Remoção de vírus ransomware Onion

A pior parte relacionada com um ataque banal de ransomware é que a vítima fica impedida de aceder aos seus dados pessoais. Apesar de não ser propriamente problemático livrar-se um código malicioso, a informação importante permanece inacessível até que o usuário infetado a recupere, precisando para isso de pagar. A mais recente variação da espécie de ransomware Dharma obedece a esse caminho em particular, encriptando arquivos e juntando o apêndice da extensão .onion a eles.

O que é o ransomware Onion?

Como falámos acima, a extensão de arquivos .onion é um indicador de uma sabotagem, que acompanha a mais recente forma de operacionalização do ransomware Dharma. A família desses vírus de encriptação possui um contexto histórico enorme, com altos e baixos, assim como liberações inesperadas de chaves-mestras de desencriptação que ocorreram duas vezes nos últimos seis meses. Independentemente da edição, esse contágio digital vicioso tem usado constantemente um mecanismo robusto de criptografia que contorna a eventual decriptação. Dito de outro jeito, quando as vítimas são confrontadas com essa maleita, ficam com problemas e correm o risco de perder todos os seus arquivos pessoais, documentos, imagens, bases de dados, vídeos e outros tipos de dados.

Aviso do ransomware Onion com os destaques iniciais da recuperação

O ransomware Onion, que é a forma pela qual ele é conhecido, afetas os arquivos de várias formas. Primeiro, e acima de tudo, utiliza um combo de cifras RSA e AES, para que seja impossível ao usuário malogrado aceder à informação. Como resultado do seu impacto, nem abrir nem editar as entradas é algo verosímil. Em segundo lugar, o Trojan também altera o aspeto externo dos arquivos afetados. Ele pega no nome original e acrescenta o sufixo que é composto por uma série que obedece ao padrão seguinte: id-[identificador da vítima].[endereço de email do atacante].onion. para que você tenha uma ideia mais clara do resultado, aqui fica uma manifestação de uma entrada de dados arbitrária atingida por essa peste: Q1_Report.pdf.id-6A563F28.[volantem_diem@aol.com].onion. O ID é único para cada usuário e o email varia de campanha para campanha. Alguns outros endereços que chamaram a atenção dos investigadores incluem volantem_diem@zoho.eu, felix_dies@aol.com and nicecrypt@india.com.

A aparência dos arquivos afetados pela ransomware Onion

Para informar a vítima exatamente daquilo que está acontecendo e como ela poderá lidar com essa situação complicada, o ransomware Onion libera um ou vários arquivos de ajuda no ambiente de trabalho e também dentro das pastas, que incluem dados bloqueados. Essa nota de resgate é nomeada Info.hta, que provavelmente também traz consigo um texto simples nomeado como Readme.txt. A mensagem de aviso colocada em ambos diz, “Todos os seus arquivos foram encriptados devido a um problema de segurança com o seu PC. Se você pretende restaurá-los, escreva-nos um email para volantem_diem@aol.com,” onde o endereço correspondo a uma sub campanha específica da extorsão. O usuário deverá responder com o seu ID pessoal no título da mensagem, enviando o email e esperando uma resposta com passos mais detalhados. Resumidamente, a decriptação se resume a pagar um resgate 0.5-1 BTC para a carteira Bitcoin desses bandidos. Após esse pagamento ser confirmado, os perpetradores da ameaça supostamente irão disponibilizar uma ferramenta de desencriptação. Eles também afirmam que irão restaurar até cinco arquivos não muito importantes antes do pagamento, desde que a vítima peça para isso acontecer.

O vírus de arquivos com extensão .onion é distribuído através de spam maligno. Uma botnet envolvida nesse processo gera emails avulso com arquivos contagiosos anexados. Esses anexos são normalmente arquivos ZIP com um arquivo JavaScript dentro deles, que por sua vez aciona um comando PowerShell para executar a infeção no computador do destinatário. Então tome cuidado com emails duvidosos que pretendam ser faturas, reclamações do seu ISP, faturas de serviços, ofertas de trabalho e assuntos similarmente atrativos – nunca abra os arquivos que eles trazem consigo. Essa parte abaixo inclui mais conselhos sobre a prevenção contra o ransomware e oferece uma multitude de técnicas de resolução de problemas para o caso em que o Trojan já esta dentro do sistema e tenha transformado os arquivos em entradas .onion inacessíveis.

Remoção automática do arquivo de vírus Onion

O extermínio desse ransomware pode ser eficientemente acompanhado por um fidedigno software de segurança. Apostar nessa técnica automática de limpeza garante que todos os componentes da infeção são amplamente removidos do seu sistema.

  • Baixe o serviço de segurança recomendando e verifique o seu PC à procura de objetos maliciosos ao selecionar a opção Iniciar Verificação do Computador (Start Computer Scan)

Descarregue o eliminador do vírus de ficheiro .onion

  • A verificação virá acompanhada de uma lista de itens detetados. Clique Consertar Ameaças (Fix Threats) para que as infeções relacionadas com vírus sejam removidas do seu sistema. Completar essa fase de limpeza irá provavelmente fazer com que a praga seja correta e totalmente eliminada. Agora está enfrentando um desafio ainda maior – tentar e recuperar seus dados.

Métodos para restaurar os arquivos .onion encriptados

Solução 1: Utilizar o software de recuperação de arquivos

É importante saber que os vírus Onion criam cópias dos seus arquivos, encriptando-os. Entretanto, os arquivos originais são deletados. Existem aplicativos que restauram os dados removidos. Você pode utilizar ferramentas como o Data Recovery Pro para essa finalidade. A mais recente versão desse ransomware que está sendo analisado tende a aplicar uma eliminação eficaz com várias gravações, mas em qualquer caso vale a pena testar esse método.
Baixar Data Recovery Pro

Solução 2: Utilize cópias de segurança

Primeiro, e acima de tudo, essa é uma ótima forma de recuperar os seus arquivos. Só é contudo aplicável você tiver copiado informação ao longo dos tempos na sua máquina. Caso você o tenha feito, não evite em tirar partido de sua prevenção.

Solução 3: Utilize as Cópias Sombra de Pastas

Caso não saiba, o sistema operativo cria as denominadas Cópias Sombra de Pastas de cada arquivo, desde que o Restauro de Sistema esteja ativado no computador. Quando os pontos de restauro são criados em intervalos específicos, são também gerados cópias dos arquivos no momento em que eles são gerados. Lembre-se de que esse método não garante a recuperação das versões mais recentes dos seus arquivos. No entanto, vale a pena testá-lo. Esse fluxo de trabalho é feito de duas formas: manualmente e através da utilização de uma solução automática. Vamos primeiro dar ver o processo manual.

  • Usar a opção de Versões anteriores

    A caixa de Propriedades para ficheiros aleatórios tem uma aba chamada de Versões anteriores. Esse é o local onde estão as versões em cópia de segurança e a partir das quais pode recuperar o sistema. Por isso, clique com o botão direito do rato num ficheiro, vá a Propriedades, carregue na aba descrita e escolha a opção Copiar ou Restaurar, dependendo da localização para a qual gostaria de ter tudo recuperadoVersões Anteriores

  • Aplique o ShadowExplorer

    O processo acima pode ser automatizado com uma ferramenta chamada de ShadowExplorer. Basicamente, faz a mesma coisa (extraindo Cópias de Volume Ocultas), mas de uma forma mais conveniente. Por isso, descarregue e instale a aplicação, execute-a e navegue até aos ficheiros e pastas cujas versões anteriores pretende que sejam restauradas. Para concluir a tarefa, basta clicar com o botão direito do rato em qualquer uma das entradas e escolher a opção ExportShadowExplorer

Verifique se o ransomware Onion foi totalmente removido

Mais uma vez, a remoção do malware apenas não leva à decriptação de seus arquivos pessoais. Os métodos de restauro de dados descritos acima podem ou não conseguir o que pretende, mas o ransomware em si mesmo não é um elemento que deva estar no seu computador. Acidentalmente, por vezes ele faz-se acompanhar de outro malware, fazendo por isso todo o sentido executar verificações repetidas ao sistema, usando um software automático de segurança, a fim de ter a certeza de que nenhuns elementos nocivos remanescentes do vírus, e respetivas ameaças associadas, permanecem no Registro do Windows e noutras localizações.

Baixe o verificador e removedor do ransomware Onion