Vírus ransomware RedBoot - Como remover

O vírus ransomware RedBoot foi inicialmente detetado há uns anos atrás. Nessa altura, os especialistas de segurança não lhe prestaram muita atenção uma vez que a amostra encontrada tinha uma codificação fraca e acabou por ser colocada na categoria de ransomware inacabado. Esta ameaça em desenvolvimento reapareceu a 23 de Setembro (2017) e apresenta semelhanças aos NotPetya e Spora. O ransomware RedBoot foi preparado em ambiente AutoIT e anexa a extensão .locked a todos os dados arruinados.

O vírus RedBoot age como um ransomware e um limpador

Os sectores de arranque (MBR, também conhecido como registo de arranque mestre) podem ser influenciados sem quaisquer possibilidades de reduzir os danos. Os investigadores de segurança categorizam o vírus RedBoot entre uma cripto-infeção e um limpador que foi o termo utilizado para descrever o NotPetya (Is RedBoot a wiper?). Contudo, piratas informáticos podem ter cometido um erro enquanto preparavam esta infeção e o dano irreversível pode ser apenas um mal-entendido.

Pouco após o malware RedBoot ter possibilidade de estar ativo, ele irá implantar cinco ficheiros nos sistemas operativos infetados. Executáveis chamados boot.asm, assembler.exe, main.exe e overwrite.exe são todos colocados em pastas aleatórias. Antes de mais, estes ficheiros terão de influenciar o registo de arranque mestre (What is MBR?) e substituí-lo com um ficheiro nocivo boot.bin.

Assim, seguir-se-á a encriptação de ficheiros, levando ao facto de algumas aplicações e processos deixarem de ser executáveis. A extensão .locked irá ser anexada a todo o tipo de ficheiros, daqueles que são parte do SO às fotos, vídeos e tudo o mais do utilizador. Esta mesma extensão não é incomum: variantes dos ApolloLocker e BitPaymer já foram assinaladas como deixando a mesma extensão na informação que codifica.

Após o cripto-vírus utilizar encriptação para danificar ficheiros, a infeção irá automaticamente reiniciar o sistema operativo. Contudo, ele não irá arrancar normalmente e em vez de apresentar o ambiente de trabalho da vítima, irá mostrar uma curta nota de resgate (Screen locked by ransomware). Ele irá incentivar os utilizadores a enviarem mensagens de correio eletrónico para [email protected]. Irá ser exigido às vítimas que incluam números identificação específicos nas mensagens de e-mail enviadas. A soma exata de bitcoins exigida não é conhecida, mas presumimos que esta criptomoeda seja exigida para a desencriptação de ficheiros. Contudo, os piratas informáticos podem ser incapazes de ajudar as suas vítimas.

Remoção, prevenção e desencriptação de ransomware

O facto deste vírus RedBoot não danificar apenas ficheiros mas também o MBR não é uma boa notícia. Se isto foi intencional, a única maneira presumível de desencriptar ficheiros pode ser pagar o resgate exigido. Contudo, se os piratas informáticos forem simplesmente desleixados e tiverem cometido este erro acidentalmente, então o sistema operativo influenciado pode não ter forma de receber ajuda. Claro, temos de esperar por análises mais elaboradas e aguardar resultados. Por favor sejam extremamente cautelosos e tentem evitar esta infeção assustadora.

As vítimas da infeção RedBoot poderiam ter muito poucas hipóteses de recuperar informação com ferramentas universais. Além disso, os investigadores de segurança podem também não ser capazes de as ajudar. No entanto, pode ajudar-se a si mesmo. Armazene a sua informação digital em unidades de armazenamento ou pelo menos coloque-as em unidades USB (Benefits of data backup). Se qualquer tipo de infeção influenciar a informação nos seus discos rígidos, não terá nada com que se preocupar. Se todos os navegadores fizessem armazenamento externo da sua informação, a indústria de ransomware iria morrer uma vez que ninguém pagaria os resgates. Contudo, uma vez que as pessoas se recusam a assegurar a sua informação, os cripto-vírus irão ter sucesso.

Contudo, o facto de estarem a ser produzidas infeções ransomware cada vez mais sofisticadas e elaboradas é inegável. Algumas variantes influenciam sistemas operativos ao ponto de deixarem de ser funcionais. Ataques globais mais frequentes também não sugerem nada de positivo. A atividade de infeções ransomware apenas tem aumentado em 2017.

As infeções de ransomware podem infiltrar-se graças a RDP com fraca proteção. Por isso, os utilizadores deve prestar atenção à forma como estão assegurados. Adicionalmente, não interaja com pop-ups ou websites aleatórios. As contas de correio eletrónico dos utilizadores também pode ser cheia de anexos suspeitos. Por favor não descarregue ficheiros de cartas que tiveram origem em fontes suspeitas.

Como remover Vírus ransomware RedBoot usando o System Restore?

1. Reinicie o seu computador no Modo de Segurança com Janela de Comandos

para Windows 7 / Vista/ XP

• Iniciar → Encerrar → Reiniciar → OK.
• Pressione a tecla F8 repetidamente até a janela de Oções de Arranque Avançadas aparecer.
• Escolha o Modo de Segurança com Janela de Comandos.

para o Windows 8 / 10

• Pressione o botão de Arranque na janela de login do Windows. Depois pressione e segure a tecla Shift e clique em Reiniciar.
• Escolha Resolução de Problemas → Opções Avançadas → Definições de Arranque e clique em Reiniciar.
• Quando carregar, selecione Habilitar Modo de Segurança com Janela de Comandos a partir das definições de Arranque.

Restaurar os ficheiros e definições de Sistema.

• Quando o modo de Janela de Comando carregar, introduza o cd de restauro e pressione Enter.
• Depois digite rstrui.exe e pressione Enter novamente.
• Clique em “Próximo” na janela que apareceu..
• Selecione um dos Pontos de Restauro que estão disponíveis antes do {parasite_name] se ter infiltrado no seu sistema e depois clique em “Próximo”.
• Para arrancar com o sistema clique em “Sim”.

2. Remoção complete do Vírus RedBoot

Depois de restaurar o seu sistema, é recomendado que examine o seu computador com um programa anti-malware, como Spyhunter e remova todos os ficheiros maliciosos relacionados com Vírus ransomware RedBoot.

3. Restaure os ficheiros afetados pelo Vírus RedBoot usando Shadow Volume Copies

Se não usa a opção de Restauro de Sistema no seu sistema operativo, há uma hipótese de usar shadow copy snapshots. Eles armazenam cópias dos seus ficheiros do ponto temporal em que o snapshot de restauro foi criado. Normalmente, o Vírus ransomware RedBoot tenta apagar todos os Shadow Volume Copies, por isso este método pode não funcionar em todos os computadores. Contudo, pode falhar em fazê-lo.

As Shadow Volume Copies estão apenas disponíveis com o Windows XP Service Pack 2, Windows Vista, Windows 7, e Windows 8. Há duas maneiras de recuperar os seus ficheiros usando a Shadow Volume Copy. Pode fazê-lo usando a nativa Windows Previous Versions ou através do Shadow Explorer.

a) Windows Previous Versions Nativa

Clique com o botão direito do rato num ficheiro encriptado e selecione a aba Propriedades>Versões anteriores. Agora irá ver todas as cópias disponíveis desse ficheiro particular e a altura em que foi armazenada numa Shadow Volume Copy. Escolha a versão do ficheiro que quer recuperar e clique em Copiar se a quiser gravar nalgum diretório seu, ou Restaurar se quiser substituir o ficheiro existente e encriptado. Se quiser ver o conteúdo do ficheiro primeiro, clique apenas em Abrir.

b) Shadow Explorer

É um programa que pode ser encontrado online gratuitamente. Pode descarregar uma versão completa ou uma versão portátil do Shadow Explorer. Abra o programa. No canto superior esquerdo selecione o disco onde o ficheiro que procura está armazenado. Irá ver todos os ficheiros nesse disco. Para recuperar uma pasta inteira, clique com o botão direito do rato nela e selecione “Exportar”. Depois escolha onde quer que seja armazenada.

Nota: em muitos casos é impossível restaurar ficheiros de dados afetados por ransomwares modernos. Por isso recomendo utilizar um software de backup em rede como precaução. Recomendamos verificar o Carbonite, BlackBlaze, CrashPlan ou Mozy Home.

Ferramentas de Malware remoção automática