António Freitas
Se foi vítima do malware CoinVault os seus ficheiros estão todos encriptados e aparece uma mensagem no ecrã a solicitar o pagamento da chaves para a desencriptação. Como já referimos anteriormente nunca deve realizar qualquer pagamento a criminosos!
A Kaspersky LAB, empresa russa produtora de software de segurança para a Internet, já tinha quatro ferramentas para desencriptar os ficheiros em causa, mas mostraram-se ineficientes para a última versão deste ransomware.
As quatro ferramentas, da Kaspersky LAB, para desencriptação de ficheiros encriptados pela TeslaCrypt ransomware:
RannohDecryptor.exe
XoristDecryptor.exe
RectorDecryptor.exe
RakhniDecryptor.exe
A polícia holandesa e a Kaspersky LAB têm trabalhado em conjunto para combater a CoinVault utilizada neste tipo de malware, da investigação conjunta têm obtido dados que permitem desencriptar os ficheiros que estão prisioneiros no seu PC, desta forma a Kaspersky LAB disponibiliza, online, a 5ª ferramenta para desencriptação dos ficheiros em causa.
Segundo a http://www.nydailynews.com/, o sheriff Todd Brackett do departamentos de polícia do Maine, do condado de Lincoln disse à WCSH-TV que depois de várias tentativas para recuperar os registos, a sua agência pagou um resgate de US $ 300 para obter os arquivos de volta. Sabemos que possivelmente em Portugal os alvos são os serviços de contabilidade e outros utilizadores que trabalham com processos financeiros e pagamentos de salários.
Há dois dias a polícia russa prendeu um suspeito de 25 anos que é acusado de ter criado um malware para android que infectou cerca de 400 mil equipamentos em 2014. Só na Rússia o suspeito conseguiu roubar US $ 930 000,00 com esse malware.
Deixamos aqui o procedimento para a desencriptação dos ficheiros:
1- Tome nota da sua “Bitcoin address”. Assinalado na imagem com nº 1
2-Verifique quais os ficheiros que estão encriptados, “Show files”. Grave a lista de ficheiros. Assinalado na imagem com nº2
3-Desinfecte o computador utilizando a versão de demonstração do Kaspersky Internet Security (Não se esqueça depois de comprar a versão final de modo a prevenir este tipo de situações.
4-No site da Kaspersky Lab Ransomware deve submeter a “Bitcoin address” anotada no ponto 1. Se a sua “Bitcoin address” for reconhecida, a chave de desencriptação surgirá no ecrã.
5-Instale bibliotecas adicionais da Microsoft.
6-Baixe o programa de desincriptação da Kaspersky Lab e comece a desencriptar os seus ficheiros.
NOTA: Este software Ransomware descriptografia não vai funcionar para todas as vítimas porque a polícia holandesa tem apenas alguns milhares de chaves de descodificação de um comando e controle de servidor de CoinVault… Em breve haverá mais soluções!
Não nos podemos esquecer que a Kaspersky LAB foi a primeira empresa de segurança a descodificar o malware mais bem elaborado de sempre, o stuxnet!
