Vírus ransomware Lukitus - Como remover

O vírus ransomware Lukitus é mais uma versão da infeção Locky: os seus criadores foram recentemente apanhados ocupados também com o malware Diablo6. A variante recente ameaça pessoas e perturba os seus sistemas operativos de uma forma muito análoga, mas anexa uma extensão única de .lukitus. O vírus Locky em rápida expansão, controlado pelos piratas informáticos mais espertos, recebeu aproximadamente 7 milhões de dólares em receitas (Ransomware victims have paid). Após regressar com a versão Diablo6, agora coloca pressão nos navegadores online ao visá-los com anexos .rar malignos nas mensagens de e-mail.

A chegada da extensão Lukitus desencadeou definitivamente uma reação quente por parte de muitos especialistas e portais de segurança (Locky is on the rise). O cripto-vírus merece certamente atenção uma vez que a sua natureza agressiva está a ameaçar basicamente qualquer navegador online. Foi determinado que o malspam transmite mensagens que convidam os utilizadores a dar uma vista de olhos a recibos de compras. Estas cartas normalmente contêm anexos .zip ou .rar que escondem ficheiros JS. Algumas fontes de cargas malignas foram determinadas: Angeldemon.com, Antibody Services.net, Ttytreffdrorseder.net, Asliozturk.com websites. Aviso: não tente entrar em nenhuma delas por razões de precaução.

Os objetivos maliciosos do cripto-malware Lukitus

O vírus informático Lukitus não tem fatores diferenciadores do ransomware Locky (Ransomware FAQ): eles estão ambos prontos a transformar os seus ficheiros em executáveis irreconhecíveis que já não terão presentes os seus nomes de ficheiro ou extensões originais. Um padrão específico é selecionado por criminosos cibernéticos para desfigurar ficheiros ao nível mais alto possível.

Enquanto seleciona nomes de ficheiro únicos e confusos para os ficheiros digitais codificados, o malware aplica automaticamente vários padrões: [first_8_hexadecimal_chars_of_id]-[next_4_hexadecimal_chars_of_id]-[next_4_hexadecimal_chars_of_id]-[4_hexadecimal_chars]-[12_hexadecimal_chars].lukitus. Se se esteve a manter a par da atividade do Locky, provavelmente já deve estar familiarizado com amostras como os ransomwares ODIN e Zepto.

Quando o cripto-vírus Lukitus completar o processo de encriptação, ele irá autodestruir a carga e mostrar várias notas de resgate para fornecer informação sobre as exigências que os piratas informáticos decidiram fazer. Os ficheiros Lukitus.bmp e lukitus.htm carregam texto, anunciando que um sistema operativo foi atacado e que ficheiros digitais do disco rígido foram codificados. A mensagem inclui um ID individual de identificação pessoal que será necessário quando se ligar ao website TOR com as orientações de pagamento. Uma associação entre o TOR e o ransomware já está estabelecida há bastante tempo (Relationship between TOR and ransomware).

De momento, o montante que os piratas informáticos estão a exigir é de 0.46 BTC o que se traduz em 1993.18 dólares americanos. Este resgate pode prejudicar gravemente as suas finanças e algumas pessoas podem nem ter os recursos para explorar com a finalidade de pagar um resgate. Esperamos que siga as recomendações dos investigadores de segurança e nunca pague taxas pela desencriptação de ficheiros (Before you pay that ransomware demand). O vírus informático Lukitus é definitivamente uma doença complicada, mas há uma pequena hipótese de recuperar a informação que ele arruinou.

Opções de desencriptação e eliminação de ransomware

Se foi suficientemente esperto para carregar os seus dados em unidades de armazenamento, não há quase qualquer dúvida de que os seus ficheiros estarão apropriadamente seguros. No caso de um cripto-malware atacar o seu sistema operativo, por favor tenha em atenção que localizações alternativas do seu ficheiro são quase sempre a única salvação. Ocasionalmente, as pessoas podem tentar recuperar as Shadow Volume Copies, mas isso nem sempre é possível devido ao facto de muitas infeções malware tratarem dessas cópias.

Se tiver armazenado um backup numa aplicação online ou pelo menos numa unidade de armazenamento USB, as hipóteses de recuperar os seus dados acabaram de disparar. Contudo, por favor trate deste processo cuidadosamente. Antes de implantar ficheiros num sistema operativo, está obrigado a eliminar o ransomware. Isto pode ser feito quer manualmente (seguindo as linhas de orientação abaixo) ou com a ajuda de software de segurança. Reimage irá tratar do seu sistema adequadamente e certificar-se de que acidentes semelhantes não acontecem de futuro.

Mantém-se uma questão: como é que o ransomware Lukitus entrou no seu dispositivo? Ao que parece, campanhas de spam maliciosas são selecionadas para transmitir esta variante. Mensagens de e-mail, contendo anexos maliciosos foram indicadas como sendo as principais fontes desta infeção. Por favor não abra anexos de remetentes desconhecidos nem explore websites que possam estar envolvidos na distribuição de malware.

Além disso, mantenha o seu protocolo de ambiente de trabalho remoto (RDP) apropriadamente seguro de atenção indesejada. Uma vez que algumas variantes de ransomware exploram estas estratégias para infiltração. Esperemos que, se for suficientemente cuidadoso, o seu sistema operativo possa evitar inconveniências como esta.

Atualização de 1 de Setembro, 2017. O ransomware Lukitus foi transmitido numa campanha gigantesca de cartas de spam. No total, piratas informáticos parecem ter enviado 23 milhões de mensagens, contendo cargas desta infeção.

Devemos discutir a última campanha massiva de spam que distribuiu o vírus ransomware Lukitus (Locky returns with Lukitus). Parece que cartas de e-mail, contendo hiperligações para malware fingindo ser originárias da Dropbox: uma aplicação online popular.

Conforme já estabelecemos, o ataque durou cerca de 24 horas e neste curto período de tempo foram enviadas um número impressionante de cartas malignas: 23 milhões (Locky returns via spam). Como pode já ter ouvido falar do velho Hoefler Text scam pop-up, foi descoberto que esta mensagem poderia trazer o Locky ou a sua nova versão, cripto-vírus Lukitus. Em adição a isto, algumas mensagens de voz também foram determinadas como sendo capazes de espalhar esta amostra de ransomware devastadora.

Deve lembrar-se que o Lukitus se espalha através de websites com aspeto oficial. Por exemplo, uma carta de spam, fingindo ser originária da DropBox, tentando carregar um website que se parece com a versão legítima. Clicar em hiperligações perigosas pode ter consequências severas. Uma delas é que estará a descarregar um ficheiro de ataque comprimido que pode conter ficheiros JavaScript embebidos.

Como remover Vírus ransomware Lukitus usando o System Restore?

1. Reinicie o seu computador no Modo de Segurança com Janela de Comandos

para Windows 7 / Vista/ XP

• Iniciar → Encerrar → Reiniciar → OK.
• Pressione a tecla F8 repetidamente até a janela de Oções de Arranque Avançadas aparecer.
• Escolha o Modo de Segurança com Janela de Comandos.

para o Windows 8 / 10

• Pressione o botão de Arranque na janela de login do Windows. Depois pressione e segure a tecla Shift e clique em Reiniciar.
• Escolha Resolução de Problemas → Opções Avançadas → Definições de Arranque e clique em Reiniciar.
• Quando carregar, selecione Habilitar Modo de Segurança com Janela de Comandos a partir das definições de Arranque.

Restaurar os ficheiros e definições de Sistema.

• Quando o modo de Janela de Comando carregar, introduza o cd de restauro e pressione Enter.
• Depois digite rstrui.exe e pressione Enter novamente.
• Clique em “Próximo” na janela que apareceu..
• Selecione um dos Pontos de Restauro que estão disponíveis antes do {parasite_name] se ter infiltrado no seu sistema e depois clique em “Próximo”.
• Para arrancar com o sistema clique em “Sim”.

2. Remoção complete do Vírus Lukitus

Depois de restaurar o seu sistema, é recomendado que examine o seu computador com um programa anti-malware, como Spyhunter e remova todos os ficheiros maliciosos relacionados com Vírus ransomware Lukitus.

3. Restaure os ficheiros afetados pelo Vírus Lukitus usando Shadow Volume Copies

Se não usa a opção de Restauro de Sistema no seu sistema operativo, há uma hipótese de usar shadow copy snapshots. Eles armazenam cópias dos seus ficheiros do ponto temporal em que o snapshot de restauro foi criado. Normalmente, o Vírus ransomware Lukitus tenta apagar todos os Shadow Volume Copies, por isso este método pode não funcionar em todos os computadores. Contudo, pode falhar em fazê-lo.

As Shadow Volume Copies estão apenas disponíveis com o Windows XP Service Pack 2, Windows Vista, Windows 7, e Windows 8. Há duas maneiras de recuperar os seus ficheiros usando a Shadow Volume Copy. Pode fazê-lo usando a nativa Windows Previous Versions ou através do Shadow Explorer.

a) Windows Previous Versions Nativa

Clique com o botão direito do rato num ficheiro encriptado e selecione a aba Propriedades>Versões anteriores. Agora irá ver todas as cópias disponíveis desse ficheiro particular e a altura em que foi armazenada numa Shadow Volume Copy. Escolha a versão do ficheiro que quer recuperar e clique em Copiar se a quiser gravar nalgum diretório seu, ou Restaurar se quiser substituir o ficheiro existente e encriptado. Se quiser ver o conteúdo do ficheiro primeiro, clique apenas em Abrir.

b) Shadow Explorer

É um programa que pode ser encontrado online gratuitamente. Pode descarregar uma versão completa ou uma versão portátil do Shadow Explorer. Abra o programa. No canto superior esquerdo selecione o disco onde o ficheiro que procura está armazenado. Irá ver todos os ficheiros nesse disco. Para recuperar uma pasta inteira, clique com o botão direito do rato nela e selecione “Exportar”. Depois escolha onde quer que seja armazenada.

Nota: em muitos casos é impossível restaurar ficheiros de dados afetados por ransomwares modernos. Por isso recomendo utilizar um software de backup em rede como precaução. Recomendamos verificar o Carbonite, BlackBlaze, CrashPlan ou Mozy Home.

Ferramentas de Malware remoção automática