Ir para o conteúdo
  • Revista PROGRAMAR: Já está disponível a edição #59 da revista programar. Faz já o download aqui!

lusky

Virus [Decrypt my files] alguma forma de recuperar ficheiros?

Mensagens Recomendadas

lusky    3
lusky

Boas,

Não sei se estarei a criar este tópico no sítio certo, mas peço ajuda a quem já tivesse êxito na recuperação dos dados.

Foi instalado num computador de um cliente um vírus recente chamado de Decrypt My Files, este vírus é tão poderoso que se instalou sem deixar qualquer indicação do mesmo, em poucos minutos conseguiu encriptar todos os ficheiros com os formatos abaixo:

.gif, .groups, .hdd, .hpp, .log, .m2ts, .m4p, .mkv, .mpeg, .ndf, .nvram, .ogg, .ost, .pab, .pdb, .pif, .png, .qed, .qcow, .qcow2, .rvt, .st7, .stm, .vbox, .vdi, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .3fr, .3pr, .ab4, .accde, .accdr, .accdt, .ach, .acr, .adb, .ads, .agdl, .ait, .apj, .asm, .awg, .back, .backup, .backupdb, .bay, .bdb, .bgt, .bik, .bpw, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .ce1, .ce2, .cib, .craw, .crw, .csh, .csl, .db_journal, .dc2, .dcs, .ddoc, .ddrw, .der, .des, .dgc, .djvu, .dng, .drf, .dxg, .eml, .erbsql, .erf, .exf, .ffd, .fh, .fhd, .gray, .grey, .gry, .hbk, .ibd, .ibz, .iiq, .incpas, .jpe, .kc2, .kdbx, .kdc, .kpdx, .lua, .mdc, .mef, .mfw, .mmw, .mny, .mrw, .myd, .ndd, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nwb, .nx2, .nxl, .nyf, .odb, .odf, .odg, .odm, .orf, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pdd, .pem, .plus_muhd, .plc, .pot, .pptx, .psafe3, .py, .qba, .qbr, .qbw, .qbx, .qby, .raf, .rat, .raw, .rdb, .rwl, .rwz, .s3db, .sd0, .sda, .sdf, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srw, .st5, .st8, .std, .sti, .stw, .stx, .sxd, .sxg, .sxi, .sxm, .tex, .wallet, .wb2, .wpd, .x11, .x3f, .xis, .ycbcra, .yuv, .contact, .dbx, .doc, .docx, .jnt, .jpg, .msg, .oab, .ods, .pdf, .pps, .ppsm, .ppt, .pptm, .prf, .pst, .rar, .rtf, .txt, .wab, .xls, .xlsx, .xml, .zip, .1cd, .3ds, .3g2, .3gp, .7z, .7zip, .accdb, .aoi, .asf, .asp, .aspx, .asx, .avi, .bak, .cer, .cfg, .class, .config, .css, .csv, .db, .dds, .dwg, .dxf, .flf, .flv, .html, .idx, .js, .key, .kwm, .laccdb, .ldf, .lit, .m3u, .mbx, .md, .mdf, .mid, .mlb, .mov, .mp3, .mp4, .mpg, .obj, .odt, .pages, .php, .psd, .pwm, .rm, .safe, .sav, .save, .sql, .srt, .swf, .thm, .vob, .wav, .wma, .wmv, .xlsb,3dm, .aac, .ai, .arw, .c, .cdr, .cls, .cpi, .cpp, .cs, .db3, .docm, .dot, .dotm, .dotx, .drw, .dxb, .eps, .fla, .flac, .fxg, .java, .m, .m4v, .max, .mdb, .pcd, .pct, .pl, .potm, .potx, .ppam, .ppsm, .ppsx, .pptm, .ps, .r3d, .rw2, .sldm, .sldx, .svg, .tga, .wps, .xla, .xlam, .xlm, .xlr, .xlsm, .xlt, .xltm, .xltx, .xlw, .act, .adp, .al, .bkp, .blend, .cdf, .cdx, .cgm, .cr2, .crt, .dac, .dbf, .dcr, .ddd, .design, .dtd, .fdb, .fff, .fpx, .h, .iif, .indd, .jpeg, .mos, .nd, .nsd, .nsf, .nsg, .nsh, .odc, .odp, .oil, .pas, .pat, .pef, .pfx, .ptx, .qbb, .qbm, .sas7bdat, .say, .st4, .st6, .stc, .sxc, .sxw, .tlg, .wad, .xlk, .aiff, .bin, .bmp, .cmt, .dat, .dit, .edb, .flvv

Visto isto já dá para ter uma noção de como ficou a máquina.......e qualquer pen, disco ou dispositivo de informação que seja ligado.

O responsável deste vírus pede um resgate considerável pela recuperação, já tentei a recuperação de dados apagados via hirens boot e nada, foram apagadas as restaurações automáticas assim como encriptados os ficheiros de todas as recuperações possíveis do sistema...completamente tudo....

Pergunto se existe mais alguma forma de tentar contornar esta situação afim de recuperar pelo menos as fotos e ficheiros do office?

Desde já agradeço qualquer ajuda dos entendidos.

Cumps,

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
nunopicado    1094
nunopicado

Já li algures que há alguns desses virus que se consegue desencriptar, mas nunca vi ao certo como. :/


"A humanidade está a perder os seus génios... Aristóteles morreu, Newton já lá está, Einstein finou-se, e eu hoje não me estou a sentir bem!"

> Não esclareço dúvidas por PM: Indica a tua dúvida no quadro correcto do forum.

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
lusky    3
lusky

Já ando nisto há 3 dias e nada, com esta situação andam aí alguns tipos a pedir 225€ pelo desbloqueio dos ficheiros......huummm cheira-me a tanga!

Assim ficaram todos os ficheiros existentes por pastas:

IMG_20160508_210243.jpg

Está difícil..... :(, mas pior ainda é a minha cabeça que não vai parar enquanto não saber quais as possibilidades (se é que as há)

Cumps,

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
nunopicado    1094
nunopicado

Há vários 'virus' desse tipo (RansomWare) e cada um pior que o outro.

Já tive alguns clientes que levaram com ele, mas como têm backups, não tem sido de gravidade exagerada.

Mas se não tens, tens de tentar ver solução.

Pagar é que não. O mais certo é que não resolva nada, e mesmo que resolvesse, era estar a incentivar os FDP que fazem isso.


"A humanidade está a perder os seus génios... Aristóteles morreu, Newton já lá está, Einstein finou-se, e eu hoje não me estou a sentir bem!"

> Não esclareço dúvidas por PM: Indica a tua dúvida no quadro correcto do forum.

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
CJCV    46
CJCV

tendo notado que esse tipo de ataques tem vindo a aumentar consideravelmente. :(

algumas chaves já foram recuperadas , mas acho que desse não, o site da Kaspersky tem informação sobre isso.

backups é a solução, não convém é deixar os discos / pens ligados, porque esse tipo de "vírus" corre todas as letras disponíveis.

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
apocsantos    219
apocsantos

Boa noite,

Este tipo de ataques, tem aumentado "vertiginosamente". Existem algumas formas de poderes tentar recuperar os ficheiros, uma delas é usares uma ferramenta tipo o recuva, mas não tenho a certeza se irá funcionar.

Existem algumas ferramentas, para recuperar ficheiros de alguns desses ransomware, mas não sei se existem para este caso específico. Nunca lidei com ele.

Se puderes arranjar uma "amostra" dos binários do bicho e de um ficheiro encriptado, podia ser interessante perder umas horas de volta disso.

Cordiais cumprimentos,

Apocsantos


"A paciência é uma das coisas que se aprendeu na era do 48k" O respeito é como a escrita de código, uma vez perdido, dificilmente se retoma o habito"

assinatura.jpg

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites

Crie uma conta ou ligue-se para comentar

Só membros podem comentar

Criar nova conta

Registe para ter uma conta na nossa comunidade. É fácil!

Registar nova conta

Entra

Já tem conta? Inicie sessão aqui.

Entrar Agora

×

Aviso Sobre Cookies

Ao usar este site você aceita os nossos Termos de Uso e Política de Privacidade. Este site usa cookies para disponibilizar funcionalidades personalizadas. Para mais informações visite esta página.