Vírus Criptografa Arquivos – CryptoWall || Help Decrypt

Não seja surpreendido novamente. Entre em contato com a Wenz Tecnologia e previna-se contra esses e outros ataques . Clique no logotipo abaixo:

BusinessCardLogo

Compre conteúdo de prevenção: http://www.wenz.com.br/2017/05/12/prevencao-contra-ransoware-em-servidores-microsoft/

E-mail: [email protected]

Site Oficial: http://www.wenz.com.br

 

FOI PUBLICADA UMA SOLUÇÃO QUE PODE AJUDAR A TODOS. ANTES DE LER O ARTIGO, TEM A SOLUÇÃO COM A FERRAMENTA ABAIXO: 

Atualização:

http://cooperati.com.br/2016/04/25/descriptografar-arquivos-infectador-novo-utilitario-kaspersky/

Hoje vamos deixar um alerta para o vírus CryptoWall que continua invadindo redes em todo o mundo. Esse vírus é de abril de 2014, mas ainda continua com força total e prejudicando muitos usuários, empresas e administradores de infraestrutura. Quando sua rede é infectada, diversas extensões de arquivos são criptografadas e apenas serão descompactadas com o pagamento de um valor via Bitcoins por um endereço que muda por cada usuário infectado.

Veja a tela do arquivo que é espalhado em sua rede em diversas pasta infectadas:

cry01

Esse vírus é distribuído através de arquivos anexados por e-mail ou por acesso a sites maliciosos. Nesse momento é muito importante rever suas configurações de segurança ao usuário final para não ter um surpresa com essa praga.

Importante: Atualmente não existe nenhuma forma de descriptografar esses arquivos após sua infecção. Única oportunidade de lhe salvar é tendo um bom backup atualizado e “fechado”, como por exemplo, “Windows Server Backup” ou “Cópia de Sombra”. Outras ferramentas de backup como “Cobian Backup”, podem até lhe salvar, mas por serem arquivos abertos, poderão ser infectados ao tentar restaurá-los em seus locais originais.

O Windows Server Backup trabalha com extensão VHD e XML, portanto essaS extensões não são atacas pelo vírus.

Confira na lista abaixo as extensões atacadas pelo vírus:

  • xls
  • wpd
  • wb2
  • txt
  • tex
  • swf
  • sql
  • rtf
  • RAW
  • ppt
  • png
  • pem
  • pdf
  • pdb
  • PAS
  • odt
  • obj
  • msg
  • mpg
  • mp3
  • lua
  • key
  • jpg
  • hpp
  • gif
  • eps
  • DTD
  • doc
  • der
  • crt
  • cpp
  • cer
  • bmp
  • bay
  • avi
  • ava
  • ass
  • asp
  • js
  • py
  • pl
  • db
  • c
  • h
  • ps
  • cs
  • m
  • rm

Se você for atacado, precisa criar um plano de ação para impedir a propagação em sua rede. Veja no exemplo em uma máquina infectada pelo vírus e seus respectivos caminhos:

Primeiro passo é criar um arquivo .bat com o seguinte código abaixo e varrer suas unidades:

@echo off
color 27
:begin
title Help Encript Remover (By: Wenz Tecnologia)
echo Programa que vai apagar os arquivos do vírus “Help Encript”:
echo Digite a letra da unidade para o processo (ex: D,E,F,G):
set /p “uni=>”

:process
%UNI%:
del /s %UNI%:\HELP_DECRYPT.*
echo Arquivos “HELP_DECRYPT” Arquivos Removidos com Sucesso!
pause

Geralmente o aplicativo “.EXE” fica alocado na raiz do C: com um nome de pasta aleatório por cliente infectado. Ao visualizar esse arquivo, delete-o imediatamente.

1

Faça uma busca no registrador da máquina com o mesmo nome aleatório encontrado e delete as entradas encontradas.

2Veja outro caminho onde a praga pode se alocar.

3

Outras pastas para verificação são:

% Temp% 
C: \ <random> \ <aleatória> .exe 
% Dados do aplicativo% 
% LocalAppData% 
% Dados do Programa%

Revise todas suas estações de trabalho. Se o cenário for muito grande, utilize uma estação que não tenha arquivos importantes. Nunca acessar através de seu servidor para limpar as estações infectadas, pois isso poderá agravar na propagação.

Observação: Nenhum antivírus é capaz de descriptografar esses arquivos após a infecção. Muito importante revisar seus backups, pois é a única forma de salvar seus dados e seu dia. Outra opção é utilizar a cópia de sombra, isso ocupará mais espaço em seus discos, mas ajudará na recuperação com as versões anteriores dos arquivos.

Um aviso para seus usuários, para ficarem atentos na abertura de anexos desconhecidos, também é uma boa recomendação para todas as empresas. Trabalhe em um e-mail para avisá-los e se possível uma pequena reunião ou palestra para alerta geral.

Esperamos que essa dica ajude a todos a se defenderem dessa praga que já algum tempo vem causando problemas graves no mundo todo.