Tenho entre mãos mais um caso de um pc que apanhou esta porra do cryptolocker ( Crypto Ransomware ) , neste caso numa nova versão, chamada
CTB-Locker AKA Critroni
É a segunda vez que o vejo ao vivo , na vez anterior encriptou apenas o que estava no ambiente de trabalho, mas desta vez correu as pastas todas e encriptou tudo o que eram .JPG , .XLS , .DOC, .PDF ... até os ficheiros .DBX do outlook express encriptou.
Uma vez que o cliente precisa destes dados, e não tem backups recentes, está a equacionar pagar mesmo o resgate ...
Pelo que tenho lido, apesar de não haver garantias que funcione, ha relatos de alguns casos de sucesso.
Mais ainda, esta nova versão do CTB-Locker é simpatica, e oferece a desencriptação dos primeiros 5 ficheiros gratuitamente, possivelmente vou experimentar.
Pelo que tenho lido nas ultimas horas, Isto corre tudo o que é unidades locais, o que o torna bastante perverso, na medida em que se tivermos os nossos backups feitos numa unidade externa USB, ou num disco de rede NAS com uma letra mapeada, esses ficheiros do backup ficarão igualmente encriotados
Aparentemente só se espalha na rede através de unidades mapeadas , o que é bom pois pelos vistos não ataca as pastas partilhadas que não estejam mapeadas
Pelo que li, a dropbox e similares tambem são atacadas por este problema, no entanto têm a possibilidade de versioning, ou seja de ir buscar versões anteriores do ficheiro, contudo li que o processo é doloroso na medida em que tem que ser feito ficheiro a ficheiro, o que é uma grande dor de cabeça se estivermos a falar de milhares de ficheiros, por ex pastas de documentos ou albuns de fotografias.
Pelo que li , estes Crypto Ransomware apanham-se sobretudo atraves de anexos infectados, por ex PDF´s que na realidade são executaveis.
COm os meus clientes foi assim que aconteceu, e segundo li é a principal forma de infecção.
Ao que parece este Crypto Ransomware consegue fintar muito bem a maioria dos antivirus, na medida em que é o proprio utilizador que ao estar distraido / confundido acaba por executar o virus, julgando estar a abrir um .PDF ou outro anexo benigno
PEssoalmente nem uso antivirus nos meus computadores (apenas corro o malwarebytes esporadicamente), pois acredito que a maioria dos virus apanham-se pelas más práticas, e defendo que um utilizador atento e conhecedor não precisa de um antivirus.
No entanto ha uns tempos apanhei um virus ao abrir um PDF infectado , num site clonado do ViaCTT, bastantante convincente . Até o endereço era convincente, chamava.-se salvo erro CTTVia .
Felizmente apercebi-me a tempo e desliguei logo a net e interrompi o processo, que se começou logo a espalhar pelo computador (windows 7 neste caso)
VOltanto ao que tenho neste momento entre mãos, neste momento ja tenho um clone do disco infectado, pois apesar de ser facil remover o Crypto Ransomware , poderei ainda precisar da versao infectada se tudo o resto falhar e o cliente quiser pagar o resgate
Para ja estou a tentar Data Recovery no disco infectado, pode ser que consiga ir buscar versões não infectadas dos ficheiros
**********************************************************************************
Para os interessados sobre esta materia e profissionais de IT / Administradores de sistemas,
partilho alguns links sobre o assunto :
**********************************************************************************
http://www.remove-pcvirus.com/remove-ctb-locker/
http://www.bleepingcomputer.com/virus-removal/ctb-locker-ransomware-information
http://threatpost.com/critroni-crypto-ransomware-seen-using-tor-for-command-and-control/107306
http://computervirusmanualremval.blogspot.pt/2014/12/how-to-decrypt-files-locked-by-ctb.html
http://computervirusmanualremval.blogspot.pt/2014/12/how-to-decrypt-files-locked-by-ctb.html
http://arstechnica.com/security/201...o-see-your-data-again-pay-us-300-in-bitcoins/
https://www.foolishit.com/vb6-projects/cryptoprevent/
http://www.pcrisk.pt/guias-de-remocao/7562-your-personal-files-are-encrypted-virus
http://www.eteknix.com/synology-nas-os-vulnerable-to-cryptolocker/
http://ubuntuforums.org/showthread.php?t=2189320
http://www.welivesecurity.com/2013/...ct-against-ransomware-including-cryptolocker/
http://www.prnewswire.com/news-rele...g-typical-anti-virus-protocols-241457611.html
http://grahamcluley.com/2013/11/cryptolocker-protect/
**********************************************************************************
IMPORTANTE ::: IMPORTANTE ::: IMPORTANTE ::: IMPORTANTE ::: IMPORTANTE ::: IMPORTANTE :::
**********************************************************************************
>Façam Backups Regulares
>Os discos externos não são caros, espalhem os backups por varios discos
>Tenham versões offline dos ficheiros, é importante a existencia de "cold data", pois este problema pode atacar os originais e as copias de segurança online ao mesmo tempo !