A Linha Defensiva confirmou casos brasileiros de uma praga digital que raramente é vista no país. De provável origem russa, o cavalo de troia Ransomcrypt criptografa arquivos dos usuários, “sequestrando” os dados, e solicita um pagamento como forma de “resgate” para devolver os arquivos à vítima.
A praga criptografa todos os arquivos do usuário, alterando suas extensões para ‘.Bl9c98vcvv‘ ou mesmo ‘.EnCiPhErEd‘. O vírus também modifica as pastas adicionando arquivos textos com o nome “HOW TO DECRYPT FILE”, onde existe as explicações de recuperação.
Informações contidas no arquivo texto criado pelo vírus (Foto: Reprodução)
Os criminosos exigem um pagamento para a liberação do código que irá descriptografar os arquivos. Esse pagamento é feito através da compra de créditos Ukash, uma moeda utilizada na Europa para transações eletrônicas.
Segundo o CERT SI da Eslovênia, a infecção pode ocorrer em sites legítimos que foram atacados por hackers. Em alguns casos, a instalação pode explorar uma vulnerabilidade no navegador do internauta e instalar a praga automaticamente.
A maioria dos antivírus já detecta a primeira versão da praga, porém outras versões ainda têm uma detecção reduzida.
Descriptografando os arquivos
Para quem acabou se infectando pode ainda existir uma solução para o problema. O usuário poderá utilizar duas ferramentas:
Dr. Web
A primeira é o TE94Decrypt da Dr. Web. Ao rodar a ferramenta em linha de comando, pode ser utilizados diferentes parâmetros para uma melhor ação.
Os parâmetros variam de acordo com a extensão utilizada, porém comandos como -k 91 ou -k 88 foram bem sucedidos. Pode se usar também -k 42, -k 85, -k 11, -k 55.
Dois usuários do fórum da Linha Defensiva tiveram seus computadores infectados pelo novo ramwasore e ambos conseguiram recuperar os arquivos com a ferramenta da Dr. Web
Kaspersky
A segunda ferramenta é o WindowsUnlocker da Kaspersky. O uso dela é feito de forma diferente. Consulte a página no site da Kaspersky para mais informações.
Linha Defensiva 
Pessoal, eu peguei esse Demonio… e gente realmente o TE94 Decrypt com a o paramentro -k 91 funciona, ele devolveu meus arquivos todos de volta, se depender disso esse cara vai morrer pobre. Pessaol obrigado pela Dica
CurtirCurtir
Amigo, como vc conseguiu, eu tenho um livro, que o viris criptografou, não posso perder, me ajuda. o te94decrypt.exe pede um usuário e senha.
CurtirCurtir
diego como voce fez?
CurtirCurtir
eu tambem peguei esse virus mais não estou conseguindo recuperar arquivos do mysql
como eu faço para recuparar arquivos .sql .rar .7z
CurtirCurtir
Entre em contato comigo tenho a solução – joab_mt@hotmail.com
CurtirCurtir
gente sou nob aki, na hora q clico no linq do te94 ele pede um usuario e senha ja tentei o do forun nao deu qual seria ???
CurtirCurtir
Estou com mesmo problema porem não consigo abaixar o TE94 Decrypt ele pede login senha do FTP, e quando eu abaixei em outro local ele pede para inserir key – Alguem de Nobre conhecimento poderia me ajudar estou ficando louco já
Att
CurtirCurtir
O mesmo aqui comigo, alguém já sabe como é que resolve?
CurtirCurtir
O TE94Decrypt esta pedindo uma senha de ftp alguem sabe?
CurtirCurtir
Nao consigo baixar
CurtirCurtir
Boa noite! Meu PC foi infectado com esse vírus, o Decryptowall. Eu já removi os malware, mas não estou conseguindo recuperar os meus arquivos corrompidos. Como e onde eu encontro o programa TE94Decrypt?
CurtirCurtir
Alguem conseguiu?
Estou com o mesmo problema.
CurtirCurtir