A pior parte relacionada com um ataque banal de ransomware é que a vítima fica impedida de aceder aos seus dados pessoais. Apesar de não ser propriamente problemático livrar-se um código malicioso, a informação importante permanece inacessível até que o usuário infetado a recupere, precisando para isso de pagar. A mais recente variação da espécie de ransomware Dharma obedece a esse caminho em particular, encriptando arquivos e juntando o apêndice da extensão .onion a eles.
O que é o ransomware Onion?
Como falámos acima, a extensão de arquivos .onion é um indicador de uma sabotagem, que acompanha a mais recente forma de operacionalização do ransomware Dharma. A família desses vírus de encriptação possui um contexto histórico enorme, com altos e baixos, assim como liberações inesperadas de chaves-mestras de desencriptação que ocorreram duas vezes nos últimos seis meses. Independentemente da edição, esse contágio digital vicioso tem usado constantemente um mecanismo robusto de criptografia que contorna a eventual decriptação. Dito de outro jeito, quando as vítimas são confrontadas com essa maleita, ficam com problemas e correm o risco de perder todos os seus arquivos pessoais, documentos, imagens, bases de dados, vídeos e outros tipos de dados.
O ransomware Onion, que é a forma pela qual ele é conhecido, afetas os arquivos de várias formas. Primeiro, e acima de tudo, utiliza um combo de cifras RSA e AES, para que seja impossível ao usuário malogrado aceder à informação. Como resultado do seu impacto, nem abrir nem editar as entradas é algo verosímil. Em segundo lugar, o Trojan também altera o aspeto externo dos arquivos afetados. Ele pega no nome original e acrescenta o sufixo que é composto por uma série que obedece ao padrão seguinte: id-[identificador da vítima].[endereço de email do atacante].onion. para que você tenha uma ideia mais clara do resultado, aqui fica uma manifestação de uma entrada de dados arbitrária atingida por essa peste: Q1_Report.pdf.id-6A563F28.[volantem_diem@aol.com].onion. O ID é único para cada usuário e o email varia de campanha para campanha. Alguns outros endereços que chamaram a atenção dos investigadores incluem volantem_diem@zoho.eu, felix_dies@aol.com and nicecrypt@india.com.
Para informar a vítima exatamente daquilo que está acontecendo e como ela poderá lidar com essa situação complicada, o ransomware Onion libera um ou vários arquivos de ajuda no ambiente de trabalho e também dentro das pastas, que incluem dados bloqueados. Essa nota de resgate é nomeada Info.hta, que provavelmente também traz consigo um texto simples nomeado como Readme.txt. A mensagem de aviso colocada em ambos diz, “Todos os seus arquivos foram encriptados devido a um problema de segurança com o seu PC. Se você pretende restaurá-los, escreva-nos um email para volantem_diem@aol.com,” onde o endereço correspondo a uma sub campanha específica da extorsão. O usuário deverá responder com o seu ID pessoal no título da mensagem, enviando o email e esperando uma resposta com passos mais detalhados. Resumidamente, a decriptação se resume a pagar um resgate 0.5-1 BTC para a carteira Bitcoin desses bandidos. Após esse pagamento ser confirmado, os perpetradores da ameaça supostamente irão disponibilizar uma ferramenta de desencriptação. Eles também afirmam que irão restaurar até cinco arquivos não muito importantes antes do pagamento, desde que a vítima peça para isso acontecer.
O vírus de arquivos com extensão .onion é distribuído através de spam maligno. Uma botnet envolvida nesse processo gera emails avulso com arquivos contagiosos anexados. Esses anexos são normalmente arquivos ZIP com um arquivo JavaScript dentro deles, que por sua vez aciona um comando PowerShell para executar a infeção no computador do destinatário. Então tome cuidado com emails duvidosos que pretendam ser faturas, reclamações do seu ISP, faturas de serviços, ofertas de trabalho e assuntos similarmente atrativos – nunca abra os arquivos que eles trazem consigo. Essa parte abaixo inclui mais conselhos sobre a prevenção contra o ransomware e oferece uma multitude de técnicas de resolução de problemas para o caso em que o Trojan já esta dentro do sistema e tenha transformado os arquivos em entradas .onion inacessíveis.
Remoção automática do arquivo de vírus Onion
O extermínio deste ransomware pode ser eficientemente realizado com software de segurança de confiança. Ao ficar-se pela técnica de limpeza automática, garante que todos os componentes da infeção serão completamente erradicados do seu sistema.
- Efetue o download recomendado serviço de segurança e verifique o seu PC para ver se existem objetos maliciosos ao selecionar a opção Iniciar Verificação do Computador (Start Computer Scan)
- A verificação irá fornecer uma lista de itens detetados. Clique em Consertar Ameaças (Fix Threats) para remover o vírus e infeções relacionadas do seu sistema. Ao completar esta fase do processo de limpeza é bastante provável que a praga seja completamente erradicada. Agora terá de enfrentar um desafio maior - tentar obter os seus dados de volta.
Métodos para restaurar os arquivos .onion encriptados
Já foi mencionado que o Onion aplica uma forte encriptação para tornar os seus ficheiros inacessiveis, por isso não há nenhuma varinha mágica que restaure todos os dados encriptados num piscar de olhos, excepto claro quando se sujeita ao impensável ransomware. Existem no entanto técnicas, que o podem ajudar a recuperar todas as coisas que são importantes para si – aprenda quais.
1. Software de recuperação de ficheiros automático
É relativamente interessante saber que o Onion apaga os ficheiros originais num formato não encriptado. É apenas nas cópias que acontece o processo de encriptação e se processa o ransomware. Por isso ferramentas como Stellar Data Recovery podem restaurar os objetos eliminados mesmo que estes tenham sido removidos de forma segura. Esta alternativa vale definitivamente a pena pois fornece uma solução verdadeiramente eficaz.
Baixar Stellar Data Recovery Professional
2. Cópias de Volume Sombra
Esta opção apoia-se no ficheiro nativo de backups do Windows que opera no seu computador, e que é executado a cada ponto de restauro. Há uma importante condição neste método: este funciona se a funcionalidade de Restauro de Sistema estiver ativa antes da contaminação. Adicionalmente, se as alterações forem feitas a um ficheiro após o ponto de restauro mais recente, estas não se irão refletir na versão do ficheiro recuperado.
- Usar a opção de Versões anteriores A caixa de Propriedades para ficheiros aleatórios tem uma aba chamada de Versões anteriores. Esse é o local onde estão as versões em cópia de segurança e a partir das quais pode recuperar o sistema. Por isso, clique com o botão direito do rato num ficheiro, vá a Propriedades, carregue na aba descrita e escolha a opção Copiar ou Restaurar, dependendo da localização para a qual gostaria de ter tudo recuperado
- Aplique o ShadowExplorer O processo acima pode ser automatizado com uma ferramenta chamada de ShadowExplorer. Basicamente, faz a mesma coisa (extraindo Cópias de Volume Ocultas), mas de uma forma mais conveniente. Por isso, descarregue e instale a aplicação, execute-a e navegue até aos ficheiros e pastas cujas versões anteriores pretende que sejam restauradas. Para concluir a tarefa, basta clicar com o botão direito do rato em qualquer uma das entradas e escolher a opção Export
3. Cópias de Segurança
De todas as opções que não são relacionadas com ransomware, esta é uma das mais eficientes. Na eventualidade de ter feito backups da sua informação para um servidor externo antes do ransomware aparecer no seu PC, restaurar os ficheiros encriptados pelo Onion é tão simples quanto entrar no seu respetivo interface, selecionar os ficheiros certos e iniciar o processo de restauro. Antes de o fazer deve no entanto ter a completa certeza que removeu por completo o vírus de ransomware do seu computador.
Verifique se o ransomware Onion foi totalmente removido
Mais uma vez importa dizer que a remoção do malware por si só não conduz à decriptação dos seus ficheiros pessoais. Os métodos de restauração de dados destacados acima poderão ou não consegui-lo, mas o ransomware em si não deve fazer parte do seu computador.
Incidentalmente, ele muitas vezes faz-se acompanhar por malware, ou seja, faz todo o sentido verificar repetidamente o sistema com um software automático de segurança a fim de garantir que não sobram elementos perniciosos do vírus, nem que haja ameaças a ele associadas no Windows Registry e noutras localizações.