Medidas contra uma nova variante ransom trojan alegando criptografia do disco rígido 2048-bit PGP-RSA

Resumo

Esse tipo de Ransom Trojan é desenvolvido por outro malware ou baixado da Internet. Ele exibe uma certa mensagem e informa o usuário de que o sistema está bloqueado. Para desbloqueá-lo novamente, o usuário precisa pagar dinheiro.

A seguinte mensagem irá aparecer se o trojan for executado:

ransom trojan lockscreen
 

O ransom malware afirma que todos os arquivos locais foram criptografados com um 2048 PGP Key.
De fato uma criptografia RC4, e com arquivos originais disponíveis (a partir do backup ou outra fonte), é possível descodificar todos os arquivos.

Comportamento do malware

O trojan vem por outro malware retirado ou visitando sites maliciosos e realizando download a partir dele.

Ele faz uma cópia de si mesmo na seguinte pasta:

C:\WINDOWS\system32\%random%.exe

As seguintes modificações serão feitas no registro pelo ransom malware:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"userinit"="C:\\WINDOWS\\system32\\userinit.exe,C:\\WINDOWS\\system32\\%random%.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "D8812EB1"="C:\\Documents and Settings\\%userprofile%\\Application Data\\%random%\\%random%.exe

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableRegistryTools"=dword:00000001 "DisableRegedit"=dword:00000001

Todos os arquivos localmente presentes, exceto em "Windows" e "Program" no sistema serão bloqueados com o método RC4. Eles irão assumir sintaxe:

bloqueado-*nome do arquivo*.*Caracteres sem ordem 4*

Consulte esse link para mais informações sobre esse ransom malware.

Solução

Avira oferece uma ferramenta de decodificação, que é chamada "Desbloqueador de arquivo Avira Ransom".

O desbloqueador de arquivo Avira Ransom" é uma ferramenta projetada em .NET 2.0 para descriptografar arquivos criptografados por um tipo de ransom malware que afirma que os arquivos foram criptografados com uma chave 2048 PGP. De fato o RC4-criptografado, com arquivos originais disponíveis (de um backup ou qualquer outra fonte), é possível criptografar todos os arquivos.

arquivo ransom desbloqueado
 

A ferramenta não irá alterar ou eliminar os arquivos criptografados, para evitar perda de dados em caso da decodificação não funcionar provavelmente devido a uma nova variante deste tipo de malware.

Para descriptografar os arquivos criptografados, o usuário tem que selecionar um arquivo criptografado a partir do disco rígido e da versão original deste arquivo a partir do disco rígido ou de outra fonte.

É imperativo que a versão original seja uma cópia exata do arquivo criptografado antes que o sistema seja infectado, caso contrário, a ferramenta não irá funcionar corretamente.

Atualizar com a versão 1.0.1:
Agora você irá receber uma mensagem de erro se você adicionou 2 arquivos criptografados ou 2 arquivos descriptografados como "Arquivo bloqueado" e "Arquivo Original".

Download Avira Ransom File Unlocker

Produtos afetados

  • Avira Professional Security [Windows]
  • Avira Free Antivirus [Windows]
  • Avira Antivirus Premium 2013 [Windows]
  • Avira Antivirus Pro [Windows]
  • Avira Internet Security [Windows]
  • Avira Professional Security, Version 2012 [Windows]
  • Avira Antivirus Premium, Version 2012 [Windows]
  • Avira Internet Security, Version 2012 [Windows]
  • Avira Internet Security Suite [Windows]
  • Avira Family Protection Suite [Windows]
  • Avira Ultimate Protection Suite [Windows]
  • Data de criação : sexta-feira, 27 de abril de 2012
  • Última atualização: segunda-feira, 14 de outubro de 2013
  • Classifique este artigo
Isto lhe ajudou?