A Linha Defensiva confirmou casos brasileiros de uma praga digital que raramente é vista no país. De provável origem russa, o cavalo de troia Ransomcrypt criptografa arquivos dos usuários, “sequestrando” os dados, e solicita um pagamento como forma de “resgate” para devolver os arquivos à vítima.

A praga criptografa todos os arquivos do usuário, alterando suas extensões para ‘.Bl9c98vcvv‘ ou mesmo ‘.EnCiPhErEd‘. O vírus também modifica as pastas adicionando arquivos textos com o nome “HOW TO DECRYPT FILE”, onde existe as explicações de recuperação.

Informações contidas no arquivo texto criado pelo vírus (Foto: Reprodução)

Os criminosos exigem um pagamento para a liberação do código que irá descriptografar os arquivos. Esse pagamento é feito através da compra de créditos Ukash, uma moeda utilizada na Europa para transações eletrônicas.

Segundo o CERT SI da Eslovênia, a infecção pode ocorrer em sites legítimos que foram atacados por hackers. Em alguns casos, a instalação pode explorar uma vulnerabilidade no navegador do internauta e instalar a praga automaticamente.

A maioria dos antivírus já detecta a primeira versão da praga, porém outras versões ainda têm uma detecção reduzida.

Descriptografando os arquivos

Para quem acabou se infectando pode ainda existir uma solução para o problema. O usuário poderá utilizar duas ferramentas:

Dr. Web

A primeira é o TE94Decrypt da Dr. Web. Ao rodar a ferramenta em linha de comando, pode ser utilizados diferentes parâmetros para uma melhor ação.

Os parâmetros variam de acordo com a extensão utilizada, porém comandos como -k 91 ou -k 88 foram bem sucedidos. Pode se usar também -k 42, -k 85, -k 11, -k 55.

Dois usuários do fórum da Linha Defensiva tiveram seus computadores infectados pelo novo ramwasore e ambos conseguiram  recuperar os arquivos com a ferramenta da Dr. Web

Kaspersky

A segunda ferramenta é o WindowsUnlocker da Kaspersky. O uso dela é feito de forma diferente. Consulte a página no site da Kaspersky para mais informações.

Anúncios

Escrito por engineerbr

12 comentários

  1. Diego Siqueira 27/04/2012 às 15:50

    Pessoal, eu peguei esse Demonio… e gente realmente o TE94 Decrypt com a o paramentro -k 91 funciona, ele devolveu meus arquivos todos de volta, se depender disso esse cara vai morrer pobre.  Pessaol obrigado pela Dica

    Curtir

    Responder

    1. Amigo, como vc conseguiu, eu tenho um livro, que o viris criptografou, não posso perder, me ajuda. o te94decrypt.exe pede um usuário e senha.

      Curtir

      Responder

  2. diego como voce fez?

    Curtir

    Responder

  3. ronald santos 08/07/2013 às 17:15

    eu tambem peguei esse virus mais não estou conseguindo recuperar arquivos do mysql
    como eu faço para recuparar arquivos .sql .rar .7z

    Curtir

    Responder

    1. Entre em contato comigo tenho a solução – joab_mt@hotmail.com

      Curtir

      Responder

  4. feehvicente 13/03/2014 às 22:38

    gente sou nob aki, na hora q clico no linq do te94 ele pede um usuario e senha ja tentei o do forun nao deu qual seria ???

    Curtir

    Responder

  5. Estou com mesmo problema porem não consigo abaixar o TE94 Decrypt ele pede login senha do FTP, e quando eu abaixei em outro local ele pede para inserir key – Alguem de Nobre conhecimento poderia me ajudar estou ficando louco já

    Att

    Curtir

    Responder

    1. O mesmo aqui comigo, alguém já sabe como é que resolve?

      Curtir

      Responder

  6. O TE94Decrypt esta pedindo uma senha de ftp alguem sabe?

    Curtir

    Responder

  7. Bruno Araujo 08/04/2015 às 11:57

    Nao consigo baixar

    Curtir

    Responder

  8. Boa noite! Meu PC foi infectado com esse vírus, o Decryptowall. Eu já removi os malware, mas não estou conseguindo recuperar os meus arquivos corrompidos. Como e onde eu encontro o programa TE94Decrypt?

    Curtir

    Responder

    1. Alguem conseguiu?
      Estou com o mesmo problema.

      Curtir

      Responder

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

w

Conectando a %s