windows 10 foi alvo de Ransomwares

RafaLucena

Power Member
Bom dia,

Estes dias fui atacado por virus Ransomwares online.
Partições, PENs
O pc foi formatado e guardei os meus ficheiro que foram criptografados formato (.MPPQ) pelo Ransomwares
como recuperar os ficheiros alguém consegues ajudar me neste tópico?

já usei o decrypt_STOPDjvu sem resultado.
da erro
afut3-tkpwc.jpg
 
Última edição:

Genjuro

Power Member
Creio que não terás muita sorte...pois se não tinhas backups na Cloud (Google, Onedrive, Dropbox, etc), muito provavelmente não irás recuperar nada, pois o Ransomwares está constantemente a ter novas variantes.
 

Minguno

Power Member
Adicionalmente muda todas as passwords associadas a contas com as quais te logavas em serviços digitais e mantem atenção a perfis importantes como banco e logs de serviços estado, pode acontecer que na infeção fosse barrida a cache e uso de sites no teu pc.

Se tiveres uma máquina velha sem uso e puderes usa-a com linux para coisas que envolvam sites e material suspeito o que julgues não fidedigno, muitas vezes baixamos algo executavel ou damos click nalguma janela chata e em windows sem querer podes fazer algo que não desejas e não é culpa do sistema mas na confiança ou desleixo que por vezes temos.

Os ficheiros criptografados têm um hash que pode ser gerado em concreto ou sequente, alguns ransomwares usam método sequente podem enviar chave ou não, ou ter uma ou não, tens e usar un desencripador e isso pode levar muito tempo, é importante nesse caso reportar o tip ode ransomware para saber se existe desencriptador estilo chave.

O hash é uma assinatura de cada arquivo, é como se tu assinares um papel com o teu nome lá, se saires à rua e perguntares a um desconhecido o teu nome ele não o sabe e irá quase de certeza errá-lo mas se lhe deres o papel com o nome ele vai dizer-to logo e acertar, nesse momento desencriptou a informação a encriptação é o mesmo - uma assinatura, que pode levar minutos ou anos a desencriptar.

Vê se essa ferramenta te pode ajudar → https://howtofix.guide/mppq-virus-removal/
 
Última edição:

RafaLucena

Power Member
Adicionalmente muda todas as passwords associadas a contas com as quais te logavas em serviços digitais e mantem atenção a perfis importantes como banco e logs de serviços estado, pode acontecer que na infeção fosse barrida a cache e uso de sites no teu pc.

Se tiveres uma máquina velha sem uso e puderes usa-a com linux para coisas que envolvam sites e material suspeito o que julgues não fidedigno, muitas vezes baixamos algo executavel ou damos click nalguma janela chata e em windows sem querer podes fazer algo que não desejas e não é culpa do sistema mas na confiança ou desleixo que por vezes temos.

Os ficheiros criptografados têm um hash que pode ser gerado em concreto ou sequente, alguns ransomwares usam método sequente podem enviar chave ou não, ou ter uma ou não, tens e usar un desencripador e isso pode levar muito tempo, é importante nesse caso reportar o tip ode ransomware para saber se existe desencriptador estilo chave.

O hash é uma assinatura de cada arquivo, é como se tu assinares um papel com o teu nome lá, se saires à rua e perguntares a um desconhecido o teu nome ele não o sabe e irá quase de certeza errá-lo mas se lhe deres o papel com o nome ele vai dizer-to logo e acertar, nesse momento desencriptou a informação a encriptação é o mesmo - uma assinatura, que pode levar minutos ou anos a desencriptar.

Vê se essa ferramenta te pode ajudar → https://howtofix.guide/mppq-virus-removal/
Ola boa tarde,

Acabei por limpar os discos, formatei o Windows.

Agora tenho copias do sistema uma coisa que nao tinha.

Na altura fiz essas etapas https://howtofix.guide/mppq-virus-removal/ sem resultados

O Ransomwares é online

O Decryptor for STOP Djvu para este caso nao funciona.

O GridinSoft Anti-Malware ajuda mas nao é gratuito nestes casos.

para ter acesso teria que saber o servidor onde foi hospedado essa chave e os contiudos neles acho...

Se alguem tiver interesse em dificultar esse Ransomware e tentar descobrir onde esta localizado posso indicar qual e o link. inflizmente esta no Youtube com ligaçoes externas.

Eu tentei usar um computador isolado para saber o que esse virus realmente executava....

inflizmente vai existir mais vitimas disso...
 

Minguno

Power Member
Ola boa tarde,

Acabei por limpar os discos, formatei o Windows.

Agora tenho copias do sistema uma coisa que nao tinha.

Na altura fiz essas etapas https://howtofix.guide/mppq-virus-removal/ sem resultados

O Ransomwares é online

O Decryptor for STOP Djvu para este caso nao funciona.

O GridinSoft Anti-Malware ajuda mas nao é gratuito nestes casos.

para ter acesso teria que saber o servidor onde foi hospedado essa chave e os contiudos neles acho...

Se alguem tiver interesse em dificultar esse Ransomware e tentar descobrir onde esta localizado posso indicar qual e o link. inflizmente esta no Youtube com ligaçoes externas.

Eu tentei usar um computador isolado para saber o que esse virus realmente executava....

inflizmente vai existir mais vitimas disso...

Um ransomware o que faz é encriptar data por volume, acho eu, ele é um malware porque faz algo que o usuário do computador alvo sofre e é uma ação que não quer fazer, mas no conceito básico o necessário a usar é um desencriptador descodificador da chave, alguns ransomwares usam métodos aleatórios para gerar chave então fica mais dificil tanto para o que ataca como para o que se vê atacado descobrir a chave, para descobrir a chave usam-se métodos brute force essa mesma pode ser aplicada a outros tipos de técnicas em software.
Por exemplo um arquivo .zip cifrado tem um conjunto de caracteres que o cifram se por exemplo a cifra é 1234 existem 4 caracteres cifrados **** isso já é informação relevante tem apenas 4 cifras no caso são todos números se usares um programa brute force ele procura segundo a tabela de caracteres que conhece e vai experimentando a combinação fazendo passar os caracteres na sequência de combinações possiveis até dar com a cabeceira de acesso e ao comprovar abre o arquivo.

Acho que em geral funciona assim.

Os métodos que eu já vi referido pelos que fazem ferramentas decriptor é pelo que vi via brute force ou seja comprovação de tabelas de caracteres pelo que eu penso, acessar servidores para uma password ou passwords parece-me mais para os atacantes terem hospedado um envio com ID sobre cada encriptação e se a pessoa pagar talvez enviem a pass segundo o ID da tabela, mas isto imagino eu. Pagar para isso acho que não vale a pena pois existe a possibilidade que esse servidor seja apenas para dar um ar profissional à coisa, dentro de que isso é um hacking não ético.

Tentar usar Brute Force ou técnicas assim pode resultar melhor mas pode levar muito tempo, mas pelo menos parece-me o mais seguro do ponto de vista do usuário, já que está mal pior não fica.

O mais importante até seria divulgar o método que te infetou, se como referes foi via web foi uma injeção direta java ? ou foi chamada a execução e depois reinicio ?

Essas coisas podem ajudar a outros usuários estarem atentos quando vão dar aquele click que não devem dar.

Podes dar também informação sobre o sequestro do pc por ransomware nos fóruns do windows ou locais de suporte antivirus para eles irem anotando ameaças e depois pelo menos vão tendo em conta essa ameaça e os técnicos podem estudá-las com as técnicas que refiro.

Para os casos de estudo usam-se máquinas reais em contexto real (evitar a virtualização) depois tendo em conta o leque de possiveis estudos testa-se em software até haver uma fuga ou um resultado real de descodificação.
Um usuário que queira estudar essas coisas tem de o fazer tendo em conta isso, uma máquina que é para isso tudo o resto tem de estar noutra máquina e até noutra rede, para não comprometer estruturas.
 
Última edição:
Topo