Índice
A ameaça ransomware chamada de TeslaCrypt começou recentemente a atribuir uma nova extensão aos ficheiros que encriptava no computador da vítima. Cada documento, arquivo, imagem e vídeo armazenado no disco rígido do PC infectado fica com uma extensão “.vvv” (.ttt, .xxx, .micro), o que substitui o antigo sufixo “.ccc”. Esta metamorfose de extensão é a mais apreciável de algumas alterações feitas ao modus operandi do Trojan como resultado de uma actualização nova de código. Outros atributos modificados incluem os nomes dos documentos que retêm os detalhes do resgate, que mudaram de howto_recover_file_{random}.html/txt – para how_recover+{random}.html/txt; bem como os portais Tor através dos quais o utilizador afectado é reencaminhado para a sua página de resgate pessoal.
Estes ficheiros .vvv não podem ser abertos com nenhum dos programas normais ou de terceiros, com o motivo sendo óbvio: estão encriptados usando a AES (Advanced Encryption Standard), que alavanca um criptograma em bloco simétrico. O vírus, no entanto, pode descodificar tudo sob a condição da vítima pagar um resgate em Bitcoins. A quantia varia, mas normalmente anda à volta de 1.5-2 BTC. Todos os portais seguros ligados ao serviço de criptografia, bem como as suas instruções, são oferecidas no ficheiros supramencionados how_recover que foram adicionados ao Ambiente de Trabalho e ficheiros desde que contenham a informação do utilizador que foi flagrantemente capturada no decurso da infecção.
O TeslaCrypt não é um Malware criptografador de dados normal, de uma certa maneira. Por algum motivo, as suas variantes podem estar mascaradas como outro Trojan bastante disseminado chamado de CryptoWall. A motivação dos burlões para implementar esta alteração de nome não é inteiramente conhecida de momento. Presumivelmente, é algum tipo de processo de partição dos dados de faturamento, dado o modelo de afiliação por detrás da rotação dessas mesmas infecções. Em qualquer caso, a extensão .vvv adicionada aos ficheiros encriptados não deve deixar dúvida de que é o TeslaCrypt a causar os problemas. Na verdade, a diferença operacional e a nível de código entre cópias genuínas desses dois vírus é drástica: o padrão de criptografia (AES vs. RSA-2048), aspectos de comunicação de Comando e Controlo, padrões de distribuição, etc.
No caso infeliz em que os ficheiros no HDD, drives mapeadas e periféricos de armazenamento terem sido encriptados e terem apanhado a extensão .vvv de repente, as opções da vítima não são abundantes: pagar o resgate ou tentar a sua sorte em tentar contornar os efeitos causados por este malware de criptografia.
Remova o vírus de extensão de ficheiro .vvv com uma ferramenta de remoção automática
Um fluxo de trabalho ótimo para eliminar o vírus Encryption é alavancar um aplicativo de segurança que irá identificar todos os softwares potencialmente maliciosos no seu computador e lidar com isso da maneira certa. Esta abordagem garante uma remoção completa assim como o remedeio do sistema, e permite evitar danos indesejados que possam ocorrer durante uma eliminação manual de malware.
- Faça o download e instale o software de instalação do removedor de Encryption. Inicie o software e clique no botão Iniciar Verificação do Computador. Aguarde que a aplicação procure ameaças no seu computador.
Quando a aplicação terminar de verificar o seu computador, irá mostra-lhe uma lista extensiva de objetos detetados. Clique na opção Consertar Ameaças para que a aplicação possa remover totalmente os Encryption e outras infeções afiliadas que sejam encontradas no seu PC.
Recupere os ficheiros encriptados
Já foi mencionado que o Encryption aplica uma forte encriptação para tornar os seus ficheiros inacessiveis, por isso não há nenhuma varinha mágica que restaure todos os dados encriptados num piscar de olhos, excepto claro quando se sujeita ao impensável ransomware. Existem no entanto técnicas, que o podem ajudar a recuperar todas as coisas que são importantes para si – aprenda quais.
1. Software de recuperação de ficheiros automático
É relativamente interessante saber que o Encryption apaga os ficheiros originais num formato não encriptado. É apenas nas cópias que acontece o processo de encriptação e se processa o ransomware. Por isso ferramentas como Stellar Data Recovery podem restaurar os objetos eliminados mesmo que estes tenham sido removidos de forma segura. Esta alternativa vale definitivamente a pena pois fornece uma solução verdadeiramente eficaz.
Baixar Stellar Data Recovery Professional
2. Cópias de Volume Sombra
Esta opção apoia-se no ficheiro nativo de backups do Windows que opera no seu computador, e que é executado a cada ponto de restauro. Há uma importante condição neste método: este funciona se a funcionalidade de Restauro de Sistema estiver ativa antes da contaminação. Adicionalmente, se as alterações forem feitas a um ficheiro após o ponto de restauro mais recente, estas não se irão refletir na versão do ficheiro recuperado.
- Usar a opção de Versões anteriores A caixa de Propriedades para ficheiros aleatórios tem uma aba chamada de Versões anteriores. Esse é o local onde estão as versões em cópia de segurança e a partir das quais pode recuperar o sistema. Por isso, clique com o botão direito do rato num ficheiro, vá a Propriedades, carregue na aba descrita e escolha a opção Copiar ou Restaurar, dependendo da localização para a qual gostaria de ter tudo recuperado
- Aplique o ShadowExplorer O processo acima pode ser automatizado com uma ferramenta chamada de ShadowExplorer. Basicamente, faz a mesma coisa (extraindo Cópias de Volume Ocultas), mas de uma forma mais conveniente. Por isso, descarregue e instale a aplicação, execute-a e navegue até aos ficheiros e pastas cujas versões anteriores pretende que sejam restauradas. Para concluir a tarefa, basta clicar com o botão direito do rato em qualquer uma das entradas e escolher a opção Export
3. Cópias de Segurança
De todas as opções que não são relacionadas com ransomware, esta é uma das mais eficientes. Na eventualidade de ter feito backups da sua informação para um servidor externo antes do ransomware aparecer no seu PC, restaurar os ficheiros encriptados pelo Encryption é tão simples quanto entrar no seu respetivo interface, selecionar os ficheiros certos e iniciar o processo de restauro. Antes de o fazer deve no entanto ter a completa certeza que removeu por completo o vírus de ransomware do seu computador.
Analise possíveis vestígios da extensão dos ficheiros de vírus .vvv
Uma avaliação após o ocorrido a fim de verificar o componente de precisão nos cenários de remoção de malware é um excelente hábito que previne o ressurgimento de código malicioso ou a reaplicação de frações indesejáveis. Garanta a sua segurança ao executar uma verificação de segurança adicional.