Remoção de ransomware .combo

O crescimento atual do ransomware criptográfico não representa necessariamente um problema de segurança de software. É também um problema humano, já que a maior parte destes ataques acontece quando um utilizador abre um anexo de spam tóxico ou, então, como consequência de fracas medidas de autenticação. Isto é particularmente válido para a versão de ficheiros .combo do ransomware Dharma, que se espalha através de serviços remotos de desktop protegidos de forma indevida.

O que são ficheiros de vírus .combo?

Os utilizadores do Windows que já encontraram os seus ficheiros pessoais com a extensão .combo devem saber de pronto que não se trata de uma partida de alguém, já que é impossível reverter a edição dos nomes dos ficheiros. Ao invés, é um sinal de aviso que designa um ataque agressivo de ransomware. Esta infeção específica de ficheiros intitula-se Dharma, ou CrySis. Esta espécie viral tem estado selvaticamente à solta nos últimos meses e os analistas de cibersegurança ainda não encontraram uma cura. Uma das mais recentes iterações fez nascer uma estirpe que encripta os dados importantes da vítima e contamina todos os seus itens de hospedagem com a supracitada série .combo. Este sufixo é anexado ao ID único do utilizador infetado em questão, além do email do atacante entre parenteses. Como exemplo, um objeto aleatório de nome IMG.jpg passar-se-ia a chamar, depois do impacto negativo desta peste, IMG.jpg.id-B520986A.[dcr@airmail.cc].combo. É difícil ignorar tamanha transformação, certo? Se este for o caso, a incursão já está em marcha e as notícias não são positivas para a pessoa afetada.

Ficheiros de vírus .combo

O fluxo de trabalho bem estabelecido do raide perpetrado pelo ransomware Dharma envolve também o despoletar de notas de regaste no host infetado. Existem dois tipos de mensagens. Um é mais prominente, pois trata-se de um ficheiro HTA automaticamente exibido assim que o ataque atinge a sua plenitude. Diz, “Todos os seus ficheiros foram encriptados” e por algum motivo coloca as culpas num “problema de segurança com o seu PC”. Esta versão abrange os aspetos essenciais da recuperação de dados, instruindo o utilizador a enviar um email para o endereço dos patifes, indicando nele o seu ID pessoal. Alegadamente, podem ser desencriptados de forma gratuita até cinco ficheiros, como garantia de que a recuperação funciona – a nota de resgate inclui uma lista de restrições acerca destes itens, por exemplo o seu tamanho não pode ser superior a 10MB, nem tampouco podem conter informação valiosa. Basicamente, a mesma informação – apenas com um fraseado diferente – é encontrada noutra versão da mensagem de resgate designada por FILES ENCRYPTED.txt. Esta é depositada nas pastas com ficheiros encriptados e também no ambiente de trabalho.

Notas de resgate .combo ransomware

Não é preciso ser-se um cientista espacial para perceber que a recuperação exige dinheiro. Os burlões responderão ao email da vítima com as instruções de pagamento passo-a-passo. Têm preferência por Bitcoin, pois assegura-lhes um forte nível de anonimato para a transação. O valor do resgate não é estático e varia entre as vítimas, mas é normalmente 0.4 BTC para o utilizador comum. Para uma empresa, certamente subirá. Tendo em conta a sua propagação e delineamento profissional, o ransomware .combo não tem uma página Tor de pagamento, à semelhança da maioria das famílias de ransomware encontradas. O que não deixa de ser estranho, já que todo o ciclo de interação com as vítimas depende do vetor de email. Já agora, existem diferentes contatos de email associados aos edificadores do vírus Dharma. Além do já citado dcr@airmail.cc, estes três atores podem também utilizar os seguintes endereços: combo@tutanota.de, e lok07@tuta.io. Fique atento, pois os nomes de ficheiros alterados podem incluir um destes.

Ao contrário de algumas estirpes de malware chantagistas que conseguiram ser desmanteladas pelos investigadores, o ransomware .combo é demasiado competente do ponto de vista do código para ser derrotado dessa forma. Ou seja, a chave privada de desencriptação, que é mantida pelos patifes cibernautas encarregados desta campanha, é a única coisa que permite restituir toda a informação da vítima. Obter esta chave secreta só é possível depois de o resgate ser pago – apesar de não haver certezas absolutas. Neste cenário, então, as vítimas não devem considerar a hipótese do pagamento até terem esgotado todas as vias. Por último, a dica do dia passa por garantir que a sua conexão RDP está devidamente protegida com uma forte autenticação, pois este é o ponto de entrada para o código malicioso.

Remoção automática do ransomware .combo

Graças a uma base de dados atualizada em relação a assinaturas de malware e deteção comportamental inteligente, o software recomendado pode rapidamente localizar a infeção, erradicando-a e remediando todas as alterações maliciosas. Portanto vá em frente e faça o seguinte:

  • Descarregue e instale uma ferramenta antimalware. Abra essa solução e analise o seu PC à procura de PUPs e outros tipos de software malicioso ao clicar em Iniciar Iniciar Verificação do Computador (Start Computer Scan)

Descarregue o eliminador do vírus dos ficheiros .combo

  • O relatório de verificação irá sem margem para dúvidas listar todos os itens que possam afetar o seu sistema operativo. Selecione as entradas detetadas e clique em Consertar Ameaças (Fix Threats) para que a resolução de problemas fique completa.

Métodos para restaurar os arquivos .combo encriptados

Quebrar a encriptação usada por este trojan ransom é algo mais semelhante a algo saído da ficção científica do que uma perspetiva alcançável para as massas. É por isso que a resolução de problemas em situações complicadas deste género assenta em duas abordagens: uma é pagar o resgate, o que não é uma opção para muitas vítimas; e a outra é aplicar os instrumentos que tiram partido das eventuais fraquezas do ransomware. Se o seu caso for este último, o conselho abaixo é de tentativa obrigatória.

As cópias de segurança podem salvar-lhe o dia

Não só é uma pessoa com sorte caso tenha estado a fazer uma cópia de segurança dos seus ficheiros importantes, mas também um utilizador inteligente e prudente. Hoje em dia, isto não representa uma atividade necessariamente pesada a nível de recursos – na verdade, alguns provedores de serviços online estão a alocar espaço gratuito suficiente em alojamentos de nuvem para que cada cliente possa facilmente fazer o upload dos seus dados críticos sem precisar de pagar um cêntimo. Assim que tiver removido o seu ransomware .combo, só precisará de descarregar as suas coisas do servidor remoto ou transferi-las para um elemento externo de hardware caso seja esse o caso.

Restaure versões anteriores dos ficheiros encriptados

Conseguir um resultado positivo ao utilizar esta técnica depende se o ransomware eliminou ou não as Cópias Sombra de Pastas dos ficheiros no seu PC. Este é um recurso do Windows que de forma automática cria e mantém cópias de segurança dos elementos de dados no disco rígido, desde que o Restauro do Sistema esteja ativo. O cryptoware em questão está programado para desligar o Serviço de Cópias Sombra de Pastas (VSS), mas já falhou esse objetivo nalguns casos. Verificar quais são as suas opções acerca desta solução pode ser feito através de duas formas: no menu Propriedades de cada ficheiro ou com uma notável ferramenta open-source chamada ShadowExplorer. Recomendamos o método em que se aplica este software pois ele é automatizado e, por conseguinte, é mais rápido e mais fácil. Só tem de instalar a aplicação e utilizar os seus controlos intuitivos para obter e reintegrar as versões anteriores dos objetos encriptados.
ShadowExplorer

Kit de ferramentas de recuperação de dados chamado à ação

Algumas estirpes de ransomware são conhecidas por apagarem os ficheiros originais após cumprirem a sua encriptação. Apesar de esta atividade parecer bastante hostil, poderá jogar a seu favor. Existem aplicações desenhadas para reavivar informação que foi obliterada graças ao mau funcionamento de um hardware ou devido a uma remoção acidental. A ferramenta conhecida como Data Recovery Pro da ParetoLogic contém este tipo de capacidade, logo pode ser usada em cenários de ataques ransom para, pelo menos, reaver alguns ficheiros importantes. Portanto descarregue e instale o programa, execute uma verificação e deixe que ele faça o seu trabalho.
Data Recovery Pro

Reveja o seu estado de segurança

Uma avaliação pós-ocorrência do fator precisão em cenários de remoção de hardware é um excelente hábito que previne o regresso de código malicioso ou a replicação de frações que se encontrem sem vigilância. Assegure-se de que está pronto ao executar uma verificação de segurança adicional.

Descarregue a ferramenta de remoção do ransomware .combo