Jump to content
  • Revista PROGRAMAR: Já está disponível a edição #60 da revista programar. Faz já o download aqui!

lusky

Virus [Decrypt my files] alguma forma de recuperar ficheiros?

Recommended Posts

lusky

Boas,

Não sei se estarei a criar este tópico no sítio certo, mas peço ajuda a quem já tivesse êxito na recuperação dos dados.

Foi instalado num computador de um cliente um vírus recente chamado de Decrypt My Files, este vírus é tão poderoso que se instalou sem deixar qualquer indicação do mesmo, em poucos minutos conseguiu encriptar todos os ficheiros com os formatos abaixo:

.gif, .groups, .hdd, .hpp, .log, .m2ts, .m4p, .mkv, .mpeg, .ndf, .nvram, .ogg, .ost, .pab, .pdb, .pif, .png, .qed, .qcow, .qcow2, .rvt, .st7, .stm, .vbox, .vdi, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .3fr, .3pr, .ab4, .accde, .accdr, .accdt, .ach, .acr, .adb, .ads, .agdl, .ait, .apj, .asm, .awg, .back, .backup, .backupdb, .bay, .bdb, .bgt, .bik, .bpw, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .ce1, .ce2, .cib, .craw, .crw, .csh, .csl, .db_journal, .dc2, .dcs, .ddoc, .ddrw, .der, .des, .dgc, .djvu, .dng, .drf, .dxg, .eml, .erbsql, .erf, .exf, .ffd, .fh, .fhd, .gray, .grey, .gry, .hbk, .ibd, .ibz, .iiq, .incpas, .jpe, .kc2, .kdbx, .kdc, .kpdx, .lua, .mdc, .mef, .mfw, .mmw, .mny, .mrw, .myd, .ndd, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nwb, .nx2, .nxl, .nyf, .odb, .odf, .odg, .odm, .orf, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pdd, .pem, .plus_muhd, .plc, .pot, .pptx, .psafe3, .py, .qba, .qbr, .qbw, .qbx, .qby, .raf, .rat, .raw, .rdb, .rwl, .rwz, .s3db, .sd0, .sda, .sdf, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srw, .st5, .st8, .std, .sti, .stw, .stx, .sxd, .sxg, .sxi, .sxm, .tex, .wallet, .wb2, .wpd, .x11, .x3f, .xis, .ycbcra, .yuv, .contact, .dbx, .doc, .docx, .jnt, .jpg, .msg, .oab, .ods, .pdf, .pps, .ppsm, .ppt, .pptm, .prf, .pst, .rar, .rtf, .txt, .wab, .xls, .xlsx, .xml, .zip, .1cd, .3ds, .3g2, .3gp, .7z, .7zip, .accdb, .aoi, .asf, .asp, .aspx, .asx, .avi, .bak, .cer, .cfg, .class, .config, .css, .csv, .db, .dds, .dwg, .dxf, .flf, .flv, .html, .idx, .js, .key, .kwm, .laccdb, .ldf, .lit, .m3u, .mbx, .md, .mdf, .mid, .mlb, .mov, .mp3, .mp4, .mpg, .obj, .odt, .pages, .php, .psd, .pwm, .rm, .safe, .sav, .save, .sql, .srt, .swf, .thm, .vob, .wav, .wma, .wmv, .xlsb,3dm, .aac, .ai, .arw, .c, .cdr, .cls, .cpi, .cpp, .cs, .db3, .docm, .dot, .dotm, .dotx, .drw, .dxb, .eps, .fla, .flac, .fxg, .java, .m, .m4v, .max, .mdb, .pcd, .pct, .pl, .potm, .potx, .ppam, .ppsm, .ppsx, .pptm, .ps, .r3d, .rw2, .sldm, .sldx, .svg, .tga, .wps, .xla, .xlam, .xlm, .xlr, .xlsm, .xlt, .xltm, .xltx, .xlw, .act, .adp, .al, .bkp, .blend, .cdf, .cdx, .cgm, .cr2, .crt, .dac, .dbf, .dcr, .ddd, .design, .dtd, .fdb, .fff, .fpx, .h, .iif, .indd, .jpeg, .mos, .nd, .nsd, .nsf, .nsg, .nsh, .odc, .odp, .oil, .pas, .pat, .pef, .pfx, .ptx, .qbb, .qbm, .sas7bdat, .say, .st4, .st6, .stc, .sxc, .sxw, .tlg, .wad, .xlk, .aiff, .bin, .bmp, .cmt, .dat, .dit, .edb, .flvv

Visto isto já dá para ter uma noção de como ficou a máquina.......e qualquer pen, disco ou dispositivo de informação que seja ligado.

O responsável deste vírus pede um resgate considerável pela recuperação, já tentei a recuperação de dados apagados via hirens boot e nada, foram apagadas as restaurações automáticas assim como encriptados os ficheiros de todas as recuperações possíveis do sistema...completamente tudo....

Pergunto se existe mais alguma forma de tentar contornar esta situação afim de recuperar pelo menos as fotos e ficheiros do office?

Desde já agradeço qualquer ajuda dos entendidos.

Cumps,

Share this post


Link to post
Share on other sites
nunopicado

Já li algures que há alguns desses virus que se consegue desencriptar, mas nunca vi ao certo como. :/


"A humanidade está a perder os seus génios... Aristóteles morreu, Newton já lá está, Einstein finou-se, e eu hoje não me estou a sentir bem!"

> Não esclareço dúvidas por PM: Indica a tua dúvida no quadro correcto do forum.

Share this post


Link to post
Share on other sites
lusky

Já ando nisto há 3 dias e nada, com esta situação andam aí alguns tipos a pedir 225€ pelo desbloqueio dos ficheiros......huummm cheira-me a tanga!

Assim ficaram todos os ficheiros existentes por pastas:

IMG_20160508_210243.jpg

Está difícil..... :(, mas pior ainda é a minha cabeça que não vai parar enquanto não saber quais as possibilidades (se é que as há)

Cumps,

Share this post


Link to post
Share on other sites
nunopicado

Há vários 'virus' desse tipo (RansomWare) e cada um pior que o outro.

Já tive alguns clientes que levaram com ele, mas como têm backups, não tem sido de gravidade exagerada.

Mas se não tens, tens de tentar ver solução.

Pagar é que não. O mais certo é que não resolva nada, e mesmo que resolvesse, era estar a incentivar os FDP que fazem isso.


"A humanidade está a perder os seus génios... Aristóteles morreu, Newton já lá está, Einstein finou-se, e eu hoje não me estou a sentir bem!"

> Não esclareço dúvidas por PM: Indica a tua dúvida no quadro correcto do forum.

Share this post


Link to post
Share on other sites
CJCV

tendo notado que esse tipo de ataques tem vindo a aumentar consideravelmente. :(

algumas chaves já foram recuperadas , mas acho que desse não, o site da Kaspersky tem informação sobre isso.

backups é a solução, não convém é deixar os discos / pens ligados, porque esse tipo de "vírus" corre todas as letras disponíveis.

Share this post


Link to post
Share on other sites
apocsantos

Boa noite,

Este tipo de ataques, tem aumentado "vertiginosamente". Existem algumas formas de poderes tentar recuperar os ficheiros, uma delas é usares uma ferramenta tipo o recuva, mas não tenho a certeza se irá funcionar.

Existem algumas ferramentas, para recuperar ficheiros de alguns desses ransomware, mas não sei se existem para este caso específico. Nunca lidei com ele.

Se puderes arranjar uma "amostra" dos binários do bicho e de um ficheiro encriptado, podia ser interessante perder umas horas de volta disso.

Cordiais cumprimentos,

Apocsantos


"A paciência é uma das coisas que se aprendeu na era do 48k" O respeito é como a escrita de código, uma vez perdido, dificilmente se retoma o habito"

Share this post


Link to post
Share on other sites
andré5366
Em 08/05/2016 às 20:40, lusky disse:

Tou com o mesmo problema como e que eu faço

Obg

 

 

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×

Important Information

By using this site you accept our Terms of Use and Privacy Policy. We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.