Vírus Criptografa Arquivos – CryptoWall || Help Decrypt

Não seja surpreendido novamente. Entre em contato com a Wenz Tecnologia e previna-se contra esses e outros ataques . Clique no logotipo abaixo:

BusinessCardLogo

Compre conteúdo de prevenção: http://www.wenz.com.br/2017/05/12/prevencao-contra-ransoware-em-servidores-microsoft/

E-mail: [email protected]

Site Oficial: http://www.wenz.com.br

 

FOI PUBLICADA UMA SOLUÇÃO QUE PODE AJUDAR A TODOS. ANTES DE LER O ARTIGO, TEM A SOLUÇÃO COM A FERRAMENTA ABAIXO: 

Atualização:

http://cooperati.com.br/2016/04/25/descriptografar-arquivos-infectador-novo-utilitario-kaspersky/

Hoje vamos deixar um alerta para o vírus CryptoWall que continua invadindo redes em todo o mundo. Esse vírus é de abril de 2014, mas ainda continua com força total e prejudicando muitos usuários, empresas e administradores de infraestrutura. Quando sua rede é infectada, diversas extensões de arquivos são criptografadas e apenas serão descompactadas com o pagamento de um valor via Bitcoins por um endereço que muda por cada usuário infectado.

Veja a tela do arquivo que é espalhado em sua rede em diversas pasta infectadas:

cry01

Esse vírus é distribuído através de arquivos anexados por e-mail ou por acesso a sites maliciosos. Nesse momento é muito importante rever suas configurações de segurança ao usuário final para não ter um surpresa com essa praga.

Importante: Atualmente não existe nenhuma forma de descriptografar esses arquivos após sua infecção. Única oportunidade de lhe salvar é tendo um bom backup atualizado e “fechado”, como por exemplo, “Windows Server Backup” ou “Cópia de Sombra”. Outras ferramentas de backup como “Cobian Backup”, podem até lhe salvar, mas por serem arquivos abertos, poderão ser infectados ao tentar restaurá-los em seus locais originais.

O Windows Server Backup trabalha com extensão VHD e XML, portanto essaS extensões não são atacas pelo vírus.

Confira na lista abaixo as extensões atacadas pelo vírus:

  • xls
  • wpd
  • wb2
  • txt
  • tex
  • swf
  • sql
  • rtf
  • RAW
  • ppt
  • png
  • pem
  • pdf
  • pdb
  • PAS
  • odt
  • obj
  • msg
  • mpg
  • mp3
  • lua
  • key
  • jpg
  • hpp
  • gif
  • eps
  • DTD
  • doc
  • der
  • crt
  • cpp
  • cer
  • bmp
  • bay
  • avi
  • ava
  • ass
  • asp
  • js
  • py
  • pl
  • db
  • c
  • h
  • ps
  • cs
  • m
  • rm

Se você for atacado, precisa criar um plano de ação para impedir a propagação em sua rede. Veja no exemplo em uma máquina infectada pelo vírus e seus respectivos caminhos:

Primeiro passo é criar um arquivo .bat com o seguinte código abaixo e varrer suas unidades:

@echo off
color 27
:begin
title Help Encript Remover (By: Wenz Tecnologia)
echo Programa que vai apagar os arquivos do vírus “Help Encript”:
echo Digite a letra da unidade para o processo (ex: D,E,F,G):
set /p “uni=>”

:process
%UNI%:
del /s %UNI%:\HELP_DECRYPT.*
echo Arquivos “HELP_DECRYPT” Arquivos Removidos com Sucesso!
pause

Geralmente o aplicativo “.EXE” fica alocado na raiz do C: com um nome de pasta aleatório por cliente infectado. Ao visualizar esse arquivo, delete-o imediatamente.

1

Faça uma busca no registrador da máquina com o mesmo nome aleatório encontrado e delete as entradas encontradas.

2Veja outro caminho onde a praga pode se alocar.

3

Outras pastas para verificação são:

% Temp% 
C: \ <random> \ <aleatória> .exe 
% Dados do aplicativo% 
% LocalAppData% 
% Dados do Programa%

Revise todas suas estações de trabalho. Se o cenário for muito grande, utilize uma estação que não tenha arquivos importantes. Nunca acessar através de seu servidor para limpar as estações infectadas, pois isso poderá agravar na propagação.

Observação: Nenhum antivírus é capaz de descriptografar esses arquivos após a infecção. Muito importante revisar seus backups, pois é a única forma de salvar seus dados e seu dia. Outra opção é utilizar a cópia de sombra, isso ocupará mais espaço em seus discos, mas ajudará na recuperação com as versões anteriores dos arquivos.

Um aviso para seus usuários, para ficarem atentos na abertura de anexos desconhecidos, também é uma boa recomendação para todas as empresas. Trabalhe em um e-mail para avisá-los e se possível uma pequena reunião ou palestra para alerta geral.

Esperamos que essa dica ajude a todos a se defenderem dessa praga que já algum tempo vem causando problemas graves no mundo todo.

 

  • Ótimo post, parabéns!

  • Kleber Ramos

    Ótimo material, valeu pela dica Vinicius!

    Abraço

  • Ótimo artigo! Recentemente um colega teve o seu File Server infectado. e utilizou as ferramentas Malwarebytes Anti-Malware e SpyHunter na detecção e remoção do mesmo.

    Porém como você mesmo disse, atualmente não existe uma maneira reverter a criptografia dos arquivos afetados. Nesse caso o que o salvou foi o bom e velho backup do Windows Server Backup.

    abçs!

  • Excelente post, parabéns mestre.

    Lembrando a todos que esta é uma ação REATIVA, vamos focar na PREVENÇÃO!

    Abcs,

  • Holy Rene

    wow, valeu mesmo vinicios.
    obrigado pelo alerta

  • A mais nova versão do CryptoWall, tambem apaga os arquivos de Copia de Sombra

  • Obrigado por compartilhar a informação Henrique Barbosa.

  • Emanuela França

    Meus arquivos foram todos afetados. Tenho muitos documentos importante da empresa nele. Precisava muito de uma solução, mas pelo que entendi essa solução não existe. Meus arquivos se transformaram todos em ccc.

    • Olá Emanuela,

      Realmente as soluções são prevenções que devem ser tomadas antes do ataque. Infelizmente se não possuir um backup atualizado ou cópia de sombra através do Windows, você perdeu seus arquivos.

  • Sidney Yonamine

    Mesmo pagando o valor exigido eles não liberam a chave?

    • Olá Sidney, na maioria dos casos que sim, os arquivos foram liberados. Mas já vi casos que não foram. Esse pagamento só deve ser feito em último caso, mas saiba que não é 100% garantido.

  • Anderson da Silva

    Muito boa a informação. Meu file server teve os arquivos modificados, porém, não todos. E somente da partição que contém os dados compartilhados. Verifiquei que a ação iniciou em um horário e após 2 ou 3 horas, não mais. No dia seguinte estava normal (os outros diretórios).
    Continha um backup atualizado então, o impacto não foi tão grande. Quanto a copia de sombra, o virus afeta os itens da copia de sombra somente da maquina que o contém ou ele varre a rede e apaga dos outros também?

    • Obrigado Anderson. Geralmente a cópia de sombra ele não afeta, não vi nenhum caso de alguém que teve esse problema.

  • Camila Souza

    Vinicius, bom dia
    Infelizmente tb estou com meus arquivos criptografados
    Acha que um dia alguém encontrará um modo de “salvar estes arquivos”????, pois são todas as minhas fotos…de quase toda minha vida.

    • Ola pessoal, vamos aguardando atualizações e dando o feedback. Creio que serão solucionados alguns casos.

      Obrigado pelos testes e vamos torcer.

    • Marcio Roberge

      eu consegui recuperar meus arquivos pelo prompt de comando e um script

      • Ola Marcio. Que bom, post o comando e o script então para ajudar as outras pessoas que estão precisando. Ficaremos no aguardo.

      • Tulio

        ola boa tarde voce poderia me ajudar, eu tambem fui infectado, como voce fez para resolver, obrigado

      • Marcos

        boa tarde Marcio. eu tbm estou com o mesmo problema.gostaria que se possível me passasse o procedimento que vc fez pelo prompt. obrigado

  • Jeferson

    consegui recuperar os dados de um cliente hoje. podemos conversar a respeito e realizar os testes! posso garantir que não é um processo fácil nem com 100% de certeza.

    • Olá Jefferson,

      Me adicione no Skype: vinicius.mozart

    • Fernando P

      Boa tarde,
      Jefferson voce conseguiu recuperar?pode me passar o procedimento ?
      Obrigado

    • Everton Nogueira

      Preciso da sua ajuda Jeferson… entre em contato comigo pelo email [email protected]

    • Jovi

      Jeferson…meu note foi infectado pelo vírus criptowell e meus arquivos foram criptografados…vi um post teu dizendo que tu havia conseguido recuperar duas situações…gostaria de saber como fizeste? Desde já…agradeço

    • Caro amigo minha colega perdeu tudo virou .ccc sou programador atras de uma solucao poderia me ajudar? [email protected]

  • Italo

    Estou com esse problema…. Afetou meu computador e meu HD externo… Tenhos documentos importantes com mais de 15 anos…. Eles estão me pedindo 500 dólares até o dia 13/11 se passar dessa data o valor dobra….
    Eles me passaram diversos sites para que eu faça o pagamento….
    Tenho medo de pagar esse valor e ainda não recuperar nada…
    Você teria alguma solução para esse caso??

  • Érico

    Bom dia Jeferson,

    Estou com o mesmo problema em relação ao virus que infectou meu PC.
    Já tentei varias formas e conversei com técnicos e ainda nao tenho soluçao meus arquivos todos convertidos para extensão .ccc por esta terrível praga Howto-Recovery-File.
    Você conseguiu a solução pra este problema? me passe mais informações pra resolver, por gentileza

    • Jeferson Medeiros

      Cara esse caso, depende da versão do vírus, eu consegui recuperar de dois clientes específicos, porem teve alguns que não consegui. se quiser me adicione no facebook que dou uma olhada no seu caso.

      https://www.facebook.com/pesquisae

  • Érico

    Bom dia meu prezado Vinícius,

    Como relatei acima, estou com este problema grave e ainda não achei solução. Já descobriu alguma novidade com o nobre Jeferson? informe pra nós. Obrigado meu caro.

    • Vinicius Mozart

      Esse caso sobre o vírus de criptografia ainda não existe solução 100%. Infelizmente ainda estamos refém desse ataque. Sobre o que o amigo Jefferson tem feito, não sabemos, pois o mesmo não compartilhou nada com a comunidade nem com os amigos nesses comentários, creio que está usando nosso canal para captar clientes. Assim que obtivermos resultados, postaremos o quanto antes. Muito obrigado Érico.

  • ADILSON NEVES

    tb fui infectado pelo virus usei a ferramenta indicada tb sem sucesso

  • Caio Macedo

    Olá boa noite…. aqui na empresa tivemos um problema com esse vírus, arquivos em PDF, DOC, JPEG e outros não abrem mais, até um pen drive espetado na maquina foi danificado. Vcs sabem dizer se esse vírus pode passar para outros computadores da rede??? eu isolei ele da rede e formatei a maquina, não percebi nada de anormal nas demais maquinas, mas fiquei preocupado….. abraços !!!

    • Sim Caio, isole ele da rede, pois se propaga com facilidade. Grande abraço.

  • Olá meu caro, muito obrigado por ter disponibilizado uma possível solução conosco, porém também não obtive êxito em um dos que estão infectados…
    Hoje infelizmente tive a infelicidade de ter o file server de um cliente ter sido contaminado por esta praga!
    Porém como trata-se de um escritório de contabilidade e todos os arquivos dos clientes deles se encontram lá e infectados, ficaram de me darem uma posição de qual caminho poderei seguir para colocar o file server em funcionamento novamente.
    Inicialmente não aceitaram a ideia de pagaram o resgate das informações, porém toda a base de dados do Prosoft também foi infectada, então irão vê que procedimentos poderei seguir para “solucionar” esta situação.

  • Ola Azarias,

    Obrigado pelo feedback e ficaremos na torcida para que o problema em seu cliente seja solucionado o quanto antes. Não esqueça que sempre o backup fechado por lhe ajudar nesse caso.

    Grande abraço.

  • Olá !!! Muito bom artigo. Gostaria de saber se posso usá-lo em meu site, dando os devidos créditos? Estou retomando essa atividade de artigos e postagens …abraços …

    • Ola Cristiano,

      Pode sim replicar, mas coloque realmente a referência original. Me envie o link em [email protected] para confirmação de sua replicação. Obrigado e grande abraço

      • Ok Vinicius … Pode deixar … Abs e obrigado …

  • Paulo Henrique Lopes

    boa tarde, eu li o tutorial porém não encontro o arquivo que o executável do Kaspersky pede que é o filelist.cvlst. Alguém pode me ajudar? Excelente post amigo!

  • Ola Paulo,

    Ele vem junto com o arquivo compactado.

  • Diego Valentin

    Estou com o mesmo problema. Todos os arquivos renomeados para .vvv

  • Tulio

    olá boa tarde, tambem fui infectado com o virus que converte os arquivos para .ccc, usei o Hunter Spy e excluiu o virus, mas como faco para recuperar os arquivos por gentileza, se alguem tiver alguma solucao me envia por gentileza [email protected]

  • Tobirama

    Mesma situaçao Tulio =s , queria muito recuperar meus arquivos ( videos , fotos , bloco de notas )

  • ainda nao consegui recuperar meus arquivos ha alguma maneira que faça eu recuperar todos eles estao criptografados em arquivo .aaa

  • Tobirama

    Alguem saberia dizer se tem algum programa que evite o hd se instado?Pq eu queria plugar 1 outro HD q comprei mas estou com medo dele ser infectado tambem.

  • Tobirama

    Alguem saberia dizer se tem algum programa que protege o hd de pegar isso?Pq eu queria plugar 1 outro HD q comprei mas estou com medo dele ser infectado tambem.

  • Max Jovi

    Saudações…
    infelizmente estes dias minha máquina foi infectada por esse vírus maldito que corrompeu todos os meus arquivos pondo a extensão “.micro” e injetando arquivos “help_recover_instructions+***.html .png e .txt” em todas as pastas existentes no sistema. Felizmente não atingiu nenhum arquivo de áudio, mas os demais estão todos comprometidos.
    Eu consegui matar manualmente o vírus indo aos respectivos diretórios, mas sem nenhuma ideia de como recuperar meus amagos arquivos.
    São tão importantes que estou já pensando em como fazer para pagar o resgate… caso não encontremos nenhuma solução.

  • Felipe

    Olá pessoal tb tive problemas recente com este vírus.
    1-Logo que percebi que o vírus estava agindo procurei em localizar ele no gerenciador de arquivos e finalizar o processo.
    2-Desligue o pc/notebook e remova o disco rígido e coloque em um case externo e ligue em outro pc/notebook e passe um antivírus.
    3-Copie seus arquivos que não foram criptografados.
    4-Arquivos criptografados coloque em HD externo/Pendrive somente este conteúdo.Não guarde + nada neste HD.Ainda não encontrei um software para descriptografar.Assim que localizar irei postar aqui.
    5-Pode utilizar o software PhotoRec gratuito, consegui recuperar alguns arquivos.
    6-Formate o PC/notebook não utilize mas este sistema.

    Outras informações
    Spyhunter é pago, somente retira o vírus depois que registra.
    Kaspesky Ransomware Decryptor não funciona.

    Como se proteger do cryptowall. Obs não é 100%.

    http://www.bitdefender.com/support/how-to-protect-from-cryptowall-1354.html

  • Max Jovi

    Alguma solução? Quero salvar meus arquivos… alguém já pagou e obteve o resgate direitinho?
    Já não basta o zica vírus… agora o maldito tesla também…

    • Ainda sem novidades Max Jovi. Mantenha sempre um bom backup atualizado.

  • Arthur Henrique

    Pessoal,
    Li todos os comentários desse post Excelente do Vinicius Mozart e encontrei uma solução (ainda não testada), para o Malware Ransom.TeslaCrypt, q dentre as 3 variantes q existem criptografa os arquivos de maneiras diferentes. Num outro blog achei varia instruções q pode ajudar:
    https://www.pcrisk.com/removal-guides/8724-teslacrypt-virus#!prettyPhoto

  • Paulo Henrichs

    Ola Vinicius, como assim backup fechado?
    Se o backup estiver em outra maquina, sem uma unidade mapeada estarei seguro?

    Abraços

  • André Thomaz

    Ola Vinicius, tive o computador afetado também. No meu caso os arquivos foram alterados para .crypt Não consegui descobrir qual a variante do virus.

    Alguma ferramenta que descriptografe os arquivos .crypt?

    Obrigado.

    No caso de sucesso, gratifica-se.

  • Claudiney

    A maquina de um amigo modificou tudo para .cerber, sera que ja tem algum programa que desbloqueia essa extensão?

  • Ola pessoal,

    Foi lançado hoje uma nova ferramenta na Kaspersky. Nos dê um feedback. Obrigado.

    http://www.cooperati.com.br/2015/07/20/virus-criptografa-arquivos-cryptowall-help-decrypt/

  • Felipe

    Caro Vinicius Mozart,
    esta ferramenta que você cita não funciona.

    abraços

  • Danilo Lorenzetti

    Vinicius,

    Baixei essa ferramenta mas ela pede o arquivo original. É isso

    no aguardo

    • Joilson Nicacio

      Isso, no meu caso usei uma música (*.mp3) recuperou 80% dos arquivos,

    • Felipe

      Vinicius, já testei a ferramenta e não funciona.
      Nome dos arquivos atualmente.
      0he9ow.1bv
      1be7sau9.y4zmb
      2xf96ch5.6z

  • Danilo Lorenzetti

    Meus arquivos ficaram nesse modelo “005-2014-CO.jpg(!! to get password email id 1877631866 to [email protected] !!)” e não consigo tirar a criptografia.

    Alguém pode me ajudar?

    • Vanessa

      Olá! Danilo,
      Estou com o mesmo problema, também com esse e-mail [email protected]
      você conseguiu resolver?

    • Vanessa

      Olá! Danilo, Estou com o mesmo problema, também com esse e-mail [email protected] você conseguiu resolver?

      • joabe Andrade

        Boa noite Vanessa, você esta com esse problema ainda?

    • joabe Andrade

      Boa noite, vc ja conseguiu resolver?

  • Jonathas Vilela

    Pessoal, eu consegui descriptografar todos meus arquivos que estavam em .CCC
    Se alguém se interessar posso ajudar.

    • Thiago Bento Sampaio

      Ola o meu ficou em arquivo .xtbl pode me ajudar?
      Obrigado,

  • Léo Rezende

    Boa noite pessoal, todas minhas fotos e arquivos importantes estão em meu Onedrive e nunca imaginei que teria este tipo problema na nuvem, pois bem o virus criptografou todos meus arquivos e os da nuvem também, ficam com a extensão .8fea.
    Alguem pode me ajudar?

    • Vinicius Mozart

      Olá Leo,

      Infelizmente só entrando em contato com o e-mail fornecido e negociando o valor.

  • Fábio Medeiros

    Boa noite, estou com um problema onde meus arquivos estão com uma extensão *.crypt e ja rodei algumas ferramentas para voltar ao normal mão não funcionou. alguem ja passou por isso e sabe como resolver? Obrigado