Ransomware: O Que é e Como Recuperar Seus Arquivos

15:38 Marcos Ferreira 313 Comentarios



O ransomware é um tipo de malware que bloqueia o acesso ao computador e/ou arquivos que ele infecta. Para que esse acesso seja liberado é exigido que seja pago um “resgate”. Alguns tipos de ransomwares criptografam os arquivos impossibilitando sua abertura de forma simples. Já outros, apenas travam o sistema mostrando uma mensagem que irá coagir o usuário a pagar pelo resgate dos arquivos. Esse valor pode variar de U$100 até U$1000 dólares e, em alguns casos, o pagamento precisa ser realizado através de Bitcoin.

A forma de infecção do ransomware pode variar dependendo da sua versão, mas pode acontecer através de um arquivo anexo no e-mail em um ataque de phishing, bem como, através da visitação de um site malicioso onde uma vulnerabilidade será explorada e o software será instalado no sistema.

Normalmente, além do ransomware outros tipos de malware são instalados em conjunto no sistema, podemos citar o exemplo do CryptoLocker, o usuário é infectado ao abrir um arquivo contaminado no e-mail, este arquivo contém o downloader Upadre que irá infectar a máquina com o GameOver Zeus, é uma variante do Trojan Zeus que rouba informações bancárias, além de outros dados importantes, como usuários e senhas. Após a infecção do Zeus, o Upadre irá finalmente instalar o CryptoLocker que irá criptografar os arquivos e solicitar o valor para resgatá-los.

O mercado negro de ransomware tem se mostrado muito lucrativo, como apontam diversas empresas de segurança pelo mundo, o primeiro conhecido foi o Dirty Decrypt, após ele veio o CryptoLocker, PowerLocker, Citroni, CryptoWall, CryptoWall 2, CryptoWall 3, Torrent Locker, Cryptographic Locker e recentemente foi descoberto o TeslaCrypt que utiliza criptografia simétrica RSA-2048 para criptografar os arquivos.

Como recuperar os arquivos?

A principal pergunta de quando uma pessoa ou empresa se depara com um problema desse é sempre o mesmo: Como recupero meus arquivos? Mas muitas vezes eles recebem uma outra pergunta, a famosa: Você tem backup?

Bom, para nossa alegria algumas empresas já disponibilizaram ferramentas, seja ela online ou através de softwares, essas conseguem identificar a chave que irá recuperar os seus arquivos criptografados. Veja abaixo algumas opções.

FireEye e Fox-IT Scanner

As empresas de segurança FireEye e a FoxIT desenvolveram em parceria um portal que consegue fornecer a chave master que irá conseguir remover a criptografia dos arquivos afetados pelo CryptoLocker.



Kaspersky Lab

A Kaspersky em parceria com a polícia da Holanda, desenvolveram um portal que fornece informações e ferramentas para tentar recuperar os arquivos criptografados pela ransomware CoinVault.



Talos TeslaCrypt Decryption Tool

O grupo de segurança da Cisco fez uma análise detalhada do TeslaCrypt, uma variante do CryptoWall, que foi recentemente descoberto. Além disso, eles disponibilizaram uma ferramenta que irá te auxiliar na recuperação de seus arquivos.



DropBox e Google Drive

Se os seus arquivos no DropBox ou Google Drive foram criptografados por um ransomware, eles oferecem uma opção de você recuperar os arquivos para uma versão mais antiga, confira nos endereços abaixo.




Como se prevenir?

 A melhor forma de evitar dores de cabeça, seja com seu computador pessoal ou com o computador corporativo, é a prevenção. Abaixo segue algumas dicas:

- Realize backups regulares de todas as informações críticas e armazene essas informações em um local separado, de preferência off-line.

- Mantenha o antivírus atualizado.

- Mantenha o seu sistema operacional e todos os softwares instalados atualizados.

- Cuidado ao clicar em links nos e-mails, principalmente de pessoas desconhecidas.

- Muito cuidado ao abrir arquivos anexos no e-mail, principalmente de pessoas desconhecidas.


Além disso, não podemos nos esquecer dos smartphones e tablets. Com o crescente número de usuários que utilizam esses equipamentos para acessar a internet e guardar informações pessoais, já existem ransomwares que criptografam os arquivos em dispositivos Android, e no caso dos dispositivos da Apple, um ataque no último ano utilizava as credenciais do iCloud para bloquear os dispositivos remotamente.


[Atualização 13/01/2016]

O site da FireEye e a FoxIT foi tirado fora do ar, então é uma opção a menos para tentar resolver o problema.

Como o ransomware criptografa e em seguida apaga os arquivos da máquina, uma opção é tentar utilizar algum software que recupere os arquivos que foram removidos.

[Atualização 14/03/2016]

Existem duas ferramentas que podem te ajudar a recuperar seus arquivos que foram criptografados pelo TeslaCrypt. Confira os links abaixo.

TeslaCrack - decrypt files crypted by TeslaCrypt ransomware
https://github.com/Googulator/TeslaCrack


TeslaDecoder
http://download.bleepingcomputer.com/BloodDolly/TeslaDecoder.zip

[Atualização 14/04/2016]

Foi descoberto a forma de recuperar arquivos do Ransomware Petya. A forma de atuação desse ransomware é diferente dos outros, pois este bloqueia totalmente o computador não permitindo que seja iniciado o sistema operacional. Veja no link abaixo como recuperar os arquivos sem precisar realizar o pagamento.

http://www.bleepingcomputer.com/news/security/petya-ransomwares-encryption-defeated-and-password-generator-released/

Além desse, no link abaixo é possível obter o arquivo para recuperar os arquivos criptografados pelo HydraCrypt e UmbreCrypt.

http://blog.emsisoft.com/2016/02/12/decrypter-for-hydracrypt-and-umbrecrypt-available/

Outro ransomware que já é possível recuperar os arquivos é o Jigsaw Ransomware. Este utiliza as extensões  .FUN, .KKK,  .GWS, ou .BTC e além da mensagem em inglês também existe uma mensagem em português. Confira abaixo o link de como recuperar os arquivos sem precisar pagar.

http://www.bleepingcomputer.com/news/security/jigsaw-ransomware-decrypted-will-delete-your-files-until-you-pay-the-ransom/


[Atualização 27/06/2016]

O pessoal do Cibrary.it divulgou uma matéria que contém diversas chaves para remover a criptografia do Ransomware Locky, clique no endereço abaixo e veja se alguma das chaves pode servir para você.

http://pastebin.com/HstqPx62



[Atualização 16/08/2016]

A CheckPoint lançou uma ferramenta que recupera os arquivos do ransomware Cerber. Para baixar ela, acesse o endereço abaixo.

https://www.cerberdecrypt.com/RansomwareDecryptionTool/ 



[Atualização 24/08/2016]

O website "No-More-Ransom" é uma iniciativa da Polícia Nacional de Crimes de Alta Tecnologia da Holanda, do Centro Europeu de Cibercriminalidade da Europol e duas empresas de segurança cibernética: Kaspersky Lab e Intel Security. O objetivo é de ajudar as vítimas de ransomware a recuperar seus dados criptografados sem ter que pagar os criminosos.

https://www.nomoreransom.org/



[Atualização 23/09/2016]


A TrendMicro também tem uma ferramenta que consegue remover a criptografia de alguns tipos de ransomwares e tem sido atualizada constantemente. Atualmente a ferramenta suporta o CryptXXX, TeslaCrypt, SNSLocker, AutoLocky, BadBlock, 777, XORIST, XORBAT, CERBER, Stampado, Nemucod, Chimera, LECHIFFRE e MirCop.

Para fazer o download acesse:
https://success.trendmicro.com/solution/1114221 


313 comentários:

  1. Não consegui entender muito bem essas ferramentas e nem como funciona. Poderia me ajudar??????? x-x

    ResponderExcluir
    Respostas
    1. Olá Yan,

      Qual ferramenta você não entendeu?

      Abraços

      Excluir
  2. Tenho arquivos criptografados pela praga do CryptoWall.
    Tem alguma ferramenta que restaura os arquivos?

    ResponderExcluir
    Respostas
    1. Olá Cleves,

      Tentou usar a ferramenta da Kaspersky? Segue o link abaixo.
      https://noransom.kaspersky.com/

      Abraços.

      Excluir
  3. O meu e o help_decripyt tem alguma ferramenta que eu possa usar ?

    ResponderExcluir
    Respostas
    1. Olá,

      Me parece ser o CryptoWall 3. Você tentou usar algumas das opções acima?

      Abraços.

      Excluir
  4. O meu foi help your files, estou tentando usar o CoinVaultDecryptor, mas não está adiantando...

    ResponderExcluir
    Respostas
    1. Esse nome que aparece "help you files" é apenas dado para te mostrar o caminho que você deve seguir para pagar e recuperar os arquivos.

      Se o CoinVault não esta adiantando, tente verificar outras opções que tem no artigo.

      Abraços.

      Excluir
  5. o meu esta com a extensão .abc nos arquivos como faco para voltar ao normal

    ResponderExcluir
    Respostas
    1. Olá,

      Me parece que você esta infectado pelo ransomware TeslaCrypt. Se for isso mesmo, a seguinte ferramenta pode te ajudar.

      https://github.com/vrtadmin/TeslaDecrypt/tree/master/Windows

      Abraços,

      Excluir
  6. Quando tento Instalar qualquer dessas ferramentas o ransomware criptografa o .exe, existe outra forma de resolver isso?

    ResponderExcluir
    Respostas
    1. Olá Lucas,

      Copia um arquivo que foi criptografado e tenta quebrar desse arquivo para ver se funciona com alguma ferramenta. Se funcionar, você pode colocar o HD como slave em outro computador e tentar recuperar os arquivos.

      Abraços,

      Excluir
    2. Lucas Barros, boa tarde! Estou com o mesmo problema, você conseguiu resolver?

      Excluir
  7. Boa tarde estou com problemas meus arquivos mudaram de nome e assim que coloco a extensão correta eles não abrem removi uns Virus e Malwares do micro mas esses arquivos não voltaram ao normal o nomes estão assim DSC00516.JPG.mp3 isso e´uma imagem e o formato foi mudado para .mp3 se eu apago o .mp3 ele não abre mesmo assim creio que foi cryptografado né
    tem alguma forma de volta-los ao normal?

    ResponderExcluir
    Respostas
    1. Boa tarde,

      Infelizmente essa é a mais nova variante do TeslaCrypt e ainda não existe uma forma de quebrar a criptografia dos arquivos e voltar eles ao normal.

      A única forma seria tentar recuperar uma versão antiga dos arquivos usando algum software que recupere arquivos apagados.

      Abraços,

      Excluir
  8. Olá Marcos, tudo bem? Meu nome é Leonardo. Estou com o mesmo problema do colega acima, meus arquivos foram renomeados para .mp3, com exceção dos arquivos .exe e os .mp3 de origem. Aparece replicado em todas as pastas e subpastas esses dois arquivos em .txt, .html e .png com as instruções do resgate com esses nomes RECOVERY+VEARC e RECOVERY+HSEVJ. Formatei o micro, antes de ver esse blog, portanto se existia alguma chave escondida para eu decodificar esse código foi para o espaço. Escanei meu micro com site indicado que utiliza 55 antivírus online e só o ESET achou esse ele (Win32/Filecoder.TeslaCrypt, no arquivo .png dele diz que é um RSA-4096. Enfim,vc acha que esses programas indicados acima podem trazer de volta meus arquivos ao estado normal? Grato desde já, abração.

    ResponderExcluir
    Respostas
    1. Olá Leonardo,

      Existe algumas formas que podemos tentar fazer para recuperar os arquivos, por exemplo, no windows poderia tentar recuperar os arquivos utilizando o recurso de "Shadow Copy". Mas no seu caso a única forma é tentar usar um software que recupere arquivos apagados.

      Tente utilizar algum dos softwares abaixo e depois em diga se funcionou.

      https://www.piriform.com/recuva
      http://www.easeus.com/datarecoverywizard/free-data-recovery-software.htm
      http://www.r-studio.com/

      Abraços,

      Excluir
  9. Tente utilizar essa opção abaixo também.

    https://esupport.trendmicro.com/en-us/home/pages/technical-support/premium-security/1099221.aspx

    Abraços,

    ResponderExcluir
  10. Tô escaneando com o Recuva, DiskDrill e o DiskDigger, não acabei ainda o escaneamento, mas percebi que eles salvam intactas quase que praticamente só arquivos de imagem. Arquivos pdf´s, xlsx, docx, txt, etc..quando tento abrir diz que estão corrompidos, mesmo possuindo o que acredito ser o tamanho original deles. Conhece algum programa realmente eficaz que corrija esse problema dos arquivos corrompidos? Abração e obrigado pelas respostas anteriores.

    ResponderExcluir
    Respostas
    1. Olá, Já tentou usar esses abaixo?

      http://www.easeus.com/datarecoverywizard/free-data-recovery-software.htm
      http://www.r-studio.com/

      Abraços,

      Excluir
  11. Marcos, Sabe se ja saiu a solucao para a variant que muda a extensao pra MP3? se nao, acha que demora?
    Obrigado

    ResponderExcluir
    Respostas
    1. Olá Francisco,

      Ainda não existe uma solução efetiva para recuperar os arquivos. O que sempre recomendamos é usar um conjunto de opções. Abaixo segue dois links falando mais do TeslaCrypt.

      http://sensorstechforum.com/remove-teslacrypt-3-0-and-restore-mp3-encrypted-files/

      http://sensorstechforum.com/restore-mp3-files-encrypted-by-the-_h_e_l_p_recover_instructions-virus/

      Abraços,

      Excluir
  12. Boa Tarde
    Estou desesperada...... trabalho com HD externo.... Não tenho backup destes arquivos porém fui acessá-los e todos estão convertidos para MP3 e existe uma solicitação de resgate.
    Conf. consultado parece que o nome do virus é ransomware, existe alguma forma de recuperar esses arquivos de excel?

    ResponderExcluir
    Respostas
    1. Boa tarde Talita,

      A primeira coisa que você precisa fazer remover esse ransomware que esta no seu computador. Passe algum anti-vírus atualizado.

      Infelizmente ainda não tem como tirar a criptografia do arquivo, tente seguir as recomendações neste link para recuperar seus arquivos.

      https://esupport.trendmicro.com/en-us/home/pages/technical-support/premium-security/1099221.aspx

      Caso precise de mais alguma informação, me avise.

      Abraços,

      Excluir
  13. Meus arquivos estão com a extensão {TREE_OF_LIFE@INDIA.COM}.CrySiS. Já existe alguma ferramenta pra recuperar?

    ResponderExcluir
    Respostas
    1. Olá Lary e Mateus,

      Esse tipo de vírus é conhecido como vírus encoder o que pode tornar possível a recuperação dos seus arquivos. No link abaixo tem a explicação de como fazer isso e qual ferramenta utilizar (em inglês).

      https://www.pcrisk.com/removal-guides/9541-virus-encoder-ransomware

      Abraços,

      Excluir
    2. Segue o link em português.

      https://www.pcrisk.pt/guias-de-remocao/8184-virus-encoder-ransomware

      Excluir
  14. Acabou que não funcionou Marcos (retornou a mensagem abaixo), mas vou dar uma verificada na internet. Obrigado pelo apoio!

    08:49:03.0922 0x1544 File is not supported: D:\...\ADM\RH 2\CARTÃO DE PONTO.xls.{TREE_OF_LIFE@INDIA.COM}.CrySiS

    ResponderExcluir
    Respostas
    1. Que pena! Tente seguir os passos neste outro link abaixo, talvez podem ajudar.

      https://esupport.trendmicro.com/en-us/home/pages/technical-support/premium-security/1099221.aspx

      Abraços,

      Excluir
  15. Ola, Marcos. Meus arquivos tambem foram convertidos para mp3. Como posso verificar qual foi o vírus responsável? Estou rodando o antivirus da Kaspersky mas ate agora nada. Parabéns pelo post. Abraco.

    ResponderExcluir
    Respostas
    1. Olá,

      Essa é a mais nova variante do TeslaCrypt e ainda não existe uma forma de quebrar a criptografia dos arquivos.

      Após remover ele com o anti virus, tente fazer alguns passos desse link.
      https://esupport.trendmicro.com/en-us/home/pages/technical-support/premium-security/1099221.aspx

      Obrigado!!

      Abraços,

      Excluir
  16. Oi, preciso de ajudar meu note foi infectado com isto pelo que eu li aqui no blog. Meus arquivos estão com extensão trocada tipo o que é para ser .pdf está com .mp3 o que é para ser .jpg aparece como .mp3 e para piorar antes de ver o blog aqui eu reinstalei o windows ou seja acho que perdi as versoes anteriores dos arquivos. Me ajuda o que posso fazer para ter meu arquivos no formato certo de volta.

    ResponderExcluir
    Respostas
    1. Olá Willian,

      Como você reinstalou o windows, provavelmente o malware não esta ativo, porém, eu aconselho você passar um antivirus para ter certeza.

      Após passar o antivirus, tente recuperar seus arquivos usando alguns dos programas abaixo. Mesmo que eles foram apagados, existe a possibilidade de recuperar.

      https://www.piriform.com/recuva
      http://www.easeus.com/datarecoverywizard/free-data-recovery-software.htm
      http://www.r-studio.com/

      Abraços,

      Excluir
  17. Meu arquivos estão com formato .jpg.mp3 teria alguma forma de eu recupera-los já tentei com recuva e outros programas parecidos mas muitas vezes vem o arquivo corrompido.

    ResponderExcluir
    Respostas
    1. Uma segunda opção seria tentar recuperar uma versão de backup do windows ou os arquivos através do shadow copy. Mas você fez uma nova instalação, certo?

      Excluir
  18. ola também estou com problema os meus arquivos foram mudados para a extensão .a_princ@aol.com.xtbl, sera que você poderia me ajudar.

    ResponderExcluir
    Respostas
    1. Olá Marcos,

      Tente usar esse método:
      http://deletemalware.blogspot.com.br/2015/07/remove-xtbl-virus-and-restore-encrypted.html

      Abraços,

      Excluir
  19. Alguém já conseguir descriptografar o rs-4096?

    estou tentando com as ferramentas indicadas, mas não estou conseguindo.

    ResponderExcluir
  20. Boa tarde, como faço para voltar a uma versão anterior (shadow copy)? não encontrei essa opção, precisava ter algo ativado ?

    ResponderExcluir
    Respostas
    1. Olá João,

      Tente usar essa ferramenta no Step2.
      http://deletemalware.blogspot.com.br/2015/07/remove-xtbl-virus-and-restore-encrypted.html

      Abraços,

      Excluir
  21. Olá, estava com arquivos de imagem (.jpg) no formato (.locked), usei o Trojan-Ransom.Win32.Rakhni decryption tool, eles fez a varredura e no fim dizia ter desencriptado os arquivos, mas pelo que vi o programa só tirou o (.locked), e o arquivo ainda continua inacessível.

    Alguma dica ou possível solução?

    ResponderExcluir
    Respostas
    1. Olá Pedro,

      Já tentou recuperar os arquivos utilizando o shadow copy do windows?
      Caso não consiga, tente recuperar os arquivos usando ferramentas que recuperam arquivos apagados.

      Abraços,

      Excluir
  22. Olá Marcos Ferreira, também fui vitima deste virus codificou meus arquivos e agora esta em extensão "LOKY" . Marcos também estou desesperado, chegeui até ligar para um aempresa de recuperação de dados , o orçamento deles só pra analisar se tem como recuperar ou não custa 1.000,00 reais, todas essas ferramentas que voce postou e link, não funciou comigo

    Meu nobre se tiver outra alternativa ou se realmente os arquivos foram condenados realmente é uma tragedia , mas tudo isso poderia ser resolvido se tivesse o Backup dos dados, coisa que eu não fiz, paga-se o preço. Mas se o amigo tiver uma solução mais atualizada desde já agradeço. abraços.

    ResponderExcluir
  23. Olá Marcos Ferreira, também fui vitima deste virus codificou meus arquivos e agora esta em extensão "LOKY" . Marcos também estou desesperado, chegeui até ligar para um aempresa de recuperação de dados , o orçamento deles só pra analisar se tem como recuperar ou não custa 1.000,00 reais, todas essas ferramentas que voce postou e link, não funciou comigo

    Meu nobre se tiver outra alternativa ou se realmente os arquivos foram condenados realmente é uma tragedia , mas tudo isso poderia ser resolvido se tivesse o Backup dos dados, coisa que eu não fiz, paga-se o preço. Mas se o amigo tiver uma solução mais atualizada desde já agradeço. abraços.

    ResponderExcluir
    Respostas
    1. Olá Carlos,

      Tentou o link da Kaspersky e a ferramenta do Talos Security? Esse ransonware é uma variação do teslacrypt.

      Abs,

      Excluir
    2. Olá Marcos, já tentei 4 decrypters da kapersky(rakhni,XoristDecryptor,etc) e n funcionou. Vc tem o link de download para o Talos? Tambem o tesladecrypter nao funcionou. Alguma sugestão? abraços

      Excluir
  24. Olá de novo,

    tentei utilizar as ferramentas de recuperação de arquivos apagados, mas eles só achavam os arquivos .locked que como disse antes, o Ransom.Win32.Rakhni decryption tool havia "removido".

    mesmo assim, obrigado pelas dicas, vou evitar de perder esses arquivos na esperança de poder recupera-los algum dia.

    ResponderExcluir
    Respostas
    1. Olá Pedro,

      Que pena. Fique ligado aqui no blog, caso apareça alguma solução eu vou atualizando.

      Abraços,

      Excluir
  25. Ola Marcos, meu nome é Luis .. meus arquivos estao com a extensao .micro ... ja usei a ferramenta da Kapersky, sem exito, usei o recuva, consegui copia doos arquivos, prem todos corrompidos, nao há arquivos de restauração do windows presentes no computador, existe alguma savação??

    ResponderExcluir
    Respostas
    1. Olá Luis,

      No link abaixo ainda gtem algumas opções que talvez possa te ajudar, dê uma olhada.

      http://sensorstechforum.com/remove-teslacrypt-3-0-and-restore-micro-encrypted-files/

      Abraços,

      Excluir
  26. Olá Marcos,sou o Flávio, meus arquivos tem varias extensões diferentes (.a07 , .v2u8f , .7fzeb, .c29 , .8436) entre muitas outras, sabe o que pode me ajudar?

    ResponderExcluir
    Respostas
    1. Olá Flávio,

      Você chegou a passar algum antivirus em seu computador? Sabe me dizer qual o tipo de vírus foi encontrado?

      Somente com essas informações eu consegui encontrar o seguinte link abaixo, veja se te ajuda.
      http://www.whgspc.com/ways-to-remove-delete-addon_enabler_update-exe-generic-a07-virus-completely/

      Abs,

      Excluir
  27. Bom dia.
    Meus arquivos de excel foram renomeados pra .locky.
    Não abrem e tem um bloco de notas com a seguinte indormação:

    !!! INFORMAÇÕES IMPORTANTES !!!

    Todos os seus arquivos estão encriptados com as cifras 2048-RSA e AES-128.
    Mais informações sobre o RSA podem ser encontradas aqui:
    http://pt.wikipedia.org/wiki/RSA
    http://pt.wikipedia.org/wiki/Advanced_Encryption_Standard

    Só é possível desencriptar seus arquivos com a chave privada e o programa de desencriptação,
    que estão no nosso servidor secreto.
    Para receber sua chave privada, clique em um dos links a seguir:
    1. http://i3ezlvkoi7fwyood.tor2web.org/956AB46AECC2E3BB
    2. http://i3ezlvkoi7fwyood.onion.to/956AB46AECC2E3BB
    3. http://i3ezlvkoi7fwyood.onion.cab/956AB46AECC2E3BB

    Se nenhum desses endereços estiverem disponíveis, siga estes passos:
    1. Descarregue e instale o Tor Browser: https://www.torproject.org/download/download-easy.html
    2. Após a instalação, execute o navegador e aguarde sua inicialização.
    3. Escreva na barra de endereço: i3ezlvkoi7fwyood.onion/956AB46AECC2E3BB
    4. Siga as instruções do site.

    !!! Seu ID de identificação pessoal: 956AB46AECC2E3BB !!!

    ResponderExcluir
    Respostas
    1. Olá,

      Até o momento ainda não existe uma forma de quebrar a criptogrfia.

      Tente recuperar os arquivos usando a shadow copy do windows, se nãa der certo, tente usar algum programa que recupera arquivos apagados.

      Abraços,

      Excluir
  28. Olá, Marcos !

    Estou com este problema, porém o Ransom é o brcodesinfo@gmail.com. Estou tentando de todas as maneiras recuperar os arquivos criptografados, ja que não existe backup e usei 5 recuperadores diferentes de arquivos deletados e todos recuperam os arquivos corrompidos. Imagino que o vírus tenha corrompido antes de excluir.

    Existe alguma solução hoje para decriptar estes arquivos ?

    Abraço !

    ResponderExcluir
    Respostas
    1. Olá Ricardo,

      Já tentou iniciar o windows no modo "safe mode" para tentar a recuperação? Caso sim, já tentou recuperar os arquivos colocando o hd no modo Slave em outra máquina?

      Abraços,

      Excluir
  29. Boa tarde, meu computador foi infectado ano passado por um virus, na verdade não sei bem qual, acredito que seja cryptowall, não consegui resolver e não quis formatar meus hds pois tenho muitas fotos e arquivos importantes, de tanto tentar e não consegui, acabei guardando os hds, já faz quase um ano, meus arquivos não pedem chave de acesso, eles estão no mesmo lugar e com as mesmas características, porém, não estão acessíveis, consegui recuperar uma parte vários programas como RECUVA etc. Alguém pode me ajudar PELO AMOR DE DEUSS.....
    ficarei muito grato

    ResponderExcluir
    Respostas
    1. Olá Adriano,

      Além do Recuva, tente as opções abaixo:

      - Iniciar o windows no modo "safe mode" para tentar a recuperação;
      - Tentar recuperar os arquivos usando o shadow copy do windows;
      - Colocar o hd como slave em outra máquina e tentar recuperar os arquivos. (Cuidado com essa opção)

      Abraços,

      Excluir
  30. Novo link com informações da remoção do virus "Luky",

    Link:http://br.removalhelp.net/threat/?name=Locky&p=testbr&gclid=CP-imb2_18sCFQ9ZhgodSrQGsg

    ResponderExcluir
  31. Olá, Marcos...

    Sim, tentei fazer a recuperação em safe mode e colocando o HD como secundário em outro computador. Nenhum dos dois teve sucesso. Tentei desta maneira com os 5 recuperadores... Acho que neste caso, não tem muito o que fazer mais...

    ResponderExcluir
    Respostas
    1. Olá Ricardo,

      Entendo... bom eu sei que tem empresas especialistas em recuperação de arquivos, talvez essa seja uma saída para você.

      Abraços,

      Excluir
  32. olá marcos boa tarde,nao sei mas o q fazer,todos os meus arquivos tao no formato de mp3...e aparece uma mensagem q todos os meus arquivs foram criptografados com rsa 4096,queria saber se tem como eu nao perder meus arquivos ou nao tem mas jeito por favor me ajude..bjss

    ResponderExcluir
    Respostas
    1. Olá,

      Tenta recuperar os arquivos utilizando o recurso de "Shadow Copy" no windows ou tente usar um software que recupere arquivos apagados. Já tentou essas opções?

      Abraços,

      Excluir
  33. Boa tarde,
    Agora no final do mês de Março, também fui prejudicado com esses ransomware, no meu caso deixou os meus arquivo criptografado e com extensão .exe, se alguém tiver alguma soluçao, por favor poste...obs também da mesma forma apagou meu hd externo que era meu backup, estou tentando varias formas de recuperação, porém os arquivos vem corrompidos, o que me salvou em parte é que os meus arquivos da rede estavam em um storage e ele não conseguiu chegar lá, porém minha base de dados estava no servidor.

    Se alguém tiver uma saída por favor compartilhem.

    casousa01@gmail.com

    ResponderExcluir
  34. Olá, ótimo post! Marcos alguma novidade sobre o .locky e o tesla .mp3?

    ResponderExcluir
    Respostas
    1. Olá JRamos,

      Obrigado.
      Infelizmente ainda não temos nenhuma novidade.
      Fique de olho no blog.

      Abs,

      Excluir
  35. Olá Marcos, tudo bem?
    Em relação aos arquivos criptografados por RSA 4096, existe alguma solução concreta? Algum software que consiga desencriptar?

    ResponderExcluir
  36. Olá, Marcos. Postei ontem através do meu smartphone, portanto não sei se realmente efetivou a postagem. Por isso escrevo novamente. Meu notebook foi atacado por esse maldito vírus, o qual criptografou todos os arquivos com RSA 4096. Mas meus arquivos permanecem com suas extensões originais (docx, xlsx, txt, pdf etc), porém ao tentar abrí-los, diz estarem corrompidos.
    Tem alguma novidade de algum aplicativo que consiga desencriptar o RSA 4096?
    Detalhe: no meu note não estava habilitado Shadow Copy nem tampouco versionamento da Unidade D (Documentos), onde estavam todos os meus documentos afetados.
    Eu já consegui eliminar o vírus e também deletei mais e 30.000 arquivinhos "+recover+[xxxx].txt" e "+recover+[xxxx].png", tanto da Unidade C quanto da Unidade D.
    Estou desesperado, são arquivos de trabalho do meu dia-a-dia. Se puder ajudar, agradeço!!
    Grato.

    ResponderExcluir
    Respostas
    1. Olá Sbrug,

      Infelizmente ainda não temos nenhuma novidade. Já tentou todas opções que postei aqui no blog?

      Abs,

      Excluir
  37. Olá a todos, achei uma postagem no G1 interessante, se alguém
    que entenda melhor puder dar uma olhada, talvez ajude
    Abraço
    http://g1.globo.com/tecnologia/blog/seguranca-digital/post/falha-em-virus-de-resgate-teslacrypt-permite-que-vitimas-recuperem-arquivos.html

    ResponderExcluir
    Respostas
    1. Olá Adriano,

      Obrigado por compartilhar! =)

      Abs,

      Excluir
  38. Estou com o mesmo problema. Tem algum decrypt do virus .locky ?

    ResponderExcluir
  39. Boa, pessoal, encontrei uma luz no fim do tunel, podemos usar "OpenSSL" pode criptografar e descriptografar , e pelo que ja li ele pode descriptografar 2048-RSA e AES-128, na linha de comando, só que preciso ou precisamos de alguem com mais informação , porque já sai do meu limite de cultura, me ajudem alguem que domina OpenSSL, pode ser nossa salvação, fico no aguardo de informaçoes, abraços a todos, segue Link:http://osxdaily.com/2012/01/30/encrypt-and-decrypt-files-with-openssl/

    ResponderExcluir
    Respostas
    1. Olá Carlos,

      Essa opção não funciona. =(

      Abs,

      Excluir
  40. Boa noite as soluções acima, servem para OSX? Não sei ainda qual peguei, mas esta criptografado em RSA4096

    ResponderExcluir
    Respostas
    1. Olá Cássio,

      Tente ver os artigos abaixo.

      http://researchcenter.paloaltonetworks.com/2016/03/new-os-x-ransomware-keranger-infected-transmission-bittorrent-client-installer/

      http://9to5mac.com/2016/03/06/first-os-x-ransomware-detected-in-the-wild-will-maliciously-encrypt-hard-drives-on-infected-macs/

      Abs,

      Excluir
  41. O meu mesmo caso do Sbrug... o pior 3 hds cheios de fotos e documentos como contratos e listas... aguardando novidades...

    ResponderExcluir
    Respostas
    1. Olá Carlos,

      Já tentou as opções que apresentei aqui no blog?

      Abs,

      Excluir
  42. Olá. Amigos meu PC foi infectado há dois dias por um ransoware e alterou todos os meus arquivos .wave (arquivos de áudio) o qual trabalho. Os arquivos foram alterados para extensão .Cerber - Como uso um HD separado para o sistema operacional, formatei e instalei o win7 novamente. Há alguma alternativa pra desencryptar meus arquivos que estão nos outros HDs? Estou sem dormir pois os arquivos são de clientes...

    ResponderExcluir
    Respostas
    1. Olá Fransueldo,

      Ainda não existe nenhuma solução. Já tentou as opções apresentadas aqui no blog?

      Abs,

      Excluir
    2. Amigos, consegui e vcs nem imaginam como. Entrei no link que estava na pasta e lá tinha as informações e como efetuar o pagamento para ter de volta meus arquivos. Na barra de menu do site tinha uma aba que dizia deixe uma mensagem. Como pesquisei muito e vi que era quase impossível descriptografar por outros meios, resolvi fazer uma oferta oferecendo um desconto, mas pensei novamente e se eu pagar e não receber? Deixei uma mensagem pedindo que me ajudasse pois estava apenas com uns arquivos de áudio de uma gravação e teria que entregar pois estava precisando muito dessa grana e o valor das 2 gravações custavam em média 200 dólares (já que o valor cobrado era de 500 dólares. Aguardei responderem e nada. Fui dormir e ao acordar abri a página e pra minha surpresa, tava lá: Baixe aqui o Decrypter. Fiquei com medo mas não tinha o que perder, baixei, instalei e ele sozinho fez um scan, demorou uns 30 minutos e desencriptou tudo. Não sei se serve pra vcs pois pode ter sido usado programas diferentes em cada encriptação, mas em todo caso, quem interessar mande um e-mail pra mim, que envio o arquivo zipado pra vcs. Meu email: fan010574@gmail.com - Boa sorte a todos.

      Excluir
    3. Ainda está com este endereço de e-mail? Enviei solicitando a ferramenta a uma semana.

      Excluir
  43. Olá Marcos, bom dia!!

    Primeiramente obrigado por responder. Sua iniciativa de postar e de tentar ajudar as pessoas realmente deve ser muito aplaudida, pois (veja quantas pessoas com o mesmo problema) a quantidade de problemas pode ainda se multiplicar, pois existem centenas de sites que prometem resolver o caso, descriptografando, quando na verdade tratam-se de sites maliciosos. Enão eu prefiro ficar na segurança deste seu blog.
    Respondendo à sua pergunta: sim, eu tentei as opções aqui do blog, mas confesso que devo revisar todas, pois chega um momento que ficamos perdidos.
    O meu maior problema reside em 2 fatos:
    1. Não localizei até agora (e acho que não tem mesmo) nenhum arquivo txt que contenha alguma informação como chave etc. Somente aquele txt ameaçador informando do resgate.
    2. Ainda não consegui achar (ou entender) uma solução que consiga lidar com arquivos criptografados por RSA 4096 (como os meus) e que MANTIVERAM A EXTENSÃO ORIGINAL.

    Bom, tentemos mais e mais... somos brasileiros e não desistimos nunca!!

    ResponderExcluir
    Respostas
    1. Bom dia!!

      Obrigado! A minha ideia é ajudar a todos mesmo. =)

      Acabei de postar uma atualização no texto, mas acredito que não seja o seu caso, mas não custa tentar.

      Abraços e obrigado pelo apoio.

      Excluir
  44. ola pessoa, como saber a versão do virus que peguei no pc?
    fiquei sabendo que existem varios outros disfarçados de cryptowall, se sabermos
    qual virus realmente pegamos, acho que fica mais fácil tentar resolver
    fico no agurdo
    abraços

    ResponderExcluir
    Respostas
    1. Olá Adriano,

      Alguns programas de anti-vírus conseguem identificar, mas se você me informar qual é a extensão que estão os arquivos criptografados e qual é as informações que contém do resgate, eu posso te dizer com mais precisão.

      Abraços,

      Excluir
  45. Boa noite.
    Meus arquivos estão como .cerber.
    Alguém sabe se tem alguma solução?
    Obrigado.

    ResponderExcluir
    Respostas
    1. Olá,

      Ainda não existe nenhuma solução. Já tentou as opções apresentadas aqui no blog?

      Abs,

      Excluir
  46. Ola pessoal... o meu esta com extensao .crypt.... alguem pode me indicar um software... obrigado..

    ResponderExcluir
    Respostas
    1. Olá Rafael,

      Me parece que o seu caso pode ser o Gomasom Ransomware, caso seja esse existe uma ferramenta que pode recuperar seus arquivos. Dê uma olhada no link abaixo.

      http://www.bleepingcomputer.com/news/security/gomasom-crypt-ransomware-decrypted/

      Abs,

      Excluir
  47. Boa tarde!
    meu pendrive foi infectado. Agora não consigo ver os meus arquivos, mas quando passei o antivírus, consegui vê-los mas com a extensão .encrypted
    passei o malwarebytes anti-malware e apareceram vários arquivos infectados. removi os malwares, mas os meus arquivos ainda estão ocultos.
    tentei todas as opções do Kaspersky que você indicou mas não funcionaram!
    Teria uma outra opção?

    ResponderExcluir
    Respostas
    1. Olá Barbara,

      A primeira coisa é tentar identificar qual é o tipo de ransomware que criptografou os seus arquivos. Esses programas apresentaram algum nome?

      Abs,

      Excluir
  48. Este comentário foi removido pelo autor.

    ResponderExcluir
  49. Olá Boa noite,

    Gostaria de saber como faço para descobrir com qual fui infectado.

    Meus arquivos não tiveram as extensões alteradas, apenas não abrem .

    Obrigado .

    ResponderExcluir
  50. Olá Boa noite,

    Gostaria de saber como faço para descobrir com qual fui infectado.

    Meus arquivos não tiveram as extensões alteradas, apenas não abrem .

    Obrigado .

    ResponderExcluir
    Respostas
    1. Olá Guilherme,

      Tenta usar o www.malwarebytes.org para ver se ele identifica.

      Abs,

      Excluir
    2. fiz a verificação e infelizmente não foi encontrado nada, Os arquivos não alteram de tamanho e não tiveram alteração nas extensões . apenas não funcionam mais .

      Excluir
  51. Bom dia Marcos!!!

    Meu no é Alcione meu servidor foi infectado pelo ransomware, os arquivos foram criptografados, no desespero pagamos o resgate, eles enviaram a chave pra desbloq. Porém o banco não esta reconhecendo os arquivos, se souber de algo q possa me ajudar por favor me envie.

    ResponderExcluir
    Respostas
    1. Bom dia Alcione,

      Sabe me dizer qual é o nome do Ransomware?

      Abs,

      Excluir
  52. Bom dia, meus arquivos foram alterados para a extensão .locked como faço para recupera-los?

    ResponderExcluir
    Respostas
    1. Olá,

      Já tentou recuperar os arquivos utilizando o shadow copy do windows?
      Caso não consiga, tente recuperar os arquivos usando ferramentas que recuperam arquivos apagados.

      Abraços,

      Excluir
  53. ola Marcos Ferreira meu notbook foi infectado pelo ransomware CERBER , os arquivos foram criptografados vc pode me da uma dica de como reverter.

    ResponderExcluir
    Respostas
    1. Olá,

      Ainda não existe nenhuma solução definitiva, mas você já tentou as opções apresentadas aqui no blog? Shadow copy do windows ou usando ferramentas que recuperam arquivos apagados.

      Abs,

      Excluir
  54. Olá, meu servidor de dados foi infectado transformou para .exe os meus arquivos PDF, ZIP e DB. Tem alguma ferramenta valida para esse caso?

    ResponderExcluir
    Respostas
    1. Olá,

      Você teria mais alguma informação sobre ele?

      Abs,

      Excluir
  55. Oi Marcos,

    Meus arquivos foram afetados, mas no meu caso, eles foram renomeados a 'a0.r5a','a1.r5a' e assim sucessivamente todos os arquivos da pasta, deixando um arquivo FILES_BACK.txt com o seguente conteudo:

    "hello, If you have Standart locker interface (green window) on desktop for decryption follow the instructions.
    If you delete it, and want to decrypt your files you need decryptor, you can buy it by contact through email
    contact email : JessMalibu@protonmail.com
    reserve email : martingarrix@nonpartisan.com
    your unique id : 260808539721173200833283933857130
    6. If you want try to decrypt your files with software from anti-malware websites please make copies of this files
    once you understand that it's not working, you will still have clear copies of the files that be decrypted after payment"

    Esta extensao não esta indicada e nao sei reconhecer qual ferramenta que voce indica serve para estos ou ja devo ir direto para um recuperador de arquivos deletados, alguma sugestão neste aspeto ? ..... muito agradecerei sua pronta ajuda porque sao arquivos de trabalho. Pelo pronto estou executando o SpyHunter na maquina. Muito obrigado de antemão pela atenção e resposta.

    ResponderExcluir
    Respostas
    1. Olá Mario,

      Não existe nenhuma solução definitiva para recuperar os arquivos, mas você já tentou as opções apresentadas aqui no blog? Shadow copy do windows ou usando ferramentas que recuperam arquivos apagados. Estas seriam as únicas opções sem precisar pagar.

      Abs,

      Excluir
  56. Boa Tarde, Estou com mesmo problema que a grande maioria tem... meu hd foi infectado e transformou todos em .mp3 ...... ja exite alguma solução????? ta na hora de surgir, ou então essa vai dominar o mundo rsrs

    ResponderExcluir
    Respostas
    1. Olá,

      Infelizmente essa é a mais nova variante do TeslaCrypt e ainda não existe uma forma de quebrar a criptografia dos arquivos e voltar eles ao normal.

      A única forma seria tentar usar o shadow copy do windows ou usando ferramentas que recuperam arquivos apagados.

      Abs,

      Excluir
  57. Ola pessoal alguem ai conseguiu resolver o da extessao xlsb.id-A64DDB37.{dakini@india.com}.xtbl

    ResponderExcluir
    Respostas
    1. Olá Matheus,

      Não existe uma forma de quebrar a criptografia dos arquivos e voltar eles ao normal.

      A única forma seria tentar usar o shadow copy do windows ou usando ferramentas que recuperam arquivos apagados.

      Abs,

      Excluir
  58. Olá. O meu pc foi infectado com o 7ev3n-HONE$T (ficaram com a terminação R5A)por distração minha ao reinstalar o Win, já removi o vírus. Sabes-me dizer por favor alguma maneira de decriptar os ficheiros. Agradeço desde já.

    ResponderExcluir
    Respostas
    1. Olá,

      Não existe uma forma de quebrar a criptografia dos arquivos e voltar eles ao normal.

      A única forma seria tentar usar o shadow copy do windows ou usando ferramentas que recuperam arquivos apagados.

      Abs,

      Excluir
  59. Boa noite pessoal estou comum problema de uns arquivos de banco de dados e documentos docs que estao formato xbtl alguem ae sabe como resolver?

    ResponderExcluir
    Respostas
    1. Olá,

      Não existe uma forma de quebrar a criptografia dos arquivos e voltar eles ao normal.

      A única forma seria tentar usar o shadow copy do windows ou usando ferramentas que recuperam arquivos apagados.

      Abs,

      Excluir
  60. Boa tarde a todos,

    Minhas fotos foram infectadas, e estão criptografadas, e com pedido de resgate para recuperar. Existe algum modo para recuperar essas fotos? Vi alguns sites gringos, mas não entendi nada. Alguem poderia me ajudar? Tenho muitas fotos importantes.

    ABS

    ResponderExcluir
  61. Amigos, como ainda não vi ninguém nesse post falar sobre essa terminação de arquivo, resolvi postar. Meus arquivos foram criptografados com a terminação ".CBF". Na verdade todos os arquivos passaram a se chamar email-kaligula.caesar@aol.com.ver-CL 1.2.0.0.id-CEFGJLLNOPQRTUVWYYABCDEGHIJKLMOPQRSU-07@05@2016 13@51@181048136.randomname-EGIKNOPRTTVXYZBCDFGHJKLMOQQSUU.XYZ. O que muda de um prá outro é essa codificação no final. Na coluna "tipo" está a denominação "Arquivo CBF". Será que essa é a mais recente variação, ou alguém já conhece e pode indicar um site com a chave?

    ResponderExcluir
    Respostas
    1. Sergio, olá.

      Realmente se trata de uma variação do ransomware chamado de "offline- ransomware", tanto que no próprio arquivo aparece a versão Ver-CL 1.2.0.0.

      Existe uma lógica para a modificação do arquivos, tanto que ele fica com a seguinte especificação:
      email-vipasana4@aol.com.ver-CL 1.2.0.0.id- [ID] -. [DATA-HORA] .nomerandomico- [random] [XYZ] .CBF (Onde [XYZ] também é uma "extensão" aleatória, a extensão verdadeira é .cbf)

      Infelizmente, parece ainda não existir uma maneira de recuperar seus arquivos uma vez criptografado. Sua melhor alternativa para tentar recuperar os arquivos é usando uma ferramenta como o "Shadow Explorer", que irá verificar se você pode restaurar arquivos ou usando outras ferramentas que recuperam arquivos apagados.

      Abs,

      Excluir
  62. Olá Marcos, Boa noite!

    Meu nome é Adriano.

    Meu computador foi infectado e meus arquivos foram criptografados com a extensão .id-38339738.{savetheplanet@india.com} e o tipo dos arquivos foi alterados para .crypted. Existe uma solução para esse grande problema?

    Muito Obrigado.

    ResponderExcluir
    Respostas
    1. Olá,

      Seguem abaixo alguns links que talvez possam te ajudar. O primeiro link se refere a um artigo explicando o funcionamento do ransomware especificado com "Nemucod", que converte as extensões dos arquivos para .crypted. E o outro Link é de um software que talvez te ajude a recuperar seus arquivos.

      http://www.bleepingcomputer.com/news/security/decryptor-released-for-the-nemucod-trojans-crypted-ransomware/

      https://decrypter.emsisoft.com/nemucod

      Abs,

      Excluir
  63. Os meus arquivos foram adicionados a extensão .crypt, alguem sabe de alguma ferramenta para reverter a situação?

    ResponderExcluir
    Respostas
    1. Olá Elcio,

      Normalmente arquivos .crypt se referem ao Gomasom Ransomware. Se for esse o seu caso, existe uma ferramenta que pode recuperar seus arquivos. Dê uma olhada no link abaixo.

      http://www.bleepingcomputer.com/news/security/gomasom-crypt-ransomware-decrypted/

      Abs,

      Excluir
    2. Leandro, obrigado, vou tentar, já fiz varias tentativas com outras aplicações, mais não deu em nada, qualquer novidade posto aqui.

      Excluir
  64. Marco não estou conseguindo recupera. Meu arquivos está tudo na extensão .ccc não consigo usar as ferramentas acima e acho q ja tirei o vírus mas agora não sei mais qual é

    ResponderExcluir
    Respostas
    1. Olá Eric,

      A extensão .ccc se trata do ransomware conhecido como "TeslaCrypt".

      Primeiramente, utilize o "ESET Online scanner" ( http://download.eset.com/special/eos/esetsmartinstaller_enu.exe ) para verificar se não existe nenhum outro malware instalado em sua maquina.

      Depois, instale o "Shadow Explorer" ( http://www.shadowexplorer.com/downloads.html ) e siga as instruções documentadas neste link = http://deletemalware.blogspot.com.br/2015/10/ccc-extension-howtorecoverfile.html

      Espero ter ajudado.

      Abs,

      Excluir
  65. Olá a todos.
    Fui infetado com o cerber do dia 25 de Abril.
    Tentei até ao momento tudo o que me têm aconselhado, mas até ao momento nada :(

    Quem poder ajudar a acabar com esta praga que o faça. Nós e eu em particular agradeço.

    ResponderExcluir
    Respostas
    1. Olá,

      Segue um link que talvez consiga te ajudar. É um artigo, em inglês, demonstrando algumas formas de lidar com o cerber ransomware:
      https://www.pcrisk.com/removal-guides/9842-cerber-ransomware

      Espero ter ajudado.

      abs,

      Excluir
  66. Olá, meu nome é Hudson,

    Primeiramente gostaria de parabenizar pelo artigo, muito bom.

    Minha dúvida, principalmente é, como identificar qual tipo de Ransomware infectou o sistema, exemplo, estive em uma empresa onde uma pasta compartilhada do sistema teve todos os arquivos e pastas criptografados, como identifico o causador do problema?

    ResponderExcluir
    Respostas
    1. Olá Hudson,

      Normalmente fazemos a identificação do Ransomware pelo tipo de extensão em que o arquivo original foi modificado. Por exemplo, se seus arquivos foram modificados para um extensão ".abc" o seu computador foi infectado pelo ransomware "TeslaCrypt".

      Existe também um site em que você pode fazer o upload de um arquivo e ele identifica o tipo de infecção de ransomware que você sofreu. Segue o link abaixo:

      https://id-ransomware.malwarehunterteam.com/

      Espero ter ajudado.

      abs,

      Excluir
    2. Nesse site vc identifica qual é o vírus:
      https://id-ransomware.malwarehunterteam.com/index.php

      Se for teslacryptcom essa ferramenta vc recupera tudo.

      https://blog.kaspersky.com.br/raknidecryptor-vs-teslacrypt/6289/#comment-65388

      Espero que te ajude, comigo recuperei tudo.

      Excluir
  67. Boa noite,

    Windows server invadido, arquivos foram compactados e colocados senhas rar, colocaram extensão .exe no fim . /alguma ferramenta disponível para recuperar os arquivos?

    ResponderExcluir
    Respostas
    1. Olá Cicero,

      Em seu caso, você foi infectado pelo Crypto-ransomware do tipo "W32/VirRnsm-A". Ele infecta seus arquivos e os muda a extensão destes arquivos para ".exe", incluindo o código do vírus.

      Além das ferramentas citadas no artigo acima, segue um link (em inglês) que talvez consiga lhe auxiliar a resolver o seu problema.

      http://www.solvusoft.com/en/malware/viruses/w32-virransom/

      Espero ter ajudado.

      abs,

      Excluir
  68. Olá, meu nome é Moisés.
    Tenho um servidor que foi infectado por algo malicioso que encriptou vários arquivos no seguinte formato:
    nome original do arquivo:
    decreto 880.rtf
    nome do arquivo criptografado:
    decreto 880.rtf(!! to get password email id 1900268387 to brinfo15@gmail.com !!).exe

    Gostaria de saber se temos alguma solução/ferramenta disponível para este tipo de problema.

    Desde já agradeço sua atenção, abraço!

    ResponderExcluir
    Respostas
    1. Olá Moisés,

      Com havia dito para o Cicero no caso acima, você possivelmente foi infectado pelo Crypto-ransomware do tipo "W32/VirRnsm-A". Ele infecta seus arquivos e os muda a extensão destes arquivos para ".exe", incluindo o código do vírus.

      Além das ferramentas citadas no artigo acima, segue um link (em inglês) que talvez consiga lhe auxiliar a resolver o seu problema.

      http://www.solvusoft.com/en/malware/viruses/w32-virransom/

      Espero ter ajudado.

      abs,

      Excluir
  69. Prezados,

    Meus arquivos tiveram a extensão alterada para .CRYPT, ao tentar utilizar o Kaspersky rannohdecryptor.1453294100.com (o outro não funcionou), embora ele informe que remove o Trojan-Ranson.w32.cryptxxx, ao tentar varrer um arquivo infectado, ele informa que não pode recuperar pois se trata de uma variação do Trojan-Ranson.w32.cryptxxx não suportada. Tentei também o da Tesla e Gomasom, porém ele informa que não encontrou a chave no meu sistema.

    Há alguma outra opção?

    Obrigado

    Lucas Lopes

    ResponderExcluir
  70. Olá Lucas,

    Uma outra opção que você pode tentar utilizar é o "Panda Ransomware Decrypt" http://www.pandasecurity.com/resources/tools/pandaunransom.exe que é um programa desenvolvido pela empresa PANDA security para realizar o decrypt de arquivos .CRYPT.

    Espero ter ajudado,

    Abs.

    ResponderExcluir
  71. GEEEEEEEEETTTEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEE ja tenho a soluçãoooooooooooooooooooooooooooooooooooooooooooooooooooo.... olhem no http://forum.clubedohardware.com.br/topic/1131632-arquivos-com-extens%C3%A3o-abc/

    ResponderExcluir
  72. Olá pessoal. Hoje fui infectado por um Ransomware e ele mudou a extensão dos meus arquivos para .cerber. Não encontrei nada que pudesse me ajudar até agora. Alguém sabe o que posso fazer, por favor?

    ResponderExcluir
  73. Boa Noite!!!!

    Meu PC foi infectado alguém pode me ajudar???
    Está é a mensagem que aparace.
    NOT YOUR LANGUAGE? USE https://translate.google.com

    What happened to your files ?
    All of your files were protected by a strong encryption with RSA4096
    More information about the encryption keys using RSA4096 can be found here: http://en.wikipedia.org/wiki/RSA_(cryptosystem)

    How did this happen ?
    !!! Specially for your PC was generated personal RSA4096 Key , both public and private.
    !!! ALL YOUR FILES were encrypted with the public key, which has been transferred to your computer via the Internet.
    !!! Decrypting of your files is only possible with the help of the private key and decrypt program , which is on our Secret Server

    What do I do ?
    So , there are two ways you can choose: wait for a miracle and get your price doubled , or start obtaining BITCOIN NOW !!!!! , and restore your data easy way
    If You have really valuable data, you better not waste your time, because there is no other way to get your files , except make a payment

    For more specific instructions, please visit your personal home page, there are a few different addresses pointing to your page below
    * http://t54ndnku456ngkwsudqer.wallymac.com/4DFECF8E791101D
    * http://po4dbsjbneljhrlbvaueqrgveatv.bonmawp.at/4DFECF8E791101D
    * http://hrfgd74nfksjdcnnklnwefvdsf.materdunst.com/4DFECF8E791101D
    If for some reasons the addresses are not available, follow these steps
    * Download and install tor-browser: http://www.torproject.org/projects/torbrowser.html.en
    * After a successful installation, run the browser
    * Type in the address bar: xlowfznrg4wf7dli.onion/4DFECF8E791101D
    * Follow the instructions on the site

    IMPORTANT INFORMATION
    Your personal pages
    http://t54ndnku456ngkwsudqer.wallymac.com/4DFECF8E791101D
    http://po4dbsjbneljhrlbvaueqrgveatv.bonmawp.at/4DFECF8E791101D
    http://hrfgd74nfksjdcnnklnwefvdsf.materdunst.com/4DFECF8E791101D

    Por favor me ajudem . Perdi tudoooooooooooo.

    ResponderExcluir
    Respostas
    1. Olá Alessandra Cabral,

      Para qual extensão seus arquivos foram mudados?
      (No final de cada arquivo é possível ver qual é a extensão utilizada pelo mesmo, por exemplo, imagens = .png .jpg)

      Excluir
  74. Boa noite Marcos,

    Fui contaminado por um ransomware, que deixou meus arquivos .XTBL ontem. Já tem alguma solução para descriptografar esses arquivos ?

    ResponderExcluir
    Respostas
    1. Olá,

      A extensão .XTBL se trata do ransomware conhecido como "Win32/Troldesh.A".

      Primeiramente, utilize o "ESET Online scanner" ( http://download.eset.com/special/eos/esetsmartinstaller_enu.exe ) para verificar se não existe nenhum outro malware instalado em sua maquina.

      Depois, instale o "Shadow Explorer" ( http://www.shadowexplorer.com/downloads.html ) e siga as instruções documentadas neste link = http://deletemalware.blogspot.com.br/2015/07/remove-xtbl-virus-and-restore-encrypted.html - lembrando que o ShadowExplorer permite que você navegue e verifique se existem cópias "sombra" criadas pelo Windows no "Volume Shadow Copy Service". É especialmente pensado para os utilizadores de windows que não têm acesso às cópias de "sombra" de arquivo por padrão.

      Espero ter ajudado.

      Abs,

      Excluir
  75. Boa noite Marcos,

    Fui contaminado por um ransomware que deixou meus arquivos com extensão XTBL. Já tem alguma solução para descriptografar esses arquivos ? Obrigado e parabéns pela iniciativa.

    ResponderExcluir
    Respostas
    1. Olá Rogerio,

      A extensão .XTBL se trata do ransomware conhecido como "Win32/Troldesh.A".

      Primeiramente, utilize o "ESET Online scanner" ( http://download.eset.com/special/eos/esetsmartinstaller_enu.exe ) para verificar se não existe nenhum outro malware instalado em sua maquina.

      Depois, instale o "Shadow Explorer" ( http://www.shadowexplorer.com/downloads.html ) e siga as instruções documentadas neste link = http://deletemalware.blogspot.com.br/2015/07/remove-xtbl-virus-and-restore-encrypted.html - lembrando que o ShadowExplorer permite que você navegue e verifique se existem cópias "sombra" criadas pelo Windows no "Volume Shadow Copy Service". É especialmente pensado para os utilizadores de windows que não têm acesso às cópias de "sombra" de arquivo por padrão.

      Espero ter ajudado.

      Abs,

      Excluir
  76. Amigos, meu PC foi contaminado com o Ransomware de extensão .da_vinci_code
    Vários arquivos PDF, TxT, JPEG ficaram com a extensão acima, mas com ícone de arquivo PDF. Resolvi formatar o computador e instalei o AVG Pro para remoção da praga. Já tentei abrir arquivos PDF com o Adobe Reader XI e Foxit Reader, mas aparece a mensagem em inglês de que não será possível abrir. Se alguém puder me ajudar, agradeço.

    ResponderExcluir
    Respostas
    1. Olá,

      Você já tentou usar as opções apresentadas aqui? (shadow explorer e recuperação de arquivos)

      Abraços.

      Excluir
  77. Olá Marcos,

    Fiz todo o procedimento, porém acho que o shadow explorer não encontra os arquivos no windows server 2008 R2. Quando executo o programa, não abre a listagem das pastas do windows. Se tiver alguma solução e puder me ajudar, agradeço. Parabéns pela iniciativa!

    ResponderExcluir
    Respostas
    1. Olá Rogério,

      Obrigado! Você já tentou usar os programas que fazem recuperação de arquivos?

      Abraços,

      Excluir
  78. Olá Marcos,

    Sim já tentei vários, estou com o backup dos arquivos criptografados, pois precisava colocar o servidor pra funcionar novamente. Agora estou no aguardo de alguma ferramenta que possa descriptografar esses dados. Obrigado pela atenção!

    ResponderExcluir
    Respostas
    1. Olá Rogério,

      Entendo. Fique no olho aqui no blog, qualquer novidade nós postaremos.

      Abraços,

      Excluir
  79. Olá pessoal

    para .CRIPZ já tem alguma coisa?

    Já tentei tudo o que falaram aí em cima:
    copias de sombra, recuperar arquivo em modo profundo, restauração, kaspersky, etc..

    ResponderExcluir
    Respostas
    1. Olá,
      Ainda se tem pouca informação desse ransomware. Já tentou as opções que apresentei aqui?
      Abraços,

      Excluir
    2. Caso seja o .CRYPZ, tente as opções apresentadas aqui no blog.

      Excluir
  80. Olá, meus arquivos foram modificados para uma extensão crypz, porem nao veio nenhuma mensagem sobre resgate. Qual seria o programa para tentar remover a criptografia? Obrigada!!

    ResponderExcluir
    Respostas
    1. Olá Marisa,

      Tente utilizar as ferramentas que apresentamos aqui para recuperar os arquivos.

      Abraços,

      Excluir
  81. Boa noite, todos os meus arquivos, incluindo os do HD Externo foram criptografados pelo .cerber, como faço pra recuperá-los e qual programa devo usar, tenho muitos arquivos e não posso perde-los. desde já agradeço a atenção

    ResponderExcluir
    Respostas
    1. Olá,
      Tente utilizar as ferramentas que apresentamos aqui para recuperar os arquivos.
      Abraços,

      Excluir
  82. Oi, Marcos, sim, fiz todo o procedimento que você orientou, mas sem sucesso. O problema é que o Ransomware "da_vinci_code" não modifica apenas a extensão, mas criptografa todo o nome do arquivo, deixando ele inacessível.
    Um abraço

    ResponderExcluir
    Respostas
    1. Olá Gandalphi,

      Que ruim! :\
      Estou sempre procurando por novidades, se eu souber de algo eu posto aqui.

      Abraços,

      Excluir
  83. Olá, Marcos! Todos os meus arquivos estão com a extensão .cerber. Você sabe de algo que possa me ajudar a recupera-los?
    Att.
    Christina

    ResponderExcluir
    Respostas
    1. Olá Christina,
      Tente utilizar as ferramentas que apresentamos aqui para recuperar os arquivos.
      Abraços,

      Excluir
  84. Boa tarde!!
    Um excelente fórum como este merece receber não somente pedidos de auxílio, mas também notificações de sucesso após seguirmos insistentemente as orientações aqui postadas.
    Há uma semana eu visitei o site "ID Ransoware" (https://id-ransomware.malwarehunterteam.com/) para, mais uma vez, testar se havia alguma possibilidade de descriptografar meus mais de 10.000 arquivos que foram criptografados da forma "SEM ALTERAÇÃO DA EXTENSÃO" ou "AS ORIGINAL".
    E para minha surpresa, eu recebi a confirmação que o arquivo de exemplo era "decriptable". Segui o link deles, até a página do Bleeping Computer, onde baixe a Nova versão do Tesla Decoder (1.0.1) o qual testei em um, depois em 10, depois nas dezenas de milhares de arquivos que eu tenho no meu notebook.
    Recuperei todos!!
    Agradeço a paciência e perseverança dos mantenedores deste Fórum e deste importante tópico. Perseverança nunca pode nos faltar!!
    Valeu!!

    ResponderExcluir
    Respostas
    1. Olá Sbrug,

      Que ótima notícia e obrigado por lembrar!!! =D

      Abraços,

      Excluir
  85. O meu é o Ransomware, e ta pedindo o pagamneto com bitcoin, qual ferramenta eu posso usar?

    ResponderExcluir
    Respostas
    1. Olá,
      Tente utilizar as ferramentas que apresentamos aqui para recuperar os arquivos.
      Abraços,

      Excluir
  86. Boa noite. Meus arquivos foram criptografados para extensão locky. Alguém já descobriu alguma forma de recuperar esses arquivos?
    At. Bruno

    ResponderExcluir
    Respostas
    1. Olá,
      Tente utilizar as ferramentas que apresentamos aqui para recuperar os arquivos.
      Abraços,

      Excluir
  87. oi! estou com a extensão de arqivos .16C55, nunca vi e não sei como descriptografar...alguem pra ajudar!

    ResponderExcluir
  88. OI! boa tarde!!

    Mues arquivos ficaram com a extensão .16C55 criprografados, nunca vi e nem seu como fazer para descriptografar!! alguem poderia me ajudar?
    Grato!

    ResponderExcluir
    Respostas
    1. Olá João,
      Já tentou utilizar as ferramentas que apresentamos aqui para recuperar os arquivos?
      Abraços,

      Excluir
  89. ola! meus arquivos estão com a extensão crypz, tem alguma solução?

    ResponderExcluir
  90. boa noite existe alguma ferramenta que recupera arquivo no formato de Arquivo CRYSIS (.CrySiS)

    ResponderExcluir
    Respostas
    1. Olá,
      Ainda não existe uma forma de recuperar os arquivos, apenas as que apresentei aqui anteriormente. Você já testou?
      Abs,

      Excluir
  91. Ola amigo o meus arquivos ficaram assim: Clone of 5.nvram.id-9A96ED84.{mailrepa.lotos@aol.com}.crysys
    Existe alguma ferramenta para destravar o memso?

    ResponderExcluir
    Respostas
    1. Olá Luiz,
      Ainda não existe uma forma de recuperar os arquivos, apenas as que apresentei aqui anteriormente. Você já testou?
      Abs,

      Excluir
  92. Marcos, estou com o mesmo problema, segue como ficou salvo meus arquivos

    salario junho 2016.xlsx.id-C009D96D.{mailrepa.lotos@aol.com}.CrySiS
    todos arquivos ficam desta forma,

    e no meu caso é uma empresa, e estou precisando muito descriptografar, voce tem algum contato para conversarmos? ja tentei todos os metodos acima,

    att

    ResponderExcluir
    Respostas
    1. Olá Eduardo,

      Ainda não existe uma forma de recuperar os arquivos criptografados pelo Crysis, apenas as que apresentei aqui anteriormente no blog. Você já testou alguma dessas opções?

      Você pode entrar em contato comigo ligando aqui na Site Blindado.

      Abs,

      Excluir
    2. Eduardo Conseguiu alguma coisa sobre o Crysis, tambem estou com o mesmo problema, se tiver alguma solução me avisa fazendo o favor que entro em contato. Wagner

      Excluir
  93. Tambem estou com o mesmo problema .. ninguem conseguiu alguma solução:?

    ResponderExcluir
    Respostas
    1. Olá Guilherme,
      Qual o ransomware que você foi infectado?
      Abs,

      Excluir
  94. Bom dia.
    Os meus arquivos ficaram com o seguinte formato: nome_do_arquivo.extensao_normal.id-EE505506.seven_legion.xtbl
    qual a variante que faz isso ?
    algum software especifico para remove-los ? e ja tem como descryptografar ?

    ResponderExcluir
    Respostas
    1. Olá Kjet,

      Você tentou usar o shadow explorer ou recuperar os arquivos através de algum programa para recuperação de dados?

      Abs,

      Excluir
    2. Boa noite Marcos.
      os arquivos estão todos no mesmo lugar, porem com os nomes alterados, após a extensão tem o seguinte "id-EE505506.seven_legion.xtbl".
      Ainda nao identifiquei qual o ransomware que fez esse estrago.

      Excluir
    3. Olá Kjet,

      Pode ser o ransomware Crysis.

      Abs,

      Excluir
  95. Boa tarde, como vejo o ransomware que infectou meu computador?

    ResponderExcluir
  96. Boa noite a todos... galera peguei essa bosta de ransom tambem... achei uma soluçao que pra min funcionou sem programa nenhum. clique com o direito e renomeiem o arquivo mantendo o nome do formato anterior abraço a todos e me corrijam se eu estiver errado.

    ResponderExcluir
  97. Aqui o programa da um e-mail o payfornature@india.com
    Como posso fazer para arrumar.

    ResponderExcluir
  98. Respostas
    1. Olá Abdiel,

      Tente usar a ferramenta no link abaixo
      https://support.kaspersky.com/viruses/disinfection/8547#block1

      Acredito que seja possível recuperar seus arquivos.
      Abs,

      Excluir
  99. Ola pessoal, todos os meus arquivos ficaram com extensão .xtbl, alguém pode me ajudar?

    ResponderExcluir
    Respostas
    1. Olá Jefferson,

      Você tentou usar o shadow explorer ou recuperar os arquivos através de algum programa para recuperação de dados? Esse ransomware pode ser o Crysis.

      Abs,

      Excluir
  100. Marcos como posso entrar em contato?

    ResponderExcluir
    Respostas
    1. Olá Abdiel,
      Você pode entrar em contato aqui na Site Blindado.
      Abs,

      Excluir
  101. Olá! Eu tive problemas com Cerber ransomware e Shadow Explorer + este guia me ajudou a restaurar a quase todos os arquivos de graça!

    ResponderExcluir
    Respostas
    1. Olá Alex,
      Que ótimo que o artigo te ajudou! =)
      Abs,

      Excluir
    2. Alex, qual foi o guia q te ajudou ? post o link.

      Excluir
  102. Blz, valeu!
    Uma das ferramentas do kaspersky resolveu o meu problema!
    Abs.

    ResponderExcluir
  103. Ola Marcos bom dia, minha infecção ficou por conta desse cara ai, vegclass@aol.com.xtbl , até agora não tive sucesso, ja formatei o servidor mais preciso recuperar alguns arquivos de dados, vc tem algum caminho ou empresa que possa me ajudar?Obrigado Deivi

    ResponderExcluir