Kaspersky ajuda vítimas do ransomware Yatron e FortuneCrypt a recuperar seus dados sequestrados
22 de outubro de 2019Como podemos recuperar arquivos criptografados por ransomware?
Devemos pagar aos criminosos que sequestraram nossos dados? Desde 2017, os noticiários foram inundados por manchetes sobre a evolução dos ransomwares.
Os tempos mudaram, mas é fato que continuam sendo uma grande dor de cabeça para usuários e especialistas. Não é uma tarefa simples recuperar arquivos criptografados -em muitos casos, impossível. Mas temos boas notícias para as vítimas dos malwares Yatron e FortuneCrypt: especialistas da Kaspersky desenvolveram e lançaram decryptors.
Como recuperar arquivos criptografados pelo Yatron
O ransomware Yatron foi criado baseado em outro encryptor, o Hidden Tear, que tem uma história incomum. Anos atrás, o pesquisador turco Utku Sen criou esse malware com fins educacionais e de pesquisa e publicou o código-fonte na internet. O legado desse software ainda está aqui: compreender como pensa um criminoso e esforçar-se para combate-lo de forma eficiente.
Sen percebeu desde o início que os bandidos realmente usariam seu código, então deixou lacunas que permitiriam recuperar as chaves de criptografia dos servidores de comando e controle que o malware usa. Essas chaves poderiam ser usadas para criar decryptors.
O plano de Sen falhou quando um dos provedores de hospedagem, cujos serviços foram usados pelos desenvolvedores do ransomware, desligou completamente o servidor de comando e controle e apagou todas as informações (incluindo senhas) antes que o pesquisador pudesse recuperá-los.
Mais tarde, os criminosos contataram Sen e prometeram restaurar os dados das vítimas se ele removesse o código fonte da Internet. O especialista fez sua parte, mas até estabelecerem o acordo, o Hidden Tear já havia sido baixado várias vezes. Especialistas continuam a encontrar novos ransomware inspirados nele, como o Yatron.
Felizmente, vulnerabilidades foram encontradas no código, e criamos um decodificador. Se você se deparar com uma extensão .yatron em algum arquivo bloqueado, então vá até o No More Ransom e baixe a ferramenta para recuperar seus arquivos.
Como recuperar arquivos criptografados pelo FortuneCrypt
O segundo ransomware desse pacote também é difícil de ser chamado de obra-prima. Em vez de usar linguagens de programação avançadas, como C/C++ e Python, os criadores do FortuneCrypt usaram o BlitzMax, linguagem bastante simples parecida com um BASIC turbinado. No histórico de nossa pesquisa em rastreamento de malwares, nunca encontramos antes esse tipo de programação.
Nossos especialistas descobriram que o algoritmo de criptografia desse malware está longe de ser perfeito e criaram um decryptor. Como no caso do Yatron, as vítimas do FortuneCrypt podem baixar uma ferramenta para desbloquear seus arquivos no No More Ransom.
O que fazer se encontrar um ransomware no seu computador
Antes de mais nada, não pague pelo resgate. Realizar esse pagamento apenas encoraja criminosos, e não há garantia que você será capaz de recuperar suas informações. A melhor coisa a ser feita é ir até o site do No More Ransom, criado por especialistas de diversas empresas de cibersegurança e por agências de segurança de todo o mundo, incluindo Kaspersky, Interpol e polícia holandesa. O site contém decryptors de centenas de programas maliciosos, e todos são gratuitos.
Como se proteger da extorsão dos cibercriminosos
Algumas dicas para evitar se tornar uma vítima:
- Não faça download de programas de sites desconhecidos e suspeitos. Mesmo se o nome do programa parecer correto, o pacote pode conter algo completamente diferente e perigoso.
- Não clique em links e não abra arquivos anexados aos e-mails de fontes desconhecidas. Se você receber uma mensagem inesperada e suspeita de um amigo ou colega de trabalho, ligue para eles para ter certeza que o arquivo é seguro.
- Confira se você baixou e instalou as últimas atualizações do seu sistema operacional e dos programas que você usa regularmente. Isso vai ajudar a manter seus dispositivos livres de vulnerabilidades que os golpistas podem tirar proveito.
- Instale um antivírus confiável e nunca o desabilite, mesmo que alguns programas peçam para você fazer isso
- Faça backups das informações importantes e as armazene na nuvem, em um dispositivo removível ou em um HD externo.
Matéria original aqui
Quem paga a conta de um Ransomware?
Não existe cibercrime, existe crime
Prefeituras pagam milhões à hackers após ataques
Ransomware hackers hit nearly two dozen Texas cities
Kaspersky alerta sobre ransomware Sodin que explora vulnerabilidade do Windows
ESET mostra países mais afetados por ransomware na América Latina