Índice
Cada ataque de ransomware é acompanhado por uma série de indicadores distintos de comprometimento, que são únicos para diferentes estirpes de ameaças de codificação de ficheiros. Em primeiro lugar e acima de tudo, estes incluem o fluxo de trabalho de troca de chave de codificação, as extensões adicionadas aos ficheiros das vítimas, e elementos como notas de resgate que instruem os utilizadores infetados de como podem recuperar os seus dados. Se o último IOC englobar um conjunto de documentos com o nome “Decrypt My Files” em formato TXT, HTML e VBS, então o culpado é o ransomware Trojan Cerber.
A paralisação do progresso do ransomware é mais uma utopia, do que algo que possa ocorrer a qualquer momento no futuro próximo, dada a rentabilidade impensável destas ameaças para os intervenientes cibernéticos com más intenções que os distribuem. Ultimamente, observamos que os vírus de codificação mudaram rapidamente para um modelo afiliado, que foi uma jogada que muitos especialistas teriam achado ser irrealista, há somente alguns meses antes. E, agora, o evento sofisticado mais recente é um ransomware que fala. Esta funcionalidade está incorporada no código de Cerber, um recém-chegado no domínio extorsão digital. O Trojan codifica ficheiros para além da recuperação normal, e oferece-se para resgatar os dados através do envio de 1,24 Bitcoins para a carteira digital segura dos criminosos. Embora possa parecer indesejável, pagar mais de €450 como o resgate é, infelizmente, a única forma segura para aceder novamente aos ficheiros pessoais afetados.
A forma como o Cerber é promovido depende de quem realmente se envolve na distribuição do mesmo. A questão é a seguinte – ele é um dos Ransomware de Service, ou das campanhas de Raas. Isto significa que quaisquer pessoas com más intenções podem obter o código deste malware em certos recursos da darknet, e subsequentemente partilhar os resgates recebidos com o desenvolvedor. A forma mais comum de difundir estas pragas é através de emails de phishing com ficheiros de extração automática como anexos. Quando um é aberto, o vírus é executado em poucos segundos. Ele encontra todos os ficheiros do disco rígido e da rede interna que correspondem a uma gama predefinida de formatos. Todas estas correspondências ficam codificadas com uma cifra AES forte.
Os ficheiros codificados são fáceis de detetar: todos eles ficam com a extensão .cerber, e os nomes dos ficheiros são alterados de modo a ficarem irreconhecíveis. Ao dar uma olhadela numa pasta arbitrária como esta, o utilizador também reparará nas instruções de resgate. Há três delas em cada diretório: # Decrypt My Files #.txt, # Decrypt My Files #.html, e # Decrypt My Files #.vbs. Quando aberta, a instrução de resgate VBS produz uma mensagem de áudio com instruções, que parece ser inteligência artificial em ação, mas na realidade, são simplesmente algumas linhas de código.
A ligação da porta Tor indicada nas orientações de recuperação indica um site intitulado “Cerber Decryptor”. As vítimas poderão selecionar o seu idioma preferido, e depois, ir para a parte financeira deste esquema. A página também mostra um relógio que efetua a contagem regressiva de 7 dias, após os quais o resgate aumenta. Mais uma vez, os profissionais de segurança até agora ainda não descobriram quaisquer mecanismos eficientes para restaurar os ficheiros. Porém, vale a pena experimentar algumas técnicas em termos de recuperar alguns dos dados bloqueados.
Remoção automática do vírus Decrypt My Files (Cerber)
O extermínio deste ransomware pode ser eficientemente realizado com software de segurança de confiança. Ao ficar-se pela técnica de limpeza automática, garante que todos os componentes da infeção serão completamente erradicados do seu sistema.
- Efetue o download recomendado serviço de segurança e verifique o seu PC para ver se existem objetos maliciosos ao selecionar a opção Iniciar Verificação do Computador (Start Computer Scan)
- A verificação irá fornecer uma lista de itens detetados. Clique em Consertar Ameaças (Fix Threats) para remover o vírus e infeções relacionadas do seu sistema. Ao completar esta fase do processo de limpeza é bastante provável que a praga seja completamente erradicada. Agora terá de enfrentar um desafio maior - tentar obter os seus dados de volta.
Métodos para restaurar os ficheiros codificados pelo ransomware Cerber
Já foi mencionado que o Decrypt My Files (Cerber) aplica uma forte encriptação para tornar os seus ficheiros inacessiveis, por isso não há nenhuma varinha mágica que restaure todos os dados encriptados num piscar de olhos, excepto claro quando se sujeita ao impensável ransomware. Existem no entanto técnicas, que o podem ajudar a recuperar todas as coisas que são importantes para si – aprenda quais.
1. Software de recuperação de ficheiros automático
É relativamente interessante saber que o Decrypt My Files (Cerber) apaga os ficheiros originais num formato não encriptado. É apenas nas cópias que acontece o processo de encriptação e se processa o ransomware. Por isso ferramentas como Stellar Data Recovery podem restaurar os objetos eliminados mesmo que estes tenham sido removidos de forma segura. Esta alternativa vale definitivamente a pena pois fornece uma solução verdadeiramente eficaz.
Baixar Stellar Data Recovery Professional
2. Cópias de Volume Sombra
Esta opção apoia-se no ficheiro nativo de backups do Windows que opera no seu computador, e que é executado a cada ponto de restauro. Há uma importante condição neste método: este funciona se a funcionalidade de Restauro de Sistema estiver ativa antes da contaminação. Adicionalmente, se as alterações forem feitas a um ficheiro após o ponto de restauro mais recente, estas não se irão refletir na versão do ficheiro recuperado.
- Usar a opção de Versões anteriores A caixa de Propriedades para ficheiros aleatórios tem uma aba chamada de Versões anteriores. Esse é o local onde estão as versões em cópia de segurança e a partir das quais pode recuperar o sistema. Por isso, clique com o botão direito do rato num ficheiro, vá a Propriedades, carregue na aba descrita e escolha a opção Copiar ou Restaurar, dependendo da localização para a qual gostaria de ter tudo recuperado
- Aplique o ShadowExplorer O processo acima pode ser automatizado com uma ferramenta chamada de ShadowExplorer. Basicamente, faz a mesma coisa (extraindo Cópias de Volume Ocultas), mas de uma forma mais conveniente. Por isso, descarregue e instale a aplicação, execute-a e navegue até aos ficheiros e pastas cujas versões anteriores pretende que sejam restauradas. Para concluir a tarefa, basta clicar com o botão direito do rato em qualquer uma das entradas e escolher a opção Export
3. Cópias de Segurança
De todas as opções que não são relacionadas com ransomware, esta é uma das mais eficientes. Na eventualidade de ter feito backups da sua informação para um servidor externo antes do ransomware aparecer no seu PC, restaurar os ficheiros encriptados pelo Decrypt My Files (Cerber) é tão simples quanto entrar no seu respetivo interface, selecionar os ficheiros certos e iniciar o processo de restauro. Antes de o fazer deve no entanto ter a completa certeza que removeu por completo o vírus de ransomware do seu computador.
Verifique se o vírus Decrypt My Files foi totalmente removido
Mais uma vez importa dizer que a remoção do malware por si só não conduz à decriptação dos seus ficheiros pessoais. Os métodos de restauração de dados destacados acima poderão ou não consegui-lo, mas o ransomware em si não deve fazer parte do seu computador.
Incidentalmente, ele muitas vezes faz-se acompanhar por malware, ou seja, faz todo o sentido verificar repetidamente o sistema com um software automático de segurança a fim de garantir que não sobram elementos perniciosos do vírus, nem que haja ameaças a ele associadas no Windows Registry e noutras localizações.