Artigo/Análise CryptoLocker: Nova super-versão de RANSOMWARE
- Autor do tópico Blue Zee
- Data Início
DanielSintrão
Power Member
Boas Pessoal,
Pediram-me ontem ajuda para retirar um vírus de um PC , quando liguei o mesmo reparei que tinha todos o ficheiros do disco encriptados por esse maldito "Cryptolocker".
O PC em causa é de uma clínica dentária onde a minha namorada trabalha e os ficheiros que estão encriptados são super importantes pois estamos a falar de registos médicos, raio-X, etc.
Vou tentar mais logo a recomendação do @jorgec111 utilizando 1 ou 2 ficheiros que eles tinham enviado por email e que estão também no pc (encriptados).
Já agora, como posso descobrir qual a "versão" deste cryptolocker?
Obrigado!
Pediram-me ontem ajuda para retirar um vírus de um PC , quando liguei o mesmo reparei que tinha todos o ficheiros do disco encriptados por esse maldito "Cryptolocker".
O PC em causa é de uma clínica dentária onde a minha namorada trabalha e os ficheiros que estão encriptados são super importantes pois estamos a falar de registos médicos, raio-X, etc.
Vou tentar mais logo a recomendação do @jorgec111 utilizando 1 ou 2 ficheiros que eles tinham enviado por email e que estão também no pc (encriptados).
Já agora, como posso descobrir qual a "versão" deste cryptolocker?
Obrigado!
DanielSintrão
Power Member
Não, foi a primeira coisa que perguntei quando percebi a gravidade do assunto.
Ainda fiz restauro do sistema para os 5 dias anteriores mas continuou na mesma.
É tipico das pessoas, como nunca aconteceu um problema assim , nunca se pensa em fazer backups.
Ainda fiz restauro do sistema para os 5 dias anteriores mas continuou na mesma.
É tipico das pessoas, como nunca aconteceu um problema assim , nunca se pensa em fazer backups.
DanielSintrão
Power Member
Pois , eu fiquei com alguma esperança quando vi o post do @jorgec111 .
Logo à noite vou tentar utilizar as ferramentas que ele indicou e ver como corre.
Se tiver sucesso, coloco aqui o processo para ajudar a malta!
Logo à noite vou tentar utilizar as ferramentas que ele indicou e ver como corre.
Se tiver sucesso, coloco aqui o processo para ajudar a malta!
Warlord
Portugal@Home Member
Uma vez que estamos a falar de registos médicos confidenciais, cuidado onde te estás a meter...
https://www.cnpd.pt/bin/legis/nacional/lei_6798.htm
Razorlight
Power Member
Verdade, DanielSintrão, leva isso a um local onde se responsabilizem e notifica a CNPD. Nao queiras ficar com a batata quente para ti.
Nao te garanto e´ que a CNPD seja rápida a responder....
DanielSintrão
Power Member
hey again,
Falei agora com a responsável acerca dessa situação e segundo ela, não existe no disco informação confidencial acerca dos clientes neste PC, toda essa info está ainda em papel nos arquivos. Apenas estão Raio-X que tem indicado o numero interno de cliente (que segundo ela não é cofidencial).
Existe sim, documentação sobre a empresa e documentos pessoais.
Como sou boa pessoa ( acho eu) e numa tentativa de ajudar, estou a tentar resolver o problema como amigo.
Mas um obrigado pelo aviso, não fazia ideia desse tipo de leis e faz todo o sentido existirem!
Falei agora com a responsável acerca dessa situação e segundo ela, não existe no disco informação confidencial acerca dos clientes neste PC, toda essa info está ainda em papel nos arquivos. Apenas estão Raio-X que tem indicado o numero interno de cliente (que segundo ela não é cofidencial).
Existe sim, documentação sobre a empresa e documentos pessoais.
Como sou boa pessoa ( acho eu) e numa tentativa de ajudar, estou a tentar resolver o problema como amigo.
Mas um obrigado pelo aviso, não fazia ideia desse tipo de leis e faz todo o sentido existirem!
Warlord
Portugal@Home Member
Atenção que a lei não fala em dados confidenciais mas sim em dados pessoais....
a) «Dados pessoais»: qualquer informação, de qualquer natureza e independentemente do respectivo suporte, incluindo som e imagem, relativa a uma pessoa singular identificada ou identificável («titular dos dados»); é considerada identificável a pessoa que possa ser identificada directa ou indirectamente, designadamente por referência a um número de identificação ou a um ou mais elementos específicos da sua identidade física, fisiológica, psíquica, económica, cultural ou social;
b) «Tratamento de dados pessoais» («tratamento»): qualquer operação ou conjunto de operações sobre dados pessoais, efectuadas com ou sem meios automatizados, tais como a recolha, o registo, a organização, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a comunicação por transmissão, por difusão ou por qualquer outra forma de colocação à disposição, com comparação ou interconexão, bem como o bloqueio, apagamento ou destruição;
Tenho a certeza que estás a agir de boa fé e a tentar desenrascar a situação, apenas estou a alertar para as possíveis consequências que daí possam vir. Uma coisa é ir desenrascar as fotos do pc do amigo, outra coisa é mexer em exames médicos de centenas de pessoas de um consultório... Consultório esse que pode por desconhecimento nem estar a cumprir devidamente com esta lei...
Tens ali o link para a lei completa, se achas que está tudo ok, não sou eu que vou colocar entraves
a) «Dados pessoais»: qualquer informação, de qualquer natureza e independentemente do respectivo suporte, incluindo som e imagem, relativa a uma pessoa singular identificada ou identificável («titular dos dados»); é considerada identificável a pessoa que possa ser identificada directa ou indirectamente, designadamente por referência a um número de identificação ou a um ou mais elementos específicos da sua identidade física, fisiológica, psíquica, económica, cultural ou social;
b) «Tratamento de dados pessoais» («tratamento»): qualquer operação ou conjunto de operações sobre dados pessoais, efectuadas com ou sem meios automatizados, tais como a recolha, o registo, a organização, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a comunicação por transmissão, por difusão ou por qualquer outra forma de colocação à disposição, com comparação ou interconexão, bem como o bloqueio, apagamento ou destruição;
Tenho a certeza que estás a agir de boa fé e a tentar desenrascar a situação, apenas estou a alertar para as possíveis consequências que daí possam vir. Uma coisa é ir desenrascar as fotos do pc do amigo, outra coisa é mexer em exames médicos de centenas de pessoas de um consultório... Consultório esse que pode por desconhecimento nem estar a cumprir devidamente com esta lei...
Tens ali o link para a lei completa, se achas que está tudo ok, não sou eu que vou colocar entraves
DanielSintrão
Power Member
Heey!
Consegui resolver!
Eis o que fiz:
Em cada um dos Decrypter's teem um link para um PDF com "How to use" e é um processo bastante simples.
YEAHHHHHHH ESTÁ A BOMBAR!
Nota: Quando acabei reparei que tinha todos os ficheiros duplicados ( 1 bom e outro encriptado) e reparei que no Decrypter existe uma tab com um opção (checkbox) para remover os ficheiros encriptados.
Experimentem abrir algum dos ficheiros a ver se está tudo a bombar e se estiver , corram novamente o Decrypter com a opção para remover os ficheiros encriptados. Se correr bem, deverão ficar só com os ficheiros bons/originais.
P.S:
Quero agradecer ao @Warlord e ao @Razorlight pela preocupação e explicação acerca das leis que podia estar a transgredir acidentalmente!
É sempre bom aprender!
Consegui resolver!
Eis o que fiz:
- Comecei por instalar o Avast (para o que era acho que serve) para tentar limpar os ficheiros infectados no PC e tentar parar que o vírus do Cryptolocker afecte ainda mais ficheiros (ou encrypt novamente os mesmos ficheiros).
- Graças ao post do @jorgec111 utilizei também o Emisoft Decrypter . No meu caso usei o Emsisoft Decrypter for Cry9.
Em cada um dos Decrypter's teem um link para um PDF com "How to use" e é um processo bastante simples.
- Necessitam apenas de ter 2 ou 3 ficheiros (bons) exactamente iguais aos que estão no PC de momento encriptados. Quando digo iguais refiro-me a nome, extension, tamanho etc.
- Como o PC não era meu , não tinha obviamente cópias de nada mas lembrei-me de pedir acesso ao email deles e procurar por anexos que pudessem ter feito download para o PC.
- Apenas precisam de seleccionar os 2 ficheiros ( o bom e o encriptado) e arrastar para cima do ficheiro executável (.exe) do Decrypter.
- Se correr tudo bem, irá abrir uma janela (console) com um loading a indicar que está a tentar fazer um brute force key.
- Depois é só fazer next e irá aparecer os discos dos vosso PC para fazer Decrypt.
- Demorou uns 15 mnts até fazer Decrypt a tudo (depende obviamente do numero de ficheiros que tenham no PC)
YEAHHHHHHH ESTÁ A BOMBAR!
Nota: Quando acabei reparei que tinha todos os ficheiros duplicados ( 1 bom e outro encriptado) e reparei que no Decrypter existe uma tab com um opção (checkbox) para remover os ficheiros encriptados.
Experimentem abrir algum dos ficheiros a ver se está tudo a bombar e se estiver , corram novamente o Decrypter com a opção para remover os ficheiros encriptados. Se correr bem, deverão ficar só com os ficheiros bons/originais.
P.S:
Quero agradecer ao @Warlord e ao @Razorlight pela preocupação e explicação acerca das leis que podia estar a transgredir acidentalmente!
É sempre bom aprender!
Última edição:
Pois andava... E voltei a alertar as pessoas da necessidade absoluta de ter backups!
Eu por exemplo até tenho um aviso semanal (adicionei no telefone, mas como está no gmail também recebo a notificação no PC) para fazer backups.
O que impede da MS (e a Apple, etc) de colocar um mecanismo para impedir estes programas de encriptar todo o disco? É que isso é uma bomba nuclear!
Outra questão, um programa deste deve precisar de umas valentes horas para encriptar caso o computador tenha uma quantidade enorme de dados não? Imagine encriptar um HD externo com 3 TB de filmes, musica, fotos? Se fosse manualmente fazer um programa que apenas fazia uma copia de cada arquivo e apagava o anterior sequencialmente iria demorar um tempo considerável, quanto mais o tempo de processamento para fazer o encrypt.
Ainda vou ver se monto um PC isolado, ligar um HDD cheio de documentos, fotos e afins e executar um payload destes
Eu por exemplo até tenho um aviso semanal (adicionei no telefone, mas como está no gmail também recebo a notificação no PC
) para fazer backups.O que impede da MS (e a Apple, etc) de colocar um mecanismo para impedir estes programas de encriptar todo o disco? É que isso é uma bomba nuclear!
Outra questão, um programa deste deve precisar de umas valentes horas para encriptar caso o computador tenha uma quantidade enorme de dados não? Imagine encriptar um HD externo com 3 TB de filmes, musica, fotos? Se fosse manualmente fazer um programa que apenas fazia uma copia de cada arquivo e apagava o anterior sequencialmente iria demorar um tempo considerável, quanto mais o tempo de processamento para fazer o encrypt.
Ainda vou ver se monto um PC isolado, ligar um HDD cheio de documentos, fotos e afins e executar um payload destes
Última edição:
Acho que o uma vez alojado o virus e estando a funcionar sem ser detetado, ele deverá ter ficado várias semanas a queimar ciclos mortos do CPU para encriptar tudo.
O comportamento do virús deve ter alterado a partir de uma determinada data, caso contrário é muito fácil para os mais entendidos perceberem que alguma coisa está a queimar recursos no seu desktop.
Agora em empresas com software desactualizado e que as pessoas apenas estão a operar sobre um terminal nem dão pela burra. Ou um servidor que não está a ser monitorizado também é fácil isso acontecer.
O impacto em Portugal é grande?
O comportamento do virús deve ter alterado a partir de uma determinada data, caso contrário é muito fácil para os mais entendidos perceberem que alguma coisa está a queimar recursos no seu desktop.
Agora em empresas com software desactualizado e que as pessoas apenas estão a operar sobre um terminal nem dão pela burra. Ou um servidor que não está a ser monitorizado também é fácil isso acontecer.
O impacto em Portugal é grande?