Como desbloquear o ransomware CryptXXX

28 abr 2016

A experiência de usuários com ransomwares normalmente é: você acessa um site, de forma acidental faz download de um arquivo e o instala. Muitas vezes, nem percebe que fez isso.

Por um tempo nada acontece, mas de modo repentino você recebe uma mensagem informando que seus arquivos foram encriptados por um Trojan e terá de pagar um resgate para liberá-los. Depois do susto inicial, tenta confirmar a história para ter certeza de que não é uma brincadeira: todos os arquivos estão bloqueados e não consegue acessá-los. Além disso, nota que receberam uma nova extensão, .crypt.

cryptxxx-featured

Caso você se encontre nessa situação, seu sistema foi infectado por um CryptXXX. Além de bloquear seus arquivos, o Trojan também rouba dados pessoais e bitcoins. No entanto, temos boas notícias: existe uma ferramenta gratuita que pode salvar seu sistema.

O que é um CryptXXX?
Caso você esteja aqui pelo manual de desbloqueio, pule essa parte, já que a informação que você quer está mais abaixo. Nessa seção, falaremos de fatos sobre o Trojan.

No dia 15 de abril, pesquisadores da Proofpoint descobriram um ransomware que utilizava o kit de exploit Angler para infectar dispositivos Windows. Como os criminosos não deram nome a sua criação, os pesquisadores começaram a chamá-lo de CryptXXX. O nome foi provavelmente escolhido pelo fato do malware adicionar a extensão .crypt aos arquivos bloqueados e por XXX ser o segundo nome do Angler.

O CryptXXX é um ransomware no mínimo interessante. Os arquivos do PC e de qualquer mídia de armazenamento são encriptados pouco depois da infecção. Os criminosos usam esse espaço de tempo para confundir as vítimas e diminuírem as chances de identificação dos sites que espalham o malware.

Terminado o bloqueio, o Trojan cria três arquivos: um de texto, uma imagem e uma página HTML. A imagem é colocada como papel de parede da área de trabalho (para garantir que a vítima entenda o que está acontecendo). A página na web é aberta no navegador, enquanto o arquivo de texto é mantido no disco rígido. Todos os manuais têm textos similares.

A vítima é informada que os arquivos foram encriptados com o auxílio de um RSA4096, um algoritmo forte – e os criminosos exigem 500 dólares em bitcoins pelo desbloqueio dos dados. O usuário tem de instalar o Tor e clicar no link do manual, que abre um site com instruções detalhadas e o canal de pagamento. Tem até uma parte de “Perguntas Frequentes”.

Além disso, o CryptXXX também reflete a ganância de seus criadores. Não satisfeitos em bloquear seus arquivos, o Trojan rouba bitcoins e qualquer informação que possa ser útil para os cibercriminosos.

É péssimo, mas existe uma luz no fim do túnel!
Normalmente, é bem difícil encontrar uma solução universal para a criptografia de ransomwares de hoje em dia. Por isso, às vezes, a única coisa que a vítima pode fazer é pagar o resgate. Não recomendamos essa opção, a não ser que realmente seja o último recurso.

Felizmente, o CryptXXX não se mostrou um grande desafio nesse sentido. Os especialistas da Kaspersky Lab criaram uma ferramenta que pode auxiliar o usuário a restaurar arquivos bloqueados.

O RannohDecryptor foi inicialmente criado para desbloquear arquivos criptografados pelo ransomware Rannoh. Com o tempo, ele adquiriu funções adicionais e bem úteis. Agora, a ferramenta pode ser usada para desbloquear arquivos infectados pelas atividades do CryptXXX.

Para recuperar seus arquivos, precisaremos da versão não encriptada de pelo menos um dos arquivos bloqueados.

Siga os seguintes passos:
1. Faça o download da ferramenta e execute o arquivo.

2. Após a instalação, abra em “Configurações” e escolha o tipo de unidade (removível, rede ou disco rígido) que deve ser verificada. Não marque a opção “Delete os arquivos criptografados depois do desbloqueio” até você ter acesso à 100% dos seus arquivos.

3. Você lembra da cópia do arquivo desencriptado que mencionamos? É a hora de usá-lo. Clique em “Start Scan” e selecione onde esse arquivo ou todos os demais que você tenha cópia com a extensão .crypt. Em seguida, a ferramenta vai pedir os arquivos originais.

4. Depois, o RannohDecryptor começará a pesquisar as correspondências na extensão “.crypt” e tentará desbloquear todos os arquivos. Quanto maior o número de cópias dos arquivos originais você tiver desbloqueado, mais arquivos poderão ser desencriptados.

Proteja seus dispositivos!
O melhor cenário é não contar com a sorte e prevenir-se contra o CryptXXX em todos os seus dispositivos. Nossa ferramenta resolve o problema de infecção hoje, mas rapidamente os criminosos podem realizar alguma atualização, aprimorando o ransomware que poderá escapar do nosso sistema. Muitos cibercriminosos estão desenvolvendo novos códigos para os malwares com intuito de impossibilitar o desbloqueio dos arquivos, sem o pagamento do resgate ou de nenhuma forma. Por exemplo, isso ocorreu com o ransomware TeslaCrypt: logo no início da difusão do malware, uma ferramenta que podia desbloquear os arquivos encriptados foi disponibilizada, mas hoje ela é praticamente inútil.

Vale ressaltar também que o CryptXXX rouba dados pessoais e dinheiro – compartilhá-los com os criminosos é certamente uma ideia ruim.

Para se proteger, siga essas regras de cibersegurança.

1. Faça backups regularmente.

2. Instale todas as atualizações críticas do sistema operacional de seus dispositivos e dos navegadores que você usa. O pacote do exploit Angler usado pelo CryptXXX aproveita as vulnerabilidades de software para infiltrar o ransomware.

3. Instale uma solução de segurança adequada. O Kaspersky Internet Security fornece uma proteção em múltiplas camadas contra ransomwares. O Kaspersky Total Security integra a proteção completa com backups automáticos.

Você pode encontrar mais informações sobre como se proteger de ransomware aqui.