Como remover o ransomware CoinVault e restaurar seus arquivos

16 abr 2015

Na maioria do casos, se você é uma vítima de ransomware, não há nada que você possa fazer. Por sorte, de vez em quando, a polícia e as empresas de cibersegurança interrompem os servidores de comando e controle deste ou daquele ransomware e recuperam a informação  a partir deles. Esta informação é muito útil, porque ajuda a criar ferramentas de decodificação e a recuperar os arquivos dos usuários como resultado. Recentemente, a polícia de crimes digitais da Holanda e a Kaspersky Lab conseguiram uma solução igual para as vítimas do ransomware CoinVault.

coinvault-logo

Se você quer saber mais sobre o próprio CoinVault, você pode ler o nosso relatório detalhado na Securelist. Se você está interesado em saber como exatamente nós criamos uma solução de decodificação, então de novo, nós vamos sugerir outro caminho, o blog narrow. E se você estiver procurando por instruções sobre como conseguir se livrar deste ransomware e restaurar seus arquivos, então vamos direto ao assunto.

Passo 1: Você está infectado com o CoinVault?

Em primeiro lugar, certifique-se de que seus arquivos foram roubados pelo CoinVault e não por outro ransomware. Isto é bastante fácil de determinar: se você está infectado com o CoinVault, você verá uma imagem como esta abaixo:

convault-decryption-1

Passo 2: Consiga o endereço da carteira Bitcoin

No canto inferior direito do CoinVault você verá o endereço da carteira Bitcoin (está marcado com um círculo preto na imagem acima). É muito importante que você copie e salve este endereço!

Passo 3: Veja a lista de arquivos criptografados

No canto superior esquerdo da janela do malware você pode ver um botão “Exibir lista de arquivos criptogrados” (está marcado com círculo azul na imagem acima). Clique nesse botão e salve a saída para um arquivo.

Passo 4: Remova o CoinVault

Vá para https://kas.pr/kismd-cvault e baixe a versão de teste do Kaspersky Internet Security. Instale-o e remova o CoinVault do seu sistema. Certifique-se de que você salvou toda a informação que informamos nos passos 2 e 3.

Passo 5: Verifique https://noransom.kaspersky.com

Em https://noransom.kaspersky.com você pode digitar o endereço da carteira Bitcoin do passo 2. Se o seu endereço da carteira Bitcoin é conhecido, o IV e Códigos aparecem na tela. Por favor note que os códigos múltiplos e Ivs podem aparecer. Neste caso, salve todos os códigos e IVs para o seu computador, você pode precisar deles no futuro.

coinvault-decryption-4

Passo 6: Baixe a ferramenta de decodificação

Faça o download da ferramenta de decodificação em https://noransom.kaspersky.com e execute-o no seu computador. Se você recceber uma mensagem de erro, como essa mostrada abaixo, vá para o passo 7. Se não, pule o passo 7 e vá para o passo 8.

coinvault-decryption-2

Passo 7: Baixe e instale a bibliotecas adicionais

Vá para http://www.microsoft.com/en-us/download/details.aspx?id=40779 e siga as instruções do site. Em seguida, instale o software.

Passo 8: Inicie a ferramenta de decodificação

Ao iniciar a ferramenta, você verá a tela abaixo:

coinvault-decryption-3

Passo 9: Teste se a decodificação funciona corretamente

Ao executar a ferramenta pela primeira vez, recomendamos fortemente que você faça um teste de decodificação. Faça o seguinte:

  • Clique no botão “Selecionar arquivo”, depois na caixa “Decodificação Arquivo Único” e selecione o arquivo que você deseja decodificar;
  • Digite o IV a partir do site na caixa de IV;
  • Digite o código do site na caixa de códigos;
  • Clique no botão “Iniciar”.

Verifique se o arquivo recém-criado está devidamente decodificado.

Passo 10: Decodifique todos os arquivos roubados pela CoinVault

Se tudo estiver ok até o passo 9, então você pode recuperar todos os seus arquivos de uma só vez. Para fazer isso, selecione a lista de arquivos a partir do passo 3, digite o IV e o código e clique em iniciar. Você pode selecionar “Substituir arquivo criptografado com contéudo decodificado” se você quiser.

Se você recuperar vários IVs e códigos quando você registrou seu endereço de carteira Bitcoin, por favor, tenha muito cuidado. Neste momento, você não está 100% protegido, onde vários IVs e códigos a partir de uma carteira Bitcoin podem ir. Nesse caso, recomendamos deixar “Substituir o arquivo criptografado com contéudo decodificado”. Se alguma coisa der errado com a decodificaçao você pode tentar outro IV+código até que o arquivo seja decodificado com sucesso.

Se você não conseguir recuperar todo o IV e código, você deve esperar e verificar em https://noransom.kaspersky.com. A investigação está em andamento, e nós vamos adicionar novos códigos, assim que eles estiverem disponivéis.

Tradução: Juliana Costa Santos Dias