Ferramenta contra ransomware ganha novos recursos

28 jul 2016

Ano passado, unimos forças com o governo holandês e criamos o NoRansom, que auxilia vítimas do ransomware CoinVault a restaurar o acesso a seus arquivos. Mais tarde, atualizamos o site com algumas ferramentas para restaurar arquivos codificados por outros cryptors como o TeslaCrypt, CryptXXX e outros do tipo.

nomoreransom-featured

Agora, avançamos mais um passo na caminhada contra ransomwares. Juntamente com a polícia holandesa, Europol e a Intel Security, criamos o NoMoreRansom.org, site desenvolvido para disponibilizar a maior seleção possível de decryptors disponíveis.

Começamos adicionando outra solução contra vírus no site, que ajudará as vítimas do ransomware Shade a recuperar seus arquivos – tudo isso completamente de graça.

Shade
Shade é uma família de cryptors que surgiu no começo de 2015. Seus trojans usam spams maliciosos ou exploit kits como vetores primários de ataques, sendo esse último o mais danoso, porque a vítima não precisa abrir qualquer arquivo – uma visita a um site infectado já basta.

Quando um ransomware infiltra no sistema da vítima, o Trojan solicita uma senha de criptografia do servidor de comando e controle dos criminosos. Caso o servidor esteja indisponível no momento, o malware utiliza uma das senhas embutidas. Isso significa que, mesmo que o PC esteja desconectado da Internet, o ransomware ainda produz danos.

O malware inicia a criptografia dos arquivos. Ele afeta mais de 150 formatos, incluindo arquivos Microsoft Office, imagens e pastas. O Shade adiciona as extensões .xtbl ou .ytbl aos nomes dos arquivos. Concluído a infecção, uma mensagem aparece na tela.

Como se a criptografia não fosse ruim o suficiente, o ransomware continua o trabalho sujo. Durante os momentos em que a vítima está em pânico procurando por um decryptor ou dinheiro para pagar o resgate, o Shade se mantém ocupado, baixando malwares para o PC comprometido.

Obtenha o decryptor gratuito
Se você foi um dos azarados entre as vítimas do Shade, boas notícias: pode esquecer a ideia de pagar o resgate para obter seus arquivos de volta. Eis o que fazer:
1. Vá até NoMoreRansom.org.
2. Mais abaixo na página, você encontrará dois botões para downloads de decryptors. Você pode escolher o da Intel Security ou o da Kaspersky Lab. As instruções abaixo são válidas para o nosso decryptor.
3. Extraia o arquivo baixado, o ShadeDecryptor.zip.
4. Execute o ShadeDecryptor.exe.
5. Na janela do Kaspersky ShadeDecryptor, clique em Change Parameters.

6. Escolha quais drivers a ferramenta deve verificar em busca de arquivos criptografados.
7. Na mesma janela, você pode escolher “Delete crypted files after decryption” que apagará os arquivos infectados depois do desbloqueio. Recomendamos que não faça isso até ter certeza de que seus arquivos foram desencriptados.

8. Clique em “OK” para retornar a tela principal. Clique em Start scan.

9. Na janela “Specify the path to one of encrypted files”, escolha uma pasta que contenha arquivos bloqueados e clique em “Open”.
10. Caso a ferramenta avise não ter conseguido identificar o ID da vítima, especifique o caminho do arquivo readme.txt que é essencialmente a mensagem com o pedido de resgate que irá conter o ID em questão.

Agora, seus arquivos devem estar desbloqueados. Aproveite o dinheiro economizado! Proteja-se de ataques de ransomware no futuro, use soluções de segurança robustas como o Kaspersky Internet Security. Para um pouco mais de orientação sobre ransomware dê uma olhada nesse post.