Ransomware: O Que é e Como Recuperar Seus Arquivos
O ransomware é um tipo de malware que bloqueia o acesso ao computador e/ou arquivos que ele infecta. Para que esse acesso seja liberado é exigido que seja pago um “resgate”. Alguns tipos de ransomwares criptografam os arquivos impossibilitando sua abertura de forma simples. Já outros, apenas travam o sistema mostrando uma mensagem que irá coagir o usuário a pagar pelo resgate dos arquivos. Esse valor pode variar de U$100 até U$1000 dólares e, em alguns casos, o pagamento precisa ser realizado através de Bitcoin.
A forma de infecção do ransomware pode variar dependendo da sua versão, mas pode acontecer através de um arquivo anexo no e-mail em um ataque de phishing, bem como, através da visitação de um site malicioso onde uma vulnerabilidade será explorada e o software será instalado no sistema.
Normalmente, além do ransomware outros tipos de malware são instalados em conjunto no sistema, podemos citar o exemplo do CryptoLocker, o usuário é infectado ao abrir um arquivo contaminado no e-mail, este arquivo contém o downloader Upadre que irá infectar a máquina com o GameOver Zeus, é uma variante do Trojan Zeus que rouba informações bancárias, além de outros dados importantes, como usuários e senhas. Após a infecção do Zeus, o Upadre irá finalmente instalar o CryptoLocker que irá criptografar os arquivos e solicitar o valor para resgatá-los.
O mercado negro de ransomware tem se mostrado muito lucrativo, como apontam diversas empresas de segurança pelo mundo, o primeiro conhecido foi o Dirty Decrypt, após ele veio o CryptoLocker, PowerLocker, Citroni, CryptoWall, CryptoWall 2, CryptoWall 3, Torrent Locker, Cryptographic Locker e recentemente foi descoberto o TeslaCrypt que utiliza criptografia simétrica RSA-2048 para criptografar os arquivos.
Como recuperar os arquivos?
A principal pergunta de quando uma pessoa ou empresa se depara com um problema desse é sempre o mesmo: Como recupero meus arquivos? Mas muitas vezes eles recebem uma outra pergunta, a famosa: Você tem backup?
Bom, para nossa alegria algumas empresas já disponibilizaram ferramentas, seja ela online ou através de softwares, essas conseguem identificar a chave que irá recuperar os seus arquivos criptografados. Veja abaixo algumas opções.
Kaspersky Lab
A Kaspersky em parceria com a polícia da Holanda, desenvolveram um portal que fornece informações e ferramentas para tentar recuperar os arquivos criptografados pela ransomware CoinVault.
Talos TeslaCrypt Decryption Tool
O grupo de segurança da Cisco fez uma análise detalhada do TeslaCrypt, uma variante do CryptoWall, que foi recentemente descoberto. Além disso, eles disponibilizaram uma ferramenta que irá te auxiliar na recuperação de seus arquivos.
DropBox e Google Drive
Se os seus arquivos no DropBox ou Google Drive foram criptografados por um ransomware, eles oferecem uma opção de você recuperar os arquivos para uma versão mais antiga, confira nos endereços abaixo.
Como se prevenir?
A melhor forma de evitar dores de cabeça, seja com seu computador pessoal ou com o computador corporativo, é a prevenção. Abaixo segue algumas dicas:
- Realize backups regulares de todas as informações críticas e armazene essas informações em um local separado, de preferência off-line.
- Mantenha o antivírus atualizado.
- Mantenha o seu sistema operacional e todos os softwares instalados atualizados.
- Cuidado ao clicar em links nos e-mails, principalmente de pessoas desconhecidas.
- Muito cuidado ao abrir arquivos anexos no e-mail, principalmente de pessoas desconhecidas.
Além disso, não podemos nos esquecer dos smartphones e tablets. Com o crescente número de usuários que utilizam esses equipamentos para acessar a internet e guardar informações pessoais, já existem ransomwares que criptografam os arquivos em dispositivos Android, e no caso dos dispositivos da Apple, um ataque no último ano utilizava as credenciais do iCloud para bloquear os dispositivos remotamente.
[Atualização 13/01/2016]
O site da FireEye e a FoxIT foi tirado fora do ar, então é uma opção a menos para tentar resolver o problema.
Como o ransomware criptografa e em seguida apaga os arquivos da máquina, uma opção é tentar utilizar algum software que recupere os arquivos que foram removidos.
[Atualização 14/03/2016]
Existem duas ferramentas que podem te ajudar a recuperar seus arquivos que foram criptografados pelo TeslaCrypt. Confira os links abaixo.
TeslaCrack - decrypt files crypted by TeslaCrypt ransomware
https://github.com/Googulator/TeslaCrack
TeslaDecoder
http://download.bleepingcomputer.com/BloodDolly/TeslaDecoder.zip
[Atualização 14/04/2016]
Foi descoberto a forma de recuperar arquivos do Ransomware Petya. A forma de atuação desse ransomware é diferente dos outros, pois este bloqueia totalmente o computador não permitindo que seja iniciado o sistema operacional. Veja no link abaixo como recuperar os arquivos sem precisar realizar o pagamento.
http://www.bleepingcomputer.com/news/security/petya-ransomwares-encryption-defeated-and-password-generator-released/
Além desse, no link abaixo é possível obter o arquivo para recuperar os arquivos criptografados pelo HydraCrypt e UmbreCrypt.
http://blog.emsisoft.com/2016/02/12/decrypter-for-hydracrypt-and-umbrecrypt-available/
Outro ransomware que já é possível recuperar os arquivos é o Jigsaw Ransomware. Este utiliza as extensões .FUN, .KKK, .GWS, ou .BTC e além da mensagem em inglês também existe uma mensagem em português. Confira abaixo o link de como recuperar os arquivos sem precisar pagar.
http://www.bleepingcomputer.com/news/security/jigsaw-ransomware-decrypted-will-delete-your-files-until-you-pay-the-ransom/
[Atualização 27/06/2016]
O pessoal do Cibrary.it divulgou uma matéria que contém diversas chaves para remover a criptografia do Ransomware Locky, clique no endereço abaixo e veja se alguma das chaves pode servir para você.
http://pastebin.com/HstqPx62
[Atualização 16/08/2016]
A CheckPoint lançou uma ferramenta que recupera os arquivos do ransomware Cerber. Para baixar ela, acesse o endereço abaixo.
https://www.cerberdecrypt.com/RansomwareDecryptionTool/
[Atualização 24/08/2016]
O website "No-More-Ransom" é uma iniciativa da Polícia Nacional de Crimes de Alta Tecnologia da Holanda, do Centro Europeu de Cibercriminalidade da Europol e duas empresas de segurança cibernética: Kaspersky Lab e Intel Security. O objetivo é de ajudar as vítimas de ransomware a recuperar seus dados criptografados sem ter que pagar os criminosos.
https://www.nomoreransom.org/
[Atualização 23/09/2016]
A TrendMicro também tem uma ferramenta que consegue remover a criptografia de alguns tipos de ransomwares e tem sido atualizada constantemente. Atualmente a ferramenta suporta o CryptXXX, TeslaCrypt, SNSLocker, AutoLocky, BadBlock, 777, XORIST, XORBAT, CERBER, Stampado, Nemucod, Chimera, LECHIFFRE e MirCop.
Para fazer o download acesse:
https://success.trendmicro.com/solution/1114221
[Atualização 13/01/2016]
O site da FireEye e a FoxIT foi tirado fora do ar, então é uma opção a menos para tentar resolver o problema.
Como o ransomware criptografa e em seguida apaga os arquivos da máquina, uma opção é tentar utilizar algum software que recupere os arquivos que foram removidos.
[Atualização 14/03/2016]
Existem duas ferramentas que podem te ajudar a recuperar seus arquivos que foram criptografados pelo TeslaCrypt. Confira os links abaixo.
TeslaCrack - decrypt files crypted by TeslaCrypt ransomware
https://github.com/Googulator/TeslaCrack
TeslaDecoder
http://download.bleepingcomputer.com/BloodDolly/TeslaDecoder.zip
[Atualização 14/04/2016]
Foi descoberto a forma de recuperar arquivos do Ransomware Petya. A forma de atuação desse ransomware é diferente dos outros, pois este bloqueia totalmente o computador não permitindo que seja iniciado o sistema operacional. Veja no link abaixo como recuperar os arquivos sem precisar realizar o pagamento.
http://www.bleepingcomputer.com/news/security/petya-ransomwares-encryption-defeated-and-password-generator-released/
Além desse, no link abaixo é possível obter o arquivo para recuperar os arquivos criptografados pelo HydraCrypt e UmbreCrypt.
http://blog.emsisoft.com/2016/02/12/decrypter-for-hydracrypt-and-umbrecrypt-available/
Outro ransomware que já é possível recuperar os arquivos é o Jigsaw Ransomware. Este utiliza as extensões .FUN, .KKK, .GWS, ou .BTC e além da mensagem em inglês também existe uma mensagem em português. Confira abaixo o link de como recuperar os arquivos sem precisar pagar.
http://www.bleepingcomputer.com/news/security/jigsaw-ransomware-decrypted-will-delete-your-files-until-you-pay-the-ransom/
[Atualização 27/06/2016]
O pessoal do Cibrary.it divulgou uma matéria que contém diversas chaves para remover a criptografia do Ransomware Locky, clique no endereço abaixo e veja se alguma das chaves pode servir para você.
http://pastebin.com/HstqPx62
[Atualização 16/08/2016]
A CheckPoint lançou uma ferramenta que recupera os arquivos do ransomware Cerber. Para baixar ela, acesse o endereço abaixo.
https://www.cerberdecrypt.com/RansomwareDecryptionTool/
[Atualização 24/08/2016]
O website "No-More-Ransom" é uma iniciativa da Polícia Nacional de Crimes de Alta Tecnologia da Holanda, do Centro Europeu de Cibercriminalidade da Europol e duas empresas de segurança cibernética: Kaspersky Lab e Intel Security. O objetivo é de ajudar as vítimas de ransomware a recuperar seus dados criptografados sem ter que pagar os criminosos.
https://www.nomoreransom.org/
[Atualização 23/09/2016]
A TrendMicro também tem uma ferramenta que consegue remover a criptografia de alguns tipos de ransomwares e tem sido atualizada constantemente. Atualmente a ferramenta suporta o CryptXXX, TeslaCrypt, SNSLocker, AutoLocky, BadBlock, 777, XORIST, XORBAT, CERBER, Stampado, Nemucod, Chimera, LECHIFFRE e MirCop.
Para fazer o download acesse:
https://success.trendmicro.com/solution/1114221
