content/pt-br/images/repository/isc/2021/ransomware-removal.jpg

Em uma infecção por ransomware, seus dados são criptografados ou seu sistema operacional é bloqueado por cibercriminosos. Esses criminosos normalmente exigem o pagamento de um resgate em troca da descriptografia dos dados. O ransomware pode entrar em um dispositivo de muitas maneiras diferentes. As rotas mais comuns incluem infecções em sites maliciosos, add-ons indesejados em downloads e spam. Os alvos dos ataques de ransomware incluem tanto indivíduos como empresas. Várias medidas podem ser tomadas para se proteger contra ataques de ransomware, com um olhar atento e o software certo sendo passos importantes na direção certa. Um ataque de ransomware significa perda de dados, gasto de grandes quantias de dinheiro ou ambos.

Detectando um ransomware

Como saber se o computador está infectado? Estas são algumas maneiras de detectar um ataque de ransomware:

  • O verificador antivírus dispara um alarme. Se o dispositivo tiver um verificador de vírus, ele poderá detectar a infecção por ransomware com antecedência, a menos que ele seja contornado.
  • Verifique a extensão do arquivo. Por exemplo, a extensão normal de um arquivo de imagem é ".jpg". Se essa extensão tiver mudado para uma combinação de letras desconhecida, pode haver uma infecção por ransomware.
  • Mudança de nome. Os arquivos têm nomes diferentes daqueles que você definiu? O programa malicioso muitas vezes altera o nome do arquivo quando criptografa os dados. Isso também pode ser uma pista.
  • Aumento da atividade da CPU e do disco. O aumento da atividade do disco ou do processador principal pode indicar que o ransomware está funcionando em segundo plano.
  • Comunicação de rede duvidosa. A interação do software com o cibercriminoso ou com o servidor do hacker pode resultar em uma comunicação de rede suspeita.
  • Arquivos criptografados. Um sinal tardio de atividade de ransomware é que os arquivos não podem mais ser abertos.

Finalmente, uma janela contendo um pedido de resgate confirma a existência de uma infecção por ransomware. Quanto antes a ameaça for detectada, mais fácil será combater o malware. A detecção precoce de uma infecção por cavalo de Troia de criptografia pode ajudar a determinar que tipo de ransomware infectou o dispositivo. Muitos cavalos de Troia de extorsão se eliminam depois que a criptografia é executada, de modo que não possam ser examinados e descriptografados.

Ocorreu uma infecção por ransomware: quais são as suas opções?

O ransomware geralmente se divide em dois tipos: ransomware de bloqueio e ransomware de criptografia. Um ransomware de bloqueio trava a tela inteira, enquanto o ransomware de criptografia criptografa "apenas" arquivos individuais. Independentemente do tipo de cavalo de Troia de criptografia, as vítimas geralmente têm três opções:

  1. Eles podem pagar o resgate e esperar que os cibercriminosos cumpram com sua palavra e descriptografem os dados.
  2. Eles podem tentar remover o malware usando as ferramentas disponíveis.
  3. Eles podem restaurar o computador com as configurações de fábrica.

Como remover cavalos de Troia de criptografia e descriptografar os dados

Tanto o tipo de ransomware como o estágio em que a infecção é detectada têm um impacto significativo na luta contra o vírus. A remoção do malware e a restauração dos arquivos não é possível com todas as variantes de ransomware. Aqui estão três maneiras de combater uma infecção.

Detecção de um ransomware: quanto antes, melhor!

Se o ransomware for detectado antes do pedido de resgate, você tem a vantagem de poder excluir o malware. Os dados que foram criptografados até este ponto permanecem criptografados, mas o ransomware pode ser parado. A detecção precoce significa que o malware pode ser impedido de se espalhar para outros dispositivos e arquivos.

Se você fizer backup dos seus dados externamente ou em um armazenamento em nuvem, você poderá recuperar seus dados criptografados. Mas o que fazer se você não tiver um backup de seus dados? Recomendamos que você entre em contato com o fornecedor de sua solução de segurança de Internet. Talvez já exista uma ferramenta de descriptografia para o ransomware de que você foi vítima. Você também pode visitar o site do projeto No More Ransom. Essa iniciativa do setor foi lançada para ajudar todas as vítimas de ransomware.

Instruções para remover o ransomware de criptografia de arquivos

Se foi vítima de um ataque de ransomware de criptografia de arquivo, você pode seguir estas etapas para remover o cavalo de Troia de criptografia.

Etapa 1: Desconecte-se da Internet

Primeiro, remova todas as conexões, tanto virtuais como físicas. Isso inclui dispositivos sem fio e com fio, discos rígidos externos, qualquer mídia de armazenamento e contas na nuvem. Isso impede a propagação do ransomware dentro da rede. Se você suspeitar que outras áreas foram afetadas, execute as seguintes etapas de backup para essas áreas também.

Etapa 2: Realize uma investigação com seu software de segurança de Internet

Execute uma verificação antivírus usando o software de segurança de Internet que você tem instalado. Isso ajudará a identificar as ameaças. Se forem encontrados arquivos perigosos, você pode excluí-los ou colocá-los em quarentena. É possível excluir os arquivos maliciosos de forma manual ou automática usando o software antivírus. A remoção manual do malware só é recomendada para usuários com conhecimentos de informática.

Etapa 3: Use uma ferramenta de descriptografia de ransomware

Se o seu computador estiver infectado com um ransomware que criptografa dados, você precisará de uma ferramenta de descriptografia apropriada para recuperar o acesso. Na Kaspersky, estamos constantemente investigando os tipos de ransomware mais recentes para que possamos fornecer ferramentas de descriptografia apropriadas para combater esses ataques.

Etapa 4: Restaure o backup

Se você fez backup dos dados externamente ou em um armazenamento na nuvem, crie um backup dos dados que ainda não foram criptografados pelo ransomware. Se você não tiver nenhum backup, limpar e restaurar o seu computador será muito mais difícil. Para evitar essa situação, é recomendável que você faça backups regularmente. Se você tende a esquecer essas coisas, use os serviços de backup automático na nuvem ou marque compromissos no seu calendário para lembrá-lo.

Como remover ransomware de bloqueio de tela

No caso de um ransomware de bloqueio de tela, a vítima é confrontada primeiro com o desafio de conseguir acessar o software de segurança. Ao iniciar o computador no Modo de Segurança, há a possibilidade de que a ação de bloqueio de tela não seja carregada e a vítima possa usar o seu programa antivírus para combater o malware.

Pagar o resgate: sim ou não?

Geralmente, não é recomendávelpagar resgates. Tal como a política de não negociação em uma situação real com reféns, uma abordagem semelhante deve ser seguida quando os dados são tomados como reféns. O pagamento do resgate não é recomendado porque não há nenhuma garantia de que os criminosos realmente cumprirão com a promessa e descriptografarão os dados. Além disso, o pagamento pode incentivar esse tipo de crime, o que deve ser evitado a todo custo.

Se tiver a intenção de pagar o resgate mesmo assim, você não deve remover o ransomware do seu computador. Na verdade, dependendo do tipo de ransomware ou do plano do cibercriminoso em relação à descriptografia, o ransomware pode ser a única maneira de aplicar um código de descriptografia. A remoção prematura do software tornaria o código de descriptografia (comprado a um grande custo) inutilizável. Mas se realmente recebeu um código de descriptografia e ele funciona, você deve remover o ransomware do dispositivo o mais rápido possível após os dados serem descriptografados.

Tipos de ransomware: quais são as diferenças sobre como proceder?

Existem muitos tipos diferentes de ransomware, alguns dos quais podem ser desinstalados em apenas alguns cliques. Por outro lado, no entanto, existem também variantes do vírus muito mais complexas e difíceis de remover.

Existem diferentes opções para remover e descriptografar os arquivos infectados, dependendo do tipo de ransomware. Não existe uma ferramenta de descriptografia universal que funcione para todas as diversas variantes de ransomware.

As seguintes questões são importantes quando se trata da remoção adequada do ransomware:

  • Que tipo de vírus infectou o dispositivo?
  • Existe um programa de descriptografia adequado. Em caso afirmativo, qual é o programa?
  • Como o vírus entrou no sistema?

O Ryuk pode ter entrado no sistema por meio do Emotet, por exemplo, o que implica uma diferença na forma como o problema é tratado. Se for uma infecção por Petya, o Modo de Segurança é uma boa maneira de removê-lo. Você pode encontrar mais informações sobre as diferentes variantes de ransomware aqui.

Conclusão

Mesmo com as melhores precauções de segurança, um ataque de ransomware nunca pode ser excluído com toda certeza. Se o pior acontecer, um excelente software de segurança, como o da Kaspersky, uma boa preparação e uma ação cuidadosa podem ajudar a atenuar as consequências do ataque. Tendo em mente os sinais de aviso de um ataque de ransomware, você pode detectar e combater uma infecção precocemente. No entanto, mesmo que tenha sido exigido um resgate, você tem várias opções à disposição e pode escolher o que for melhor de acordo com a sua situação individual. Lembre-se de que fazer backup dos seus dados regularmente reduzirá muito o impacto de um ataque.

Removendo o ransomware | Descriptografando os dados: como acabar com o vírus

Detecção de cavalos de Troia de criptografia, remoção do software de ransomware do computador e descriptografia dos dados. Veja como fazer isso.
Kaspersky Logo