Remoção de vírus Crypt0L0cker

Este artigo debruça-se sobre uma das campanhas de extorsão que há mais tempo existe. Conhecida originalmente como TorrentLocker, o ransomware atualmente ativo chama-se Crypt0L0cker e tem estado em atividade desde o final de Abril de 2015. Os seus autores têm conseguido sair ilesos com este esquema pernicioso já que pavimentaram o seu caminho com base na criptomoeda Bitcoin, bastante complicada de detetar, e com a tecnologia The Onion Router.

O que é o Crypt0L0cker?

O Crypt0L0cker é um Trojan de pedido de resgaste que se propaga através do spam, encripta todos os dados importantes presentes num computador e exige Bitcoins para sua decriptação. Ao longo da sua evolução, esta infeção sofreu vários retoques. Cada uma das versões anteriores acrescentava aos ficheiros das vitimas uma extensão específica, incluindo as .enc e .encrypted. Ao contrário das suas antecessoras, a edição que está atualmente em uso emprega alguma aleatoriedade na forma como rotula as entradas de dados. Concatena uma extensão aleatória de 6 carateres a cada ficheiro codificado. Por exemplo, uma fotografia com o nome de Pic.bmp irá transformar-se em algo como Pic.bmp.avncxo. Claro que todas e quaisquer tentativas de abrir o ficheiro mutilado culminará num erro.

HOW_TO_RESTORE_FILES.html

Apesar de o novo formato (Crypt0l0cker 2017) de extensão fornecer uma pista para a identificação da estirpe, o Crypt0L0cker exibe mais caraterísticas que não deixam margem para dúvidas em relação àquilo com que estamos especificamente a lidar. Ele deixa notas aleatórias, que são ficheiros que alertam as vítimas sobre este contratempo e facultam direções para uma recuperação preliminar. A mais recente variante deste ransomware encriptado cria os seguintes manuais de pedido de resgate: HOW_TO_RESTORE_FILES.html e HOW_TO_RESTORE_FILES.txt. Encontrá-los é simples, já que surgem no ambiente de trabalho, assim como em pastas que contenham ficheiros aos quais já não podemos aceder. O vocabulário nestes documentos como-fazer não varia ao longo das suas diferentes apresentações. Pode-se ler, “Os seus ficheiros importantes, incluindo aqueles nos seus discos de rede, USB, etc.): fotos, vídeos, documentos, etc. foram encriptados com o nosso vírus Crypt0L0cker. Pagar-nos é a única forma de obter os seus ficheiros de volta. Caso contrário, os seus ficheiros serão perdidos.”

Ao seguir as instruções, os utilizadores infetados dão de caras com uma página Tor que lhes diz para comprarem a decriptação. Esta transação pressupõem um pagamento de cerca de 0.5 BTC aos atacantes. Existe um limite temporal de 120 horas, ou 5 dias, para enviar o resgate, caso contrário o valor duplicará. O utilizador afetado pode também tomar conhecimento sobre o número total dos seus ficheiros encriptados na página “Comprar Decriptação”. Os criminosos também facultam um código para descodificar gratuitamente um ficheiro, sendo que a única restrição implica que esse ficheiro não tenha mais do que 1 megabyte.

Como já foi dito, os patifes que chefiam a campanha Crypt0L0cker 2017 utilizam o spam como método para distribuir o seu material. Eles alavancam um botnet para gerar ondas massivas de spam que colocam o descarregador de ransomware em milhares de computadores com um só ataque. Os anexos tendem ser ficheiros enganosos do Microsoft Word que faz com que os seus destinatários despoletem macros, ou ficheiros Zip que contêm objetos perniciosos de JavaScript. Independentemente da vertente de infeção, abrir estas entidades iniciará imediatamente o processo de desenvolvimento do ransomware no seu sistema. Se a violação acontecer e se todos os seus dados pessoais forem bloqueados, os passos listados abaixo deverão ser o ponto inicial para solucionar o problema. Pagar o resgate deverá ser o último recurso, portanto teste primeiro todas as alternativas.

Remoção automática do vírus Crypt0L0cker

A exterminação deste ransomware pode ser eficazmente conseguida com base num software fidedigno de segurança. Apostar numa técnica de limpeza automática garante que todos os componentes da infeção são totalmente limpos do seu sistema.

  • Descarregue o serviço recomendado de segurança e verifique o seu PC à procura de objetos maliciosos ao selecionar a opção Iniciar Verificação do Computador (Start Computer Scan)

Descarregue o eliminador do Crypt0L0cker

  • A verificação mostrará uma lista de itens detetados. Clique em Consertar Ameaças (Fix Threats) para que o vírus e as infeções relacionadas sejam removidos do seu sistema. Concluir este processo de limpeza provavelmente fará com que a praga seja completamente erradicada. Agora você enfrenta um desafio maior – tentar e obter os seus dados de volta.

Métodos para restaurar os ficheiros encriptados pelo Crypt0L0cker

Solução 1: Utilizar software para recuperar ficheiros

É importante que tenha conhecimento sobre o fato de o vírus Crypt0L0cker criar cópias dos seus ficheiros, encriptando-os. Sendo que, entretanto, os ficheiros originais são eliminados. Existem aplicações que podem restaurar os dados removidos. Pode utilizar ferramentas como o Data Recovery Pro para este fim. A mais recente versão do ransomware em análise tende a aplicar um método garantido de eliminação com várias gravações simultâneas, mas, em qualquer caso, vale a pena tentar este método.
Baixar Data Recovery Pro

Solução 2: Utilize backups

Primeiro, e acima de tudo, esta é uma excelente forma de recuperar os seus ficheiros. Contudo, é apenas aplicável caso tenha estado a fazer o backup da informação armazenada na sua máquina. Se sim, não hesite em beneficiar da sua prevenção.

Solução 3: Utilize o Serviço de Cópias de Sombra de Volume

Caso não saiba, o sistema operativo cria Cópias de Sombra de Volume de cada ficheiro, desde que o Restauro do Sistema esteja ativo no computador. Quando os pontos de restauro são criados em intervalos específicos, são também gerados retratos dos seus ficheiros consoante a respetiva versão atual. Fique ciente de que este método não garante a recuperação das últimas versões dos seus ficheiros. Contudo, vale a tentativa. Este processo é feito de duas formas: manualmente e através da utilização de uma solução automática. Vamos primeiro ver o processo manual.

  • Usar a opção de Versões anteriores

    A caixa de Propriedades para ficheiros aleatórios tem uma aba chamada de Versões anteriores. Esse é o local onde estão as versões em cópia de segurança e a partir das quais pode recuperar o sistema. Por isso, clique com o botão direito do rato num ficheiro, vá a Propriedades, carregue na aba descrita e escolha a opção Copiar ou Restaurar, dependendo da localização para a qual gostaria de ter tudo recuperadoVersões Anteriores

  • Aplique o ShadowExplorer

    O processo acima pode ser automatizado com uma ferramenta chamada de ShadowExplorer. Basicamente, faz a mesma coisa (extraindo Cópias de Volume Ocultas), mas de uma forma mais conveniente. Por isso, descarregue e instale a aplicação, execute-a e navegue até aos ficheiros e pastas cujas versões anteriores pretende que sejam restauradas. Para concluir a tarefa, basta clicar com o botão direito do rato em qualquer uma das entradas e escolher a opção ExportShadowExplorer

Verificar se o ransomware Crypt0L0cker foi totalmente removido

Mais uma vez importa dizer que a remoção do malware por si só não conduz à decriptação dos seus ficheiros pessoais. Os métodos de restauração de dados destacados acima poderão ou não consegui-lo, mas o ransomware em si não deve fazer parte do seu computador. Incidentalmente, ele muitas vezes faz-se acompanhar por malware, ou seja, faz todo o sentido verificar repetidamente o sistema com um software automático de segurança a fim de garantir que não sobram elementos perniciosos do vírus, nem que haja ameaças a ele associadas no Windows Registry e noutras localizações.

Baixe o verificador e removedor do Crypt0L0cker