorajamo-lo a NÃO pagar!

Técnicas de distribuição que o vírus Bad Rabbit explora

Já indicámos que a infeção se espalha através de falsas atualizações do Adobe Flash Player. Elas são apresentadas através de websites legítimos que foram comprometidos por JavaScripts maliciosos. Se um domínio aleatório o encorajar a instalar uma atualização, por favor recuse esta proposta uma vez que pode tornar-se vítima de infeções tão assustadoras como o ransomware Bad Rabbit. Além disso, é possível que o vírus comece a espalhar-se de um computador para outro.

É possível recuperar os ficheiros que o cripto-malware Bad Rabbit danificado?

É demasiado cedo para falar de possíveis ferramentas de desencriptação para a informação digital arruinada. Antes de mais, investigadores começaram uma análise minuciosa e descobriram se esta é uma possibilidade ou não. Aceite o nosso conselho e armazene todos os seus ficheiros que se arrependeria de perder. Se tiver os seus ficheiros em múltiplas localizações, o ransomware não deve ser problema.

Sobre a remoção, as pessoas têm de ter cuidado. Mesmo que o servidor do atacante já não esteja ativo, a infeção pode iniciar outra ronda de distribuição. Lembre-se, para se manter seguro terá de ter um anti-malware instalado no seu sistema operativo. Isto inclui aplicações software como Reimage.

Foi descoberta uma vacina!

Amit Serper anunciou uma vacina para este vírus cibernético aterrorizante. Siga estes passos para estar seguro contra um vírus ransomware Bad Rabbit:

1. Crie ficheiros infpub.dat e cscc.dat em C:\Windows.
2. Depois, remova todas as permissões (herança).
3. Deve estar Seguro desta infeção.

Como remover Vírus Bad Rabbit usando o System Restore?

1. Reinicie o seu computador no Modo de Segurança com Janela de Comandos

para Windows 7 / Vista/ XP

• Iniciar → Encerrar → Reiniciar → OK.
• Pressione a tecla F8 repetidamente até a janela de Oções de Arranque Avançadas aparecer.
• Escolha o Modo de Segurança com Janela de Comandos.

para o Windows 8 / 10

• Pressione o botão de Arranque na janela de login do Windows. Depois pressione e segure a tecla Shift e clique em Reiniciar.
• Escolha Resolução de Problemas → Opções Avançadas → Definições de Arranque e clique em Reiniciar.
• Quando carregar, selecione Habilitar Modo de Segurança com Janela de Comandos a partir das definições de Arranque.

Restaurar os ficheiros e definições de Sistema.

• Quando o modo de Janela de Comando carregar, introduza o cd de restauro e pressione Enter.
• Depois digite rstrui.exe e pressione Enter novamente.
• Clique em “Próximo” na janela que apareceu..
• Selecione um dos Pontos de Restauro que estão disponíveis antes do {parasite_name] se ter infiltrado no seu sistema e depois clique em “Próximo”.
• Para arrancar com o sistema clique em “Sim”.

2. Remoção complete do Vírus Bad Rabbit

Depois de restaurar o seu sistema, é recomendado que examine o seu computador com um programa anti-malware, como Spyhunter e remova todos os ficheiros maliciosos relacionados com Vírus Bad Rabbit.

3. Restaure os ficheiros afetados pelo Vírus Bad Rabbit usando Shadow Volume Copies

Se não usa a opção de Restauro de Sistema no seu sistema operativo, há uma hipótese de usar shadow copy snapshots. Eles armazenam cópias dos seus ficheiros do ponto temporal em que o snapshot de restauro foi criado. Normalmente, o Vírus Bad Rabbit tenta apagar todos os Shadow Volume Copies, por isso este método pode não funcionar em todos os computadores. Contudo, pode falhar em fazê-lo.

As Shadow Volume Copies estão apenas disponíveis com o Windows XP Service Pack 2, Windows Vista, Windows 7, e Windows 8. Há duas maneiras de recuperar os seus ficheiros usando a Shadow Volume Copy. Pode fazê-lo usando a nativa Windows Previous Versions ou através do Shadow Explorer.

a) Windows Previous Versions Nativa

Clique com o botão direito do rato num ficheiro encriptado e selecione a aba Propriedades>Versões anteriores. Agora irá ver todas as cópias disponíveis desse ficheiro particular e a altura em que foi armazenada numa Shadow Volume Copy. Escolha a versão do ficheiro que quer recuperar e clique em Copiar se a quiser gravar nalgum diretório seu, ou Restaurar se quiser substituir o ficheiro existente e encriptado. Se quiser ver o conteúdo do ficheiro primeiro, clique apenas em Abrir.

b) Shadow Explorer

É um programa que pode ser encontrado online gratuitamente. Pode descarregar uma versão completa ou uma versão portátil do Shadow Explorer. Abra o programa. No canto superior esquerdo selecione o disco onde o ficheiro que procura está armazenado. Irá ver todos os ficheiros nesse disco. Para recuperar uma pasta inteira, clique com o botão direito do rato nela e selecione “Exportar”. Depois escolha onde quer que seja armazenada.

Nota: em muitos casos é impossível restaurar ficheiros de dados afetados por ransomwares modernos. Por isso recomendo utilizar um software de backup em rede como precaução. Recomendamos verificar o Carbonite, BlackBlaze, CrashPlan ou Mozy Home.

Ferramentas de Malware remoção automática