Uma nova praga ransomware está a espalhar-se pela internet à procura de vítimas. A sua caraterística distintiva é o fato de a extensão .wallet ser acrescentada a todos os ficheiros pessoais armazenados num PC e nas unidades de rede. A extensão contém também o endereço de email dos atacantes, que poderá ser amagnus@india.com, stopper@india.com, ou lavandos@pr.com. Os investigadores apelidaram esta estirpe de ransomware Dharma, com base noutra eventual extensão que ela poderá alavancar.
O que são os amagnus@india.com].wallet, [stopper@india.com].wallet, [lavandos@pr.com].wallet
Parece que o ransomware .wallet é um sucessor da famigerada infeção conhecida como CrySiS, cuja campanha de distribuição foi dada como concluída há algumas semanas. Reconhecendo-lhes mérito, os desenvolvedores nessa altura lançaram as Chaves-Mestras da Desencriptação para que as vítimas pudessem restaurar os seus dados. No caso da maleita Dharma, os atores por detrás da ameaça provavelmente forjaram o código do CrySiS e produziram novas chaves de encriptação que não foram publicadas durante a fuga supracitada. De uma forma ou de outra, o vírus de extensão .wallet está agora solto. É extremamente perigoso e de momento não pode ser desencriptado gratuitamente.
Então, o que é que acontece com os seus ficheiros se este ransomware atingir a sua máquina? Ele utiliza um padrão criptográfico de nível militar para negar o acesso a dados importantes. Além disso, existe outro subproduto deste ataque: a infeção altera os nomes dos ficheiros. Adiciona a cada entrada alterada uma das seguintes extensões: [amagnus@india.com].wallet, .[stopper@india.com].wallet, ou .[lavandos@pr.com].wallet. Já agora, a componente final desta extensão também poderá ser .dharma ou .zzzzz, dependendo da variante particular desta maleita ou da afiliada que a espalha. Por exemplo, um objeto de nome “document.docx” terá o seu nome alterado para “document.docx.[amagnus@india.com].wallet”, onde a parte do email poderá ser diferente.
O fato de os detalhes de contato dos perpetradores estarem diretamente incluídos no nome do ficheiro explica-se a si próprio. Os adversários pretendem que a vítima os contate por email. Depois, em resposta, enviarão um guia passo-a-passo. Se por um lado não há nada de positivo nesta situação complicada, por outro poderá ser possível negociar com os vigaristas e tentar que o preço seja reduzido. O resgate para um computador normalmente custa 2 Bitcoins, mas tende a ser várias vezes superior caso o ficheiro de vírus .wallet infete uma organização com várias máquinas. Outra forma de ter conhecimento sobre os passos preliminares de recuperação passa por consultar as notas de resgaste. A peste Dharma deixa os ficheiros README.txt e README.jpg no ambiente de trabalho, frisando os elementos essenciais para a desencriptação de dados.
Os distribuidores do ransomware .wallet usam sobretudo o spam como método para depositar o seu código malicioso nos PC. Assim, recomenda-se vivamente que evite abrir falsos anexos de email que pretendam ser faturas, queixas de ISP e outros iscos do género. Se uma violação acontecer, assegure-se de que começa por utilizar os métodos abaixo. Estas técnicas poderão ajudar a restaurante alguns ficheiros, estando para lá do método de pagar resgate.
Remover o vírus de extensão de ficheiro .wallet com um removedor automático
O extermínio deste ransomware pode ser eficientemente realizado com software de segurança de confiança. Ao ficar-se pela técnica de limpeza automática, garante que todos os componentes da infeção serão completamente erradicados do seu sistema.
- Efetue o download recomendado serviço de segurança e verifique o seu PC para ver se existem objetos maliciosos ao selecionar a opção Iniciar Verificação do Computador (Start Computer Scan)
- A verificação irá fornecer uma lista de itens detetados. Clique em Consertar Ameaças (Fix Threats) para remover o vírus e infeções relacionadas do seu sistema. Ao completar esta fase do processo de limpeza é bastante provável que a praga seja completamente erradicada. Agora terá de enfrentar um desafio maior - tentar obter os seus dados de volta.
Recupere os ficheiros * .wallet codificados
Já foi mencionado que o .wallet aplica uma forte encriptação para tornar os seus ficheiros inacessiveis, por isso não há nenhuma varinha mágica que restaure todos os dados encriptados num piscar de olhos, excepto claro quando se sujeita ao impensável ransomware. Existem no entanto técnicas, que o podem ajudar a recuperar todas as coisas que são importantes para si – aprenda quais.
1. Software de recuperação de ficheiros automático
É relativamente interessante saber que o .wallet apaga os ficheiros originais num formato não encriptado. É apenas nas cópias que acontece o processo de encriptação e se processa o ransomware. Por isso ferramentas como Stellar Data Recovery podem restaurar os objetos eliminados mesmo que estes tenham sido removidos de forma segura. Esta alternativa vale definitivamente a pena pois fornece uma solução verdadeiramente eficaz.
Baixar Stellar Data Recovery Professional
2. Cópias de Volume Sombra
Esta opção apoia-se no ficheiro nativo de backups do Windows que opera no seu computador, e que é executado a cada ponto de restauro. Há uma importante condição neste método: este funciona se a funcionalidade de Restauro de Sistema estiver ativa antes da contaminação. Adicionalmente, se as alterações forem feitas a um ficheiro após o ponto de restauro mais recente, estas não se irão refletir na versão do ficheiro recuperado.
- Usar a opção de Versões anteriores A caixa de Propriedades para ficheiros aleatórios tem uma aba chamada de Versões anteriores. Esse é o local onde estão as versões em cópia de segurança e a partir das quais pode recuperar o sistema. Por isso, clique com o botão direito do rato num ficheiro, vá a Propriedades, carregue na aba descrita e escolha a opção Copiar ou Restaurar, dependendo da localização para a qual gostaria de ter tudo recuperado
- Aplique o ShadowExplorer O processo acima pode ser automatizado com uma ferramenta chamada de ShadowExplorer. Basicamente, faz a mesma coisa (extraindo Cópias de Volume Ocultas), mas de uma forma mais conveniente. Por isso, descarregue e instale a aplicação, execute-a e navegue até aos ficheiros e pastas cujas versões anteriores pretende que sejam restauradas. Para concluir a tarefa, basta clicar com o botão direito do rato em qualquer uma das entradas e escolher a opção Export
3. Cópias de Segurança
De todas as opções que não são relacionadas com ransomware, esta é uma das mais eficientes. Na eventualidade de ter feito backups da sua informação para um servidor externo antes do ransomware aparecer no seu PC, restaurar os ficheiros encriptados pelo .wallet é tão simples quanto entrar no seu respetivo interface, selecionar os ficheiros certos e iniciar o processo de restauro. Antes de o fazer deve no entanto ter a completa certeza que removeu por completo o vírus de ransomware do seu computador.
Verificar possíveis resquícios do vírus de extensão de ficheiro .wallet
Mais uma vez importa dizer que a remoção do malware por si só não conduz à decriptação dos seus ficheiros pessoais. Os métodos de restauração de dados destacados acima poderão ou não consegui-lo, mas o ransomware em si não deve fazer parte do seu computador.
Incidentalmente, ele muitas vezes faz-se acompanhar por malware, ou seja, faz todo o sentido verificar repetidamente o sistema com um software automático de segurança a fim de garantir que não sobram elementos perniciosos do vírus, nem que haja ameaças a ele associadas no Windows Registry e noutras localizações.