Kaspersky disponibilizou ferramenta pra desbloquear ficheiros infetados pelo ransonware CryptXXX

 

 

banner-cryptxxx

No dia 15 de abril, pesquisadores da Proofpoint descobriram um ransomware que utilizava o kit de exploit Angler para infetar dispositivos Windows. Como os criminosos não deram nome a sua criação, os pesquisadores começaram a chamá-lo de CryptXXX. O nome foi provavelmente escolhido pelo fato do malware adicionar a extensão .crypt aos ficheiros bloqueados e por XXX ser o segundo nome do Angler.

O CryptXXX é um ransomware, no mínimo, interessante pois os ficheiros existentes no PC e de qualquer dispositivo de armazenamento instalado são encriptados logo após a infeção. Os criminosos usam esse espaço de tempo para confundir as vítimas e diminuírem as opções de identificação dos sites que espalham o malware.

 

Terminado o bloqueio, o Trojan cria três ficheiros: um de texto, uma imagem e uma página HTML. A imagem é colocada como wallpaper da área de trabalho (para garantir que a vítima entenda o que está a acontecer). A página na web é aberta no navegador, enquanto o ficheiro de texto é mantido no disco rígido.

A vítima é assim informada que os seus ficheiros foram encriptados com o auxílio de um RSA4096, um algoritmo forte – e os criminosos pedem o pagamento de 500 dólares em bitcoins pelo que sejam desbloqueados os dados. O utilizador tem de instalar o Tor e clicar no link do manual, que abre um site com instruções detalhadas e o canal de pagamento, apresentando inclusive um “FAQ”…

O CryptXXX não se fica apenas pela encriptação de ficheiros e inclui ainda mais alguns “truques na manga” roubando, por exemplo, bitcoins e quaisquer informações que possam ser úteis para os cibercriminosos.

 

Os especialistas da Kaspersky Labs meteram mãos à obra e conseguiram desenvolver um software que permite desbloquear o computador e eliminar este malware.

O RannohDecryptor, assim se chama a ferramenta criada pelos especialistas russos, foi inicialmente criada para desbloquear ficheiros encriptados pelo ransomware Rannoh. Com o tempo, foram adicionadas novas funcionalidades que têm vindo a revelar-se bastante uteis e que permitem desbloquear os ficheiros infetados pelas atividades do CryptXXX.

 

Para recuperar os ficheiros, as vitimas precisarão de aceder a pelo menos um dos ficheiros bloqueados, seguido dos seguintes passos:

  1. Descarregar a ferramenta e executá-la.
  2. Após a instalação, abrir em “Configurações” e escolher o tipo de unidade (amovível, rede ou disco rígido) que deve ser verificada. Não deve ativar a opção “Apagar os ficheiros encriptados após o desbloqueio” até que o utilizador tenha acesso à 100% dos seus ficheiros.
  3. De seguida deve ter um ficheiro que não tenha sido afetado pelo malware e em “Start Scan” , selecionar onde está localizado esse ficheiro ou todos os que tenha em cópia com a extensão .crypt. Em seguida, a ferramenta vai pedir os ficheiros originais.
  4. Depois, o RannohDecryptor começará a pesquisar as correspondências na extensão “.crypt” e tentará desbloquear todos os ficheiros. Quanto maior o número de cópias dos ficheiros originais o utilizador possuir, mais ficheiros poderão ser desencriptados.

Como é habitual, existem algumas regras que ajudam os utilizadores a manterem-se mais seguros enquanto navegam na internet. Entre elas destacamos três:

  1. Realizar backups de forma regular.
  2. Instalar todas as atualizações críticas do sistema operativo nos seus dispositivos assim como as atualizações dos browers utilizados. O pacote do exploit Angler usado pelo CryptXXX aproveita as vulnerabilidades de software para conseguir infiltrar o ransomware.
  3. Instale uma solução de segurança adequada.

Com estas dicas, estará sempre mais seguro e, certamente, evitará males maiores. A Kaspersky publicou uma série de informações sobre ransomware e que podem ser encontradas aqui.

<

p align=”left”>( Fonte )

Anúncios
Esta entrada foi publicada em Segurança, Software. ligação permanente.

Deixe uma Resposta

Preencha os seus detalhes abaixo ou clique num ícone para iniciar sessão:

Logótipo da WordPress.com

Está a comentar usando a sua conta WordPress.com Terminar Sessão / Alterar )

Imagem do Twitter

Está a comentar usando a sua conta Twitter Terminar Sessão / Alterar )

Facebook photo

Está a comentar usando a sua conta Facebook Terminar Sessão / Alterar )

Google+ photo

Está a comentar usando a sua conta Google+ Terminar Sessão / Alterar )

Connecting to %s