Remoção de ransomware .adobe

Existe agora uma nova variante do ransomware Dharma/CrySiS, que adiciona a extensão .adobe aos ficheiros encriptados e deposita uma nota de regaste intitulada FILES ENCRYPTED.txt.

O ransomware é uma das poucas estirpes de código malicioso que provoca um caos total. Ao contrário da esmagadora maioria do malware, tem como alvo o ativo insubstituível do utilizador – os seus dados pessoais. A infiltração sub-reptícia num computador, uma verificação à procura de ficheiros valiosos, a implementação de criptografia para bloquear os itens identificado e a apresentação de pedidos de resgate – todos estes são elementos habituais num ataque deste género. A amostra ou, melhor, a linhagem intitulada Dharma (CrySiS) não é muito diferente das restantes. A única novidade trazida pela sua mais recente versão é a extensão .adobe, a qual é adicionada aos ficheiros encriptados, enquanto a nota de resgate intitulada FILES ENCRYPTED.txt é idêntica às das edições anteriores, incluindo a variante .combo.

Ficheiros encriptados com a extensão .adobe

Quando executado num computador, o ransomware .adobe infiltra todas as unidades de disco alfabetizadas na estrutura do sistema. Se uma unidade amovível estiver ativa, também ela é sujeita à sua ação. O objetivo desta perpetração passa por encontrar todos os pedaços de informação considerados importantes para a vítima. Os formatos de ficheiro Dharma procuram por todos os tipos de documentos Office, imagens, vídeos e bases de dados, entre muitos outros. Assim que a verificação termina, o módulo criptográfico da infeção entra em campo. Baralha os ficheiros identificados a um nível mais profundo, aplicando uma mistura impenetrável de cifras AES e RSA. Esta técnica impede que o utilizador tenha acesso a todos os dados importantes, substituindo os ícones dos ficheiros com elementos em branco que o sistema operativo é incapaz de reconhecer.

O vírus de ficheiros .adobe exibe a nota de resgate HTA

Não só deixa de ser impossível abrir ou aceder a estes itens, como os seus nomes são também alterados. As designações originais dos ficheiros passam a incluir séries com o seguinte formato id-{ID da vítima com 8 carateres hexadecimais}.[endereço de email do extorsionista].adobe. Até ao momento, as vítimas já relataram a presença destes emails entre os parêntesis retos: stopencrypt@qq.com, e btcdecripter@qq.com. Assim, uma amostra cujo nome seja 1.bmp transformar-se-á numa entidade gravemente corrompida semelhante a: 1.bmp.id-BA2157C1.[btcdecripter@qq.com].adobe.

Apesar de a informação de contato dos atacantes embutida nos nomes dos ficheiros ser um exemplo claro do passo que deve ser tomado a seguir, o ransomware .adobe é ainda mais óbvio ao depositar notas de resgaste. Falamos aqui de dois objetos – um ficheiro HTA e um documento TXT. O primeiro, Info.hta, é na verdade uma aplicação automaticamente acionada cuja janela vai ao encontro do endereço de email do burlão. Coloca as culpas da encriptação não autorizada num “problema de segurança” do PC e instrui o utilizador a enviar um email para os malfeitores. O assunto desta mensagem deve incluir o ID único atribuído à vítima. A outra edição da nota de resgate, FILES ENCRYPTED.txt, contém a mesma mensagem simplista, mas o email é diferente. Diz, “Todos os seus dados foram bloqueados por nós. Quer tê-los de volta? Escreva um email para stopencrypt@qq.com” – uma vez mais, os detalhes de contato podem variar.

FILES ENCRYPTED.txt, mais uma versão das notas de regaste do ransomware .adobe

No final, a vítima será coagida a enviar 0.2 Bitcoin (aproximadamente 700 USD) para a carteira clandestina do perpetrador. A chave de desencriptação e o software de recuperação só ficam alegadamente disponíveis quando o pagamento é efetuado. Nada disto aconteceria se os utilizadores fossem mais cuidadosos na forma como gerem as suas conexões RDP. De fato, o ransomware Dharma/CrySiS, incluindo a sua mais recente variante de ficheiros .adobe, faz o seu trabalho ao piratear os serviços de área de trabalho remota. Credenciais de acesso com configuração padrão ou passwords fracas são pontos que permitem a invasão. Ao evitar abrir anexos suspeitos de email e ao manter o seu software atualizado, ficará longe da maioria das estirpes de ransomware, mas o vírus .adobe poderá, ainda assim, poluir a sua máquina, bastando para isso não ser um utilizador RDP prudente. Lembre-se disso. Para aqueles que foram já atacados, as seções seguintes deste guia serão úteis para lhe facultar métodos alternativos de recuperação de ficheiros e passos de remoção eficazes.

Remoção automática do ransomware .adobe

Graças a uma base de dados atualizada em relação a assinaturas de malware e deteção comportamental inteligente, o software recomendado pode rapidamente localizar a infeção, erradicando-a e remediando todas as alterações maliciosas. Portanto vá em frente e faça o seguinte:

  • Descarregue e instale uma ferramenta antimalware. Abra essa solução e analise o seu PC à procura de PUPs e outros tipos de software malicioso ao clicar em Iniciar Iniciar Verificação do Computador (Start Computer Scan)

Descarregue o eliminador do vírus dos ficheiros .adobe

  • O relatório de verificação irá sem margem para dúvidas listar todos os itens que possam afetar o seu sistema operativo. Selecione as entradas detetadas e clique em Consertar Ameaças (Fix Threats) para que a resolução de problemas fique completa.

Métodos para restaurar os arquivos .adobe encriptados

Quebrar a encriptação usada por este trojan ransom é algo mais semelhante a algo saído da ficção científica do que uma perspetiva alcançável para as massas. É por isso que a resolução de problemas em situações complicadas deste género assenta em duas abordagens: uma é pagar o resgate, o que não é uma opção para muitas vítimas; e a outra é aplicar os instrumentos que tiram partido das eventuais fraquezas do ransomware. Se o seu caso for este último, o conselho abaixo é de tentativa obrigatória.

As cópias de segurança podem salvar-lhe o dia

Não só é uma pessoa com sorte caso tenha estado a fazer uma cópia de segurança dos seus ficheiros importantes, mas também um utilizador inteligente e prudente. Hoje em dia, isto não representa uma atividade necessariamente pesada a nível de recursos – na verdade, alguns provedores de serviços online estão a alocar espaço gratuito suficiente em alojamentos de nuvem para que cada cliente possa facilmente fazer o upload dos seus dados críticos sem precisar de pagar um cêntimo. Assim que tiver removido o seu ransomware .adobe, só precisará de descarregar as suas coisas do servidor remoto ou transferi-las para um elemento externo de hardware caso seja esse o caso.

Restaure versões anteriores dos ficheiros encriptados

Conseguir um resultado positivo ao utilizar esta técnica depende se o ransomware eliminou ou não as Cópias Sombra de Pastas dos ficheiros no seu PC. Este é um recurso do Windows que de forma automática cria e mantém cópias de segurança dos elementos de dados no disco rígido, desde que o Restauro do Sistema esteja ativo. O cryptoware em questão está programado para desligar o Serviço de Cópias Sombra de Pastas (VSS), mas já falhou esse objetivo nalguns casos. Verificar quais são as suas opções acerca desta solução pode ser feito através de duas formas: no menu Propriedades de cada ficheiro ou com uma notável ferramenta open-source chamada ShadowExplorer. Recomendamos o método em que se aplica este software pois ele é automatizado e, por conseguinte, é mais rápido e mais fácil. Só tem de instalar a aplicação e utilizar os seus controlos intuitivos para obter e reintegrar as versões anteriores dos objetos encriptados.
ShadowExplorer

Kit de ferramentas de recuperação de dados chamado à ação

Algumas estirpes de ransomware são conhecidas por apagarem os ficheiros originais após cumprirem a sua encriptação. Apesar de esta atividade parecer bastante hostil, poderá jogar a seu favor. Existem aplicações desenhadas para reavivar informação que foi obliterada graças ao mau funcionamento de um hardware ou devido a uma remoção acidental. A ferramenta conhecida como Data Recovery Pro da ParetoLogic contém este tipo de capacidade, logo pode ser usada em cenários de ataques ransom para, pelo menos, reaver alguns ficheiros importantes. Portanto descarregue e instale o programa, execute uma verificação e deixe que ele faça o seu trabalho.
Data Recovery Pro

Reveja o seu estado de segurança

Uma avaliação pós-ocorrência do fator precisão em cenários de remoção de hardware é um excelente hábito que previne o regresso de código malicioso ou a replicação de frações que se encontrem sem vigilância. Assegure-se de que está pronto ao executar uma verificação de segurança adicional.

Descarregue a ferramenta de remoção do ransomware .adobe