Cyber Extorsão: Ransomware CryptoWall e HELP_DECRYPT

 

O que é Ransomware ?

O Ransomware é um tipo de software malicioso usado por cibercriminosos que é projetado para extorquir dinheiro de suas vítimas, seja por meio da criptografia de dados no disco ou bloqueando o acesso ao sistema.

Ransomware é comumente instalado pelo desencadeamento de uma vulnerabilidade no computador da vítima, que geralmente é explorada quando usuários, inadvertidamente, abrem um e-mail de phishing que contêm arquivos executáveis ​​disfarçados de arquivos .PDF ou .ZIP . Esses arquivos fingem ser faturas, pedidos de compra, reclamações ou outras comunicações de negócios

Uma vez que o programa é instalado, ele irá criptografar o disco de computador ou bloquear o acesso da vítima ao sistema, deixando uma mensagem de "resgate" que exige uma taxa, a fim de decifrar os arquivos ou restaurar o sistema. Isso é exibido na próxima vez que o usuário reinicia seu sistema.

Basicamente, os atacantes estão mantendo seus arquivos ou computador como refém e estão tentando extorquir dinheiro em troca de liberar o acesso ao seu computador ou arquivo - no entanto - é importante compreender que você não vai necessariamente recuperar o acesso ao seu computador ou arquivo, mesmo pagando o "resgate".

 

 

O que é CryptoWall ?

 CryptoWall é um programa de criptografia de ransomware que foi lançado no final de abril 2014 que tem como alvo todas as versões do Windows, incluindo Windows XP, Windows Vista, Windows 7, Windows 8 e Windows 10.

Quando você está infectado com CryptoWall ele irá analisar o seu computador localizando arquivos de dados e "criptografa-los" usando criptografia RSA para que eles não possam ser abertos.

Uma vez que a infecção tenha criptografado os arquivos em todas as unidades do seu computador, ele irá abrir uma janela do bloco de notas que contém instruções sobre como acessar a descriptografia Serviço CryptoWall onde você pode pagar um resgate para comprar um programa de descriptografia.

O custo do resgate começa em US $ 500 USD e depois de sete dias vai até US $ 1.000. Este resgate deve ser pago em Bitcoins e enviado para um endereço Bitcoin que muda por usuário infectado.

Infelizmente, até o momento não há nenhuma maneira para recuperar a chave privada que pode ser usada para descriptografar os arquivos sem pagar o resgate na CryptoWall Decryption Service.

 

 

Como meu computador é infectado ?

O CryptoWall é distribuído através de e-mails com anexos ZIP que contêm arquivos executáveis ​​que estão disfarçados de arquivos PDF. Esses arquivos PDF fingem ser faturas, pedidos de compra, reclamações ou outras comunicações de negócios.

Quando você clicar duas vezes sobre o falso PDF, ele vai em vez infectar seu computador com o CryptoWall e instalar arquivos de malware quer nos % ou% temp% pastas% AppData.

Uma vez infectado o instalador irá começar a procurar no seu computador por arquivos de dados para criptografar, verificando todas as unidade do seu computador, incluindo unidades removíveis, compartilhamentos de rede, ou mesmo mapeamentos Dropbox. Em resumo, se há uma letra de unidade no seu computador, os dados serão criptografados pelo CryptoWall.

Quando CryptoWall detecta um arquivo de dados suportados que irá criptografar, ele adiciona o caminho completo para o arquivo como um valor sob a <random> \CRYPTLIST HKEY_CURRENT_USER\Software\ chave de registro. Ele também irá criar na Área de Trabalho e em cada pasta que os arquivos foram criptografados um arquivo:

Cryptowall: DECRYPT_INSTRUCTION.TXT, DECRYPT_INSTRUCTION.URL;

Cryptowall 2.0: INSTALL_TOR.URL, DECRYPT_INSTRUCTION.HTML;

Cryptowall 3.0: HELP_DECRYPT.TXT, HELP_DECRYPT.PNG, HELP_DECRYPT.URL.

Os arquivos .TXT , .HTML e .PNG contêm informações sobre o que aconteceu com seus dados e o arquivo .URL é um atalho do browser para a página descriptografia atribuído ao serviço de decodificação da infecção.

Quando a infecção terminar a leitura do computador ela irá apagar todos as cópias de sombra de volume que estão no computador afetado. Ele faz isso porque você pode potencialmente utilizar cópias sombra de volume para restaurar os arquivos criptografados.

O comando que é executado para limpar os Volumes Sombra é:

"C:\Windows\SYsWOW64\cmd.exe" /C "C:\Windows\Sysnative\vssadmin.exe" Delete Shadows /All /Quiet"

 

Agora que dados do seu computador foram totalmente criptografados, ele irá mostrar em sua Área de Trabalho os DECRYPT_INSTRUCTION.TXT e DECRYPT_INSTRUCTION.HTML. Esses arquivos contêm informações sobre o que aconteceu com seus dados e instruções sobre como pagar o resgate. Na maioria dos casos, uma vez CryptoWall exibe este documento ele irá remover os arquivos de infecção do seu computador, pois eles não são mais necessários.

 

 

O que fazer quando descobrir que meu computador está infectado ?

 Se você descobrir que seu computador está infectado com CryptoWall você deve verificar imediatamente o seu computador com um anti-vírus ou um programa anti-malware.

Infelizmente, a maioria das pessoas não percebem a infecção em seu computador até visualizar o aviso de resgate, porém neste momento seus arquivos já foram criptografados. Os exames, no entanto, vai, pelo menos, detectar e remover qualquer outro malware que pode ter sido instalado juntamente com CryptoWall.

Alguns dos diretórios onde malware associado foram encontrados são:

% Temp%
C: \ <random> \ <aleatória>
.exe%
AppData%%
LocalAppData%% ProgramData%

 

 

É possível descriptografar os arquivos ?

Infelizmente, até o momento não há nenhuma maneira para recuperar a chave privada que pode ser usada para descriptografar os arquivos sem pagar o resgate na CryptoWall Decryption Service.

O uso da Força bruta não é uma realidade devido ao tempo necessário para quebrar uma chave de criptografia RSA. Além disso, quaisquer ferramentas de decodificação que foram lançados por várias empresas não funcionarão com esta infecção.

Os únicos métodos que você tem de restaurar seus arquivos é de um backup, ferramentas de recuperação de arquivo, ou dependendo da sua sorte a Copia de Volume de Sombra (Shadow Copy).

 

 

Como encontrar arquivos que foram criptografados pelo CryptoWall ?

 Quando CryptoWall criptografa um arquivo ele irá armazenar o seu caminho como um valor no registro do Windows. A localização da subchave está no seguinte formato:

HKCU \ Software \ <original ID de computador> \ <ID aleatória>

Com um exemplo real que está sendo HKCU\Software\03DA0C0D2383CCC2BC8232DD0AAAD117\01133428ABDEEEFF. CryptoWall, então, cria um valor para cada arquivo que ele criptografa sob essa chave.

A BleepingComputer.com criou uma ferramenta chamada ListCwall que automatiza a descoberta e exporta a lista de arquivos criptografados de um computador infectado. Esta ferramenta também permitirá que você faça um backup dos arquivos criptografados para outro local, caso você deseje quardar os arquivos criptografados e reformatar a máquina.

ListCwall pode ser baixada a partir desta URL: http://www.bleepingcomputer.com/download/listcwall/

Para usar a ferramenta, basta clicar duas vezes e executar o programa. O ListCwall irá procurar a chave do registro que contém os arquivos criptografados e, em seguida, exportá-los para o arquivo ListCwall.txt em sua Área de Trabalho.

Comandos avançados

Linha de comandoDescrição
listcwall -h Este comando irá listar o arquivo de ajuda para ListCwall.
listcwall -q Este comando irá suprimir a saída do programa ListCwall.
listcwall -m Este comando irá mover os arquivos criptografados para a pasta%% Desktop \ ListCWall_Backup.
listcwall -c Este comando irá copiar os arquivos criptografados para a pasta%% Desktop \ ListCWall_Backup.
listcwall -m -bc: \ backup Este comando irá mover os arquivos criptografados para a pasta C: \ backup.
listcwall -c -bc: \ backup Este comando irá copiar os arquivos criptografados para a pasta C: \ backup.
listcwall -lc: \ log.txt Este comando irá usar o arquivo de log especificado pelo usuário de C: \ log.txt.

 

 

 

 

CryptoWall e compartilhamentos de rede

 O CryptoWall irá criptografar os arquivos de dados em unidades de rede mapeadas como uma letra de unidade no computador infectado.

Os compartilhamentos que não são mapeados como uma letra de unidade não serão criptografados.

É altamente recomendável que você proteja todos os compartilhamentos, permitindo o acesso para gravação apenas para os grupos de usuários necessários ou usuários autenticados. Este é um importante princípio de segurança que deve ser usado em todos os momentos, independentemente de infecções como CryptoWall.

 

 

Como restaurar arquivos criptografados pelo CriptoWall ?

 Se os seus arquivos foram criptografados e você não pretente pagar o resgate, existem alguns métodos que podem ser utilizados para tentar restaurar seus arquivos.

 

Método 1: Backups

O primeira e melhor método é para restaurar os dados a partir de um backup recente. Se você tem um backup, então você deve utilizá-lo para restaurar os dados.

 

Método 2: File Recovery Software

Quando CryptoWall criptografa um arquivo, ele primeiro faz uma cópia do mesmo, criptografa a cópia e, em seguida, exclui o original.

Devido a isso, você pode usar software de recuperação de arquivo, como R-Studio ou PhotoRec para possivelmente recuperar alguns de seus arquivos originais. É importante notar que quanto mais você usa seu computador depois que os arquivos são criptografados mais difícil será para programas de recuperação de arquivo recuperar os arquivos não criptografados que foram excluídos.

 

Método 3: Copia de Sombra (Shadow Copy)

Como último recurso, você pode tentar restaurar seus arquivos via Cópia de Sombra. 

Infelizmente, esta infecção tenta excluir qualquer Cópias de Sombra em seu computador, mas às vezes ele não consegue fazê-lo e você pode usá-los para restaurar seus arquivos.

Se você tem a Restauração do Sistema habilitada no computador, o Windows cria snapshots que contêm cópias de seus arquivos a partir desse ponto de tempo em que a restauração do sistema instantâneo foi criado. Esses snapshots podem nos permitir restaurar uma versão anterior dos arquivos de antes de terem sido criptografados.

Embora os arquivos da Copia de Sombra não tenham sido criptografados pode ser que ele não seja a versão mais recente do arquivo.

Nota: as variantes mais recentes do CryptoWall tentam apagar todas as cópias de sombra quando você roda qualquer executável em seu computador após a infecção. Felizmente, a infecção nem sempre é capaz de remover as cópias de sombra, então você deve continuar a tentar restaurar seus arquivos usando esse método.

Para restaurar arquivos individuais que você pode clicar com o botão direito sobre o arquivo, vá em Propriedades,  depois selecione a guia Versões anteriores. Esta guia irá listar todas as cópias do arquivo que foram armazenados em uma Copia de Sombra, exibindo a data em que foi feito o backup, como mostrado na imagem abaixo.

 

 

 

Para restaurar uma versão específica do arquivo, basta clicar sobre o botão Cópia e selecione o diretório que você deseja restaurar o arquivo. Se você deseja restaurar o arquivo selecionado e substituir o existente, clique no Restaurar. Se você deseja ver o conteúdo do arquivo real, você pode clicar sobre o Abrir botão para ver o conteúdo do arquivo antes de restaurá-lo.

Este mesmo método pode ser utilizado para restaurar uma pasta inteira. Basta clicar com o botão direito na pasta e selecione Propriedades e, em seguida, na guia versões anteriores. Em seguida, será apresentada uma tela similar a anterior, onde você pode copiar o backup selecionado da pasta para um novo local ou Restaurar-lo sobre a pasta existente.

 

  

Método 4: Restaurar pastas e arquivos DropBox

Se sua conta dropbox estiver mapeada como uma letra de unidade, então é possível que seu conteúdo tenha sido criptografado pelo CryptoWall. Se este for o caso, você pode usar o link abaixo para saber como restaurar seus arquivos.

Se você tiver DropBox mapeado para uma letra de unidade em um computador infectado, o CryptoWall tentará criptografar os arquivos na unidade.

O DropBox oferece controle de versão livre em todas as suas contas que lhe permitirá restaurar arquivos criptografados através de seu site. Infelizmente, o processo de restauração oferecido por DropBox só permite que você restaure um arquivo por vez, não permitindo a restauração de uma pasta inteira.

Para restaurar um arquivo, basta acessar o site do DropBox e navegar até a pasta que contém os arquivos criptografados que você deseja restaurar. Quando você estiver na pasta, clique com o botão direito no arquivo criptografado e selecione versões anteriores, como mostrado na imagem abaixo.

 

 

Quando você clica em versões anteriores, será exibida uma tela que mostra todas as versões do arquivo criptografado.

 

 

 

Selecione a versão do arquivo que você deseja restaurar e clique no Restaurar botão para restaurar o arquivo.

 

 

O Serviço de Decodificação Cryptowall

Os desenvolvedores do CryptoWall criaram um web site TOR que as vítimas podem pagar o resgate para descriptografar seus arquivos.

Este site é intitulada a descriptografia CryptoWall Decryption Service e permite que você obtenha informações sobre os seus arquivos infectados, oferece uma descriptografia livre de um arquivo, e acredite ou não, na verdade, contém um formulário de suporte.

 

 

Após o pagamento ser realizado e eles confirmarem o recebimento via bitcoin a sua chave privada e um decrypter serão disponibilizados para download por um link que será exibido para o download.

 

É IMPORTANTE FRISAR QUE O PAGAMENTO DO RESGATE NÃO GARANTE QUE O DECRYPTER E A CHAVE SERÃO ENVIADOS. 

 

Este decrypter pode ser usado para procurar e decifrar arquivos criptografados.

 

 

 

 

 

 

 

Tem mais dúvidas? Envie uma solicitação

2 Comentários

  • 0
    Avatar
    Rocha Dourique

    Você escreve muito bem. Didaticamente.

  • 0
    Avatar
    Weverton Soares

    Prevenir ainda é o melhor remédio, eu uso o WTI Backup www,wtibackup.com.br, ferramenta simples e eficaz para backup local e em nuvem.

Por favor, entre para comentar.