Disco Rígido (fDhooghe / Freeimages)

Dados criptografados provavelmente estão perdidos definitivamente. (fDhooghe / Freeimages)

A Linha Defensiva tem recebido recentemente mensagens de leitores com dúvidas sobre ransomwares e também sobre a ferramenta TE94decrypt.exe.

Ransomwares são códigos maliciosos que “sequestram” os arquivos do computador por meio de uma cifra criptográfica. Ou seja, os dados dos arquivos são “embaralhados” e não podem mais ser usados.

As pragas exibem telas que dizem que você precisa efetuar um pagamento de dezenas ou centenas de dólares para ter seus arquivos de volta.  Os arquivos ficam com extensões variadas, como .exx, entre outras. Os golpistas lucram com o golpe — o objetivo do vírus não é simplesmente “destruir” os dados. Eles estão lá, mas inacessíveis.

Mesmo quando esses vírus são removidos, os arquivos não são restaurados para o estado original.

Antigamente era possível restaurar os arquivos, decifrando-os. Foi nessa época (2011 e 2012) que a fabricante de antivírus Dr. Web criou diversas ferramentas para a recuperação dos arquivos, entre elas a TE94decrypt. Usando o TE94decrypt era possível ter os arquivos de volta.

Infelizmente, esse não é mais o caso. O TE94decrypt é inútil contra os ransomwares modernos.

CryptoLocker e o par de chaves

Desde 2014, com a disseminação da praga CryptoLocker, a “tecnologia” dessas pragas digitais evoluiu e passou a usar uma fórmula criptográfica de chaves públicas e privadas. Nesse modelo, a chave que cifra e a chave que decifra são diferentes.

Isso significa que o vírus é capaz de cifrar ou embaralhar os dados sem que a chave que os decifra tenha qualquer contato com o computador.

Em alguns vírus, em que a chave é a mesma, é possível recuperar os arquivos fazendo uma busca na memória do computador, por exemplo. Mas, quando a chave é diferente, isso não é mais possível.

Para piorar, as chaves usadas para cifrar os arquivos são longas e altamente seguras. Esse tipo de criptografia é considerada de “padrão militar” e, para quebrá-la, é necessário um supercomputador trabalhando durante anos ou até décadas.

Se você está infectado com um ransomware moderno, que usa um par de chaves, não há meio de decifrar os arquivos.

Existe outro meio de recuperar?

Os ransomwares gravam os dados criptografados “ao lado” do arquivo original e só depois apagam o arquivo.

Quando arquivos são apagados, eles não “somem” do disco. O sistema operacional marca o espaço que eles ocupavam como livre, mas os dados ainda estão lá.

Isso significa que as informações ainda podem ser recuperadas, desde que outro arquivo não tenha sido colocado no lugar. Se dados foram ou não colocados no lugar — isso depende da sorte.

Programas de recuperação de dados como o Recuva podem mostrar dados que ainda estão no disco e que foram apagados. É a única maneira de obter de volta alguma coisa.

Backup, backup, backup

Os ransomwares demonstram a importância de um backup. Um backup feito corretamente é uma cópia extra de um arquivo armazenada em uma mídia inacessível (como um disco externo que não está sempre conectado ao computador, um DVD-R, etc).

Não adianta fazer “backup” para um HD externo que está sempre ligado ao computador — o vírus também pode danificar ou cifrar esses arquivos. A mídia de backup precisa ser exclusiva para essa finalidade; ela não é um “armazenamento extra” sempre disponível.

Se os arquivos foram cifrados e você tem um backup, basta restaurar o backup após remover o vírus.

Anúncios

Escrito por Altieres Rohr

Jornalista e tradutor. Editor dos sites Linha Defensiva e Garagem 42 e colunista de Segurança Digital no portal G1 da Rede Globo.

13 Comments

  1. Filipe Augusto 19/05/2015 às 15:01

    Trabalho em uma empresa que presta consultoria de TI. Nas últimas semanas tivemos problemas de infecção por Ransoware em vários de nossos clientes. Realmente é um dos mlawares que tem dado mais dor de cabeça nos últimos tempos. Excelente post, bem explicativo!

    Curtir

    Responder

    1. Pharlem Martins 18/12/2015 às 16:17

      Como conseguiu resolver???

      Curtir

      Responder

      1. Filipe Augusto 19/12/2015 às 12:11

        Infelizmente a única forma de resolver o problema é voltando um backup.

        Curtir

      2. marcio roberge 07/01/2016 às 12:53

        eu consegui recuperar os arquivos pelo cmd atraves de um script

        Curtir

      3. Stéfani Prata 24/03/2016 às 14:35

        como vc recuperou marcio?

        Curtir

      4. Antonio GOMES FILHO 19/12/2016 às 18:01

        Marcio Boa tarde, Por favor, qual script vc usou para restaurar os arquivos corrompidos ?

        Curtir

      5. poderia informar qual script utilizou?

        Curtir

  2. Bom ver a Linha Defensiva na ativa novamente!
    Os especialistas sempre dizem que precisamos ter no mínimo 5 backups, vou tentando me virar por aqui :)

    Uma dúvida: Esses ransonwares, podem bagunçar arquivos em Cloud também?

    Curtir

    Responder

    1. Como muitos serviços de cloud espelham uma pasta do PC automaticamente, eles podem cifrar esses arquivos também. Mas os serviços de cloud costumam ter uma opção embutida para restaurar versões anteriores dos arquivos.

      Não é preciso ter cinco backups. Basta um. O que às vezes é bom é ter backups de datas diferentes. Isso é para o caso de um arquivo ter sido corrompido em determinado ponto e isso não foi percebido e a cópia do backup também está corrompida. Aí o único meio de restaurar é tendo um backup anterior.

      Curtir

      Responder

      1. Valeu, valeu, muito obrigado!
        Sanou a dúvida! :)

        Curtir

      2. Ótima recomendação, man!

        Curtir

    2. Bom dia, podemos ajudar em caso de virus que criptografa seus arquivos mande 1 arquivo .doc para email marcosadir@outlook.com para analise.

      Curtir

      Responder

  3. Excelente post com ótimas recomendações. Irei trabalhar mais com backups. O HD externo não é muito interessante justamente por causa da característica citada de ser usado com certa frequência.

    Curtir

    Responder

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s