Dicas Remoção / Prevenção Virus brsechvs1 Criptografa Arquivos

Nesse artigo vamos dar uma dica de segurança e tentativa de remoção de um vírus que vem atacando muitos servidores em todo Brasil. Esse vírus já está na nuvem desde o ano passado e ainda não possui uma solução definitiva. Vamos explicar o que esse vírus anda fazendo.

Por onde ele ataca:

Esse vírus efetua seu ataque pela porta 3389 do Terminal Server que permitem acesso de qualquer ip remoto, permitindo logon ao serviços de terminal e aproveita-se de usuários que possuem senhas fracas ou obvias como: Ex: Internet / Internet. Com essas vulnerabilidades o logon é efetuado na console do servidor e assim o ataque é iniciado. Também através do e-mails com arquivos parecidos com extensões .pft e pacote office.

Sintomas:

Sua rede local e externa é totalmente desativada. O login com qualquer usuário na console do servidor é efetuado, mas não conseguindo efetuar nenhum procedimento de ação como: Abrir o “Gerenciado de Tarefas”, “MSCONFIG”, “REGEDIT”, entre outros. É apresentado uma tela com diversos procedimentos para remoção do mesmo e recuperação de seus arquivos. Não é possível efetuar nenhuma tarefa no servidor exceto “Logon” e “Logout”. 90% dos serviços do servidor são desativados impossibilitando a remoção com o servidor em funcionamento normal. Segue imagens da tela apresentada:

Nome: Anti-Child Pron Spam Protection – 2.0 Version

V2_2

Instruções explicativas apresentada pela infecção, solicitando envio do ID para o e-mail [email protected] para desbloqueio dos dados criptografados.

V1_1

 

Como resolver problemas no login e inicialização:

– Primeiramente utilize um sistema de boot a partir de um pendrive ou CD como (Hirens, Mini XP, Ubuntu, entre outros). Com isso você terá acesso aos seus disco.

– Remova as pastas ocultas que são apresentadas na raiz do c: (Geralmente com o nome semelhante à números  Ex: 6774835263)

– Limpe os arquivos em C:\Windows\Temp

– Verifique todos os perfis dos usuários em seu servidor e limpe os temporários;

– Remova as entradas do agendador de tarefas C:\WINDOWS\Tasks, para eliminar as tarefas agendadas no próximo logon.

 

Obs: Após os procedimentos acima, se tentar subir o servidor em modo normal, o mesmo vai travar em “Preparando as conexões de rede”, pois os serviços estão quase todos desativados.

Após esses procedimentos, inicie seu servidor em “Modo de restauração dos serviços de diretórios”. Nesse procedimento, você vai precisar efetuar o login com a conta local do seu servidor, pois a conta de domínio pode não funcionar.

 

Limpeza no services.msc:

Com o login do servidor efetuado com sucesso, vá até services.msc e encontre um serviço com o nome parecido como ” Windows Security…”. Pegue o nome do executável que será (brsechvs1) e remova todas as entradas encontradas. Reinicie o servidor.

 

Iniciando os serviços:

Após restart do servidor, você vai verificar que diversos serviços vão estar como “Desativados”. Inicie todos que são necessários e reinicie novamente o servidor.

Com isso, seu servidor já pode estar operacional e respondendo sua rede local e externa, mas ainda não acabou. Esse vírus é conhecido como criptografar seus arquivos e definir uma senha em criptografia muito forte. Seus dados não poderão ser acessados, como mostra a imagem abaixo:

v1

Veja que os arquivos avulsos foram todos criptografados, ao tentar descompactá-los a senha é exibida.

 

Dicas para remover senha e descobrir senhas:

– Utilizar o Notepad ++ e identificar a senha;

– Rodar Passware Kit Enterprise 9.0 para quebrar a senha ou descobri-la;

Prevenir o ataque:

– Alterar a porta de escuta padrão 3389;

– Impedir acesso remoto de qualquer IP externo;

– Aumentar a complexidade das senhas;

– Alterar usuários com nomes comuns e descoberta fácil;

– Manter Firewall do Windows ativado.

– Diminuir tentativas para bloqueio de senhas, caso seja digitada incorretamente.

 

Importante: Manter sempre backup dos dados fora do disco c:.

 

Espero que a ajude a todos e novas dicas para remoção serão postadas.

 

Escrito por Vinicius Mozart

 

  • luiz

    fiquei curioso… como seria o procedimento para identificar a senha pelo notepad++ ???

    • Luiz, você abre o arquivo com o Notepad ++ e procura uma chave em AES OU MD5. Com essa chave em mãos você pode fazer um inverse através de alguma ferramenta ou site online.

  • Vinão

    Não consegui achar nada com o notepad ++ e mais com oo Password leva 5 anos….

    • Vinão, infelizmente a criptografia utilizada é muito forte, com isso dificulta cada vez mais a descoberta da senha. Após esse ataque as chances de recuperação são mínimas, mas é necessário utilizar os softwares e aguardar o tempo que for necessário.

  • rui

    fui infectado com o cryptorbit. vc conhece e pode me dar uma solução?

  • Oziel

    Boa Noite, aqui na empresa onde trabalho tbm estou tendo este msm problema, sera q ja descobriram alguma soluçao para recuperar os arquivos?

    Ant-child porn spam protection

    o email que pede o resgate é: [email protected]

  • Elizeu

    com o mesmo problema e o resgate é no e-mail [email protected]

  • Raul Neris

    Olá pessoal, eu já passei pelo mesmo sufoco no ano de 2013. O problema foi que meus backups não estavam em dias. Após o incidente eu criei uma política de backup, alterei a porta padrão do Terminal Service, posteriormente permiti acesso externo ao Terminal Service somente por VPN. Não tem outra solução a não ser prevenção.

  • rafael

    estou com problema com esse virus algum pode me ajudar ou indicar alguem?

  • rafael

    VÍRUS BRSECHVS1 estou com esse problema alguém pode me ajudar ou indicar alguém ???

    • Raul Neris

      Olá Rafael, eu sei como você deve está se sentindo com essa situação. Sinto em informar, pelas minhas recentes pesquisas que ainda não existe solução para esse vírus. O que temos a fazer é prevenir (proatividade). Veja meu comentário em 21/07/2015.

  • Jeff Troiano

    Mas o recuperador de senhas, nao le .”exe”

    Mesmo renomeando ele nao indentifica o arquivo e nao faz a tentativa de advbinhar