Avast lança mais três ferramentas para vítimas de ransomware
A Avast agora oferece às vítimas de ransomware alternativas ao pagamento de resgate: 14 ferramentas de decriptografia para ajudá-las a recuperar seus arquivos
Em 2016, o ransomware, mais uma vez, demonstrou que é a maior ameaça de segurança. Nos últimos anos, mais de 200 novas variedades de ransomware foram descobertas, e o crescimento do número de amostras dispersas dobrou. Mas, a boa notícia é que centenas de milhões de usuários da Avast e AVG já estavam protegidos contra essa ameaça ‘popular’.
A Avast está empenhada em lutar contra o ransomware. E uma das principais formas de fazer isso é fornecendo ferramentas gratuitas de descriptografia para uso das vítimas. É nesse contexto que a Avast lança, agora, mais três ferramentas de decodificação de ransomware para as seguintes variedades: HiddenTear, Jigsaw e Stampado / Philadelphia.
De acordo com a empresa, o cenário ideal é oferecer diversas opções (gratuitas) para que as vítimas encontrem a que funciona melhor.
• As ‘cepas’ HiddenTear, Jigsaw e Stampado / Philadelphia têm sido bastante ativas (e predominantes) nos últimos meses. As chaves de criptografia usadas, bem como os algoritmos internos, mudam muito. Isso significa que a Avast precisa atualizar suas ferramentas de descriptografia também. Portanto, há uma boa chance de que nossas soluções, ou as mais novas, ajudem as vítimas das versões mais recentes dessas linhagens de malware.
• Por último, mas igualmente importante, fomos capazes de acelerar significativamente o tempo de desencriptação – mais precisamente, o processo de quebra de senha com brute force -, e, assim, algumas das variantes HiddenTear serão descriptografadas em minutos ao invés de dias. Os melhores resultados são alcançados ao decifrar arquivos diretamente na máquina infectada.
Todas as ferramentas de decodificação estão disponíveis, juntamente com uma descrição detalhada de cada variante do ransomware, na página de ferramentas gratuitas de descriptografia de ransomware da Avast.
Se você foi infectado por uma versão do HiddenTear / Jigsaw / Stampado que não está coberta por estas ferramentas, avise na seção de comentários para que a Avast tente atualizá-las.
Os malwares
HiddenTear – HiddenTear é um dos primeiros códigos de ransomware de código aberto hospedados no GitHub e remonta a agosto de 2015. Desde então, centenas de variantes dele foram produzidas por bandidos usando o código-fonte original. O HiddenTear usa criptografia AES.
Mudanças nos nomes de arquivos: os arquivos criptografados pelo HiddenTear terão as seguintes extensões, (mas não limitadas a estas): .locked, .34xxx, .bloccato, .BUGSECCCC, .Hollycrypt, .lock, .saeid, .unlockit, .razy, .mecpt, .monstro, .lok, .암호화됨, .8lock8, .fucked, .flyper, .kratos, .krypted, .CAZZO, .doomed.
Mensagem de resgate: Depois da criptografia dos arquivos, um arquivo de texto (READ_IT.txt, MSG_FROM_SITULA.txt, DECRYPT_YOUR_FILES.HTML) aparece no Desktop do usuário. Várias variantes podem também exibir esta mensagem de resgate:
Os três novos anti-ramsonware
Os três novos decodificadores da Avast para HiddenTear, Jigsaw e Stampado/Phidadelphia se unem a outros 11 softwares do gênero, oferecidos pela Avast no site da fabricante de antivírus. Para usar, acesse o endereço ao lado (avast.com/ransomware-decryption-tools) e siga as instruções da empresa.
Conheça mais de cada uma das ameaças
Alcatraz Locker: esse ramsonware usa uma criptografia AES 256 e foi observado pela primeira vez em novembro de 2016. É possível identifica-lo pela extensão .alcatraz nos arquivos sequestrados.
Apocalypse: apareceu em junho de 2016 e atua com diversas extensões diferentes, como .locked, .encrypted, .securecrypted.
BadBlock: observado pela primeira vez em maio de 2016. Não renomeia arquivos, mas mesmo assim, impede o acesso a eles.
Bart: surgiu em junho de 2016. Costuma adicionar a extensão .bart.zip a todos os arquivos criptografados.
Crypt888: ao contrário dos demais, o Crypt888 não altera a extensão, mas o nome dos arquivos, colocando o termo “lock.” em todos eles: de “trabalho.doc” para “lock.trabalho.doc”.
CrySIS: também conhecido como Aura, Virus-Encode e JohnyCryptor, surgiu em setembro de 2015 e aplica diversos tipos de extensões diferentes a arquivos afetados.
Globe: esse ramsonware aplica uma grande quantidade de extensões diferentes a arquivos afetados. Pode ser identificado pelas mensagens “how to restore files.hta”
HiddenTear: é um dos primeiros ramsonwares, surgiu em agosto de 2015. Existem diversas variantes desse vírus pelo fato de que ele é open-source.
Jigsaw: variante recente, aplica uma grande quantidade de extensões aos arquivos infectados. O nome é inspirado no personagem da série de filmes Jogos Mortais.
Legion: as primeiras ocorrências desse vírus são de junho de 2016. Pode ser identificado ao usar extensões que contenham o termo “legion” nos arquivos infectados.
NoobCrypt: usa criptografia AES256 e, ao contrário dos demais, não usa extensões. O vírus simplesmente impede que os arquivos sejam abertos nos seus aplicativos correspondentes.
Stampado: é um dos ramsonwares mais populares porque é vendido na dark web. Algumas variações, além de adicionarem a extensão .locked em arquivos afetados, mudam o nome do documento em si.
SZFLocker: adiciona “sfz” à extensão do arquivo criptografado e foi reportado pela primeira vez em maio de 2016.
