Artigo/Análise CryptoLocker: Nova super-versão de RANSOMWARE
- Autor do tópico Blue Zee
- Data Início
Blue Zee
Power Member
Boas infelizmente tenho um disco de um portátil e estou com o mesmo problema, ta tudo encriptado, nao se aproveita nada.
alguem ja conseguiu recuperar a informação apos tar encriptada
ja agora onde posso ver qual a versão (o nome do maleware, que apanhei, pois parece-me mais uma versão nova)
alguem ja conseguiu recuperar a informação apos tar encriptada
ja agora onde posso ver qual a versão (o nome do maleware, que apanhei, pois parece-me mais uma versão nova)
Blue Zee
Power Member
Podes tentar recuperar pelas versões anteriores das pastas e/ou ficheiros.
Podes ainda enviar um ficheiro encriptado para teste, aqui:
https://www.decryptcryptolocker.com/
Se for uma versão conhecida e "desencriptável" resolves o problema.
Artigo a ler sobre este ransomware:
http://www.bleepingcomputer.com/virus-removal/cryptolocker-ransomware-information
Já tentaste clique direito > Propriedades e restaurar versões anteriores?
Eventualmente talvez valha a pena, embora tenha sérias dúvidas.
Boa sorte!
Podes ainda enviar um ficheiro encriptado para teste, aqui:
https://www.decryptcryptolocker.com/
Se for uma versão conhecida e "desencriptável" resolves o problema.
Artigo a ler sobre este ransomware:
http://www.bleepingcomputer.com/virus-removal/cryptolocker-ransomware-information
Blue Zee
Power Member
Não é restauro, é clique direito numa pasta, propriedades e vês o que aparece no separador Versões anteriores.
No site:
Testas um ficheiro, o sistema vai tentar identificar a encriptação.
Tendo sucesso, envia para o email que indicaste a chave e o link para o programa de desencriptação.
Com o programa e chave desencriptas todos os ficheiros.
Não tenhas demasiada esperança, mas há sempre essa possibilidade.
No site:
Testas um ficheiro, o sistema vai tentar identificar a encriptação.
Tendo sucesso, envia para o email que indicaste a chave e o link para o programa de desencriptação.
Com o programa e chave desencriptas todos os ficheiros.
Não tenhas demasiada esperança, mas há sempre essa possibilidade.
ja exprimentei, carrego para la o ficheiro mas diz-me que nao foi encriptado pelo CryptoLocker, enquanto que no ambiente de trabalho esta la o atalho para isso.
como te disse penso que sera uma versao mais recente.
testei isso agora e nada. penso que nao tinha essa funçao ativa
como te disse penso que sera uma versao mais recente.
testei isso agora e nada. penso que nao tinha essa funçao ativa
Blue Zee
Power Member
Não tendo cópias em suporte seguro, está tudo perdido.
Já agora instalem o CryptoPrevent:
http://www.foolishit.com/
Tem versão gratuita, não consome recursos e é simplicíssimo de usar.
Não será inviolável mas limita e muito a atividade e poder destrutivo deste malware.
Já agora instalem o CryptoPrevent:
http://www.foolishit.com/
Tem versão gratuita, não consome recursos e é simplicíssimo de usar.
Não será inviolável mas limita e muito a atividade e poder destrutivo deste malware.
LPPT_flyier
Power Member
Leiam :
http://securelist.com/blog/research/69481/a-flawed-ransomware-encryptor/
Os tipos da kaspersky já conseguiram fazer uma ferramenta que na base dos erros de encriptação feitos pelo vírus consegue em 70% dos casos desencriptar os ficheiros perdidos.
http://securelist.com/blog/research/69481/a-flawed-ransomware-encryptor/
Os tipos da kaspersky já conseguiram fazer uma ferramenta que na base dos erros de encriptação feitos pelo vírus consegue em 70% dos casos desencriptar os ficheiros perdidos.
civismo
Power Member
Estou neste momento em mais um computador infectado com um virus Cryptografico
Similar ao Cryptlocker e ao CTB Locker
Este renomeou a extensão de todos os ficheiros comuns (.xls, .doc, .jpg, .pdf ) para um sufixo .ecc
Aparentemente deve ter sido apanhado através do anexo de um email
Felizmente os PST´s do Outlook nao ficaram contaminados, nem a pasta de rede comum a vários utilizadores
Talvez não tenham ficado encriptados pois pedi para desligarem o pc mal me descreveram os sintomas com que estava
Neste momento estou no pc infectado, mas atraves de um BOOT CD do Hirens
O removedor do Decryptcryptolocker e do Mcafee não resultam nesta estirpe
Partilho alguns links actuais :
http://www.techreleased.com/blog/ctb-locker-a-new-spin-on-ransomware/
http://www.bleepingcomputer.com/forums/t/570101/encrypted-files-ecc-malware-removal-help-needed/
https://blogs.mcafee.com/mcafee-labs/teslacrypt-joins-ransomware-field
http://www.bleepingcomputer.com/forums/t/570101/encrypted-files-ecc-malware-removal-help-needed/
https://blogs.mcafee.com/mcafee-labs/teslacrypt-joins-ransomware-field
Em todas as pastas por onde passou deixou um TXT chamado HELP_RESTORE_FILES.txt com as instruções de como remover
All your documents, photos, databases and other important files have been encrypted
with strongest encryption RSA-2048 key, generated for this computer.
Private decryption key is stored on a secret Internet server and nobody can
decrypt your files until you pay and obtain the private key.
If you see the main encryptor red window, examine it and follow the instructions.
Otherwise, it seems that you or your antivirus deleted the encryptor program.
Now you have the last chance to decrypt your files.
Open http://xxxxxxxxx.com or http://xxxxxxxxxxxxxxxxx.com ,
https://xxxxxxxxxxx.tor-gateways.de/ in your browser.
They are public gates to the secret server.
Copy and paste the following Bitcoin address in the input form on server. Avoid missprints.
xxxxxxxxxxxxxxxxxxxxxxx
Follow the instructions on the server.
If you have problems with gates, use direct connection:
1. Download Tor Browser from http://torproject.org
2. In the Tor Browser open the http://xxxxxxxxxxxx.onion/
Note that this server is available via Tor Browser only.
Retry in 1 hour if site is not reachable.
Copy and paste the following Bitcoin address in the input form on server. Avoid missprints.
xxxxxxxxxxxxxxxxxxxxxxxxxxxx
Follow the instructions on the server.
Similar ao Cryptlocker e ao CTB Locker
Este renomeou a extensão de todos os ficheiros comuns (.xls, .doc, .jpg, .pdf ) para um sufixo .ecc
Aparentemente deve ter sido apanhado através do anexo de um email
Felizmente os PST´s do Outlook nao ficaram contaminados, nem a pasta de rede comum a vários utilizadores
Talvez não tenham ficado encriptados pois pedi para desligarem o pc mal me descreveram os sintomas com que estava
Neste momento estou no pc infectado, mas atraves de um BOOT CD do Hirens
O removedor do Decryptcryptolocker e do Mcafee não resultam nesta estirpe
Partilho alguns links actuais :
http://www.techreleased.com/blog/ctb-locker-a-new-spin-on-ransomware/
http://www.bleepingcomputer.com/forums/t/570101/encrypted-files-ecc-malware-removal-help-needed/
https://blogs.mcafee.com/mcafee-labs/teslacrypt-joins-ransomware-field
http://www.bleepingcomputer.com/forums/t/570101/encrypted-files-ecc-malware-removal-help-needed/
https://blogs.mcafee.com/mcafee-labs/teslacrypt-joins-ransomware-field
Em todas as pastas por onde passou deixou um TXT chamado HELP_RESTORE_FILES.txt com as instruções de como remover
All your documents, photos, databases and other important files have been encrypted
with strongest encryption RSA-2048 key, generated for this computer.
Private decryption key is stored on a secret Internet server and nobody can
decrypt your files until you pay and obtain the private key.
If you see the main encryptor red window, examine it and follow the instructions.
Otherwise, it seems that you or your antivirus deleted the encryptor program.
Now you have the last chance to decrypt your files.
Open http://xxxxxxxxx.com or http://xxxxxxxxxxxxxxxxx.com ,
https://xxxxxxxxxxx.tor-gateways.de/ in your browser.
They are public gates to the secret server.
Copy and paste the following Bitcoin address in the input form on server. Avoid missprints.
xxxxxxxxxxxxxxxxxxxxxxx
Follow the instructions on the server.
If you have problems with gates, use direct connection:
1. Download Tor Browser from http://torproject.org
2. In the Tor Browser open the http://xxxxxxxxxxxx.onion/
Note that this server is available via Tor Browser only.
Retry in 1 hour if site is not reachable.
Copy and paste the following Bitcoin address in the input form on server. Avoid missprints.
xxxxxxxxxxxxxxxxxxxxxxxxxxxx
Follow the instructions on the server.
Última edição:
LPPT_flyier
Power Member
Experimentaste o link atrás?
LPPT_flyier
Power Member
LPPT_flyier
Power Member
Pois o grande problema é que estão
sempre a aparecer versões novas dessa praga todos os dias!