Ir ao conteúdo
  • Cadastre-se
jwesz

Virus BitCrypt que criptografa todos arquivos do PC

Recommended Posts

Galera to precisando de uma mega ajuda!!!

No dia 27 de fevereiro peguei um virus que criptografou toooodos meus arquivos do pc (textos, fotos, musicas, videos, pdf, etc). Os arquivos ficaram com a terminação ".bitcrypt2". O virus ainda deixou um arquivo texto na area de trabalho dizendo que os arquivos foram escritos em código com ajuda da chave unica RSA-1024 e que eu teria que entrar em contato com eles para recuperar os arquivos.

É claro que não fiz isso. Comecei a pesquisar sobre BitCrypt e encontrei poucas referencias, todas em inglês e feitas em data a partir do dia 11 de fevereiro de 2014, ou seja, é um virus muito novo.

Passei varios antivirus e antimalware, não sei se tirei o virus mas o pc ficou rápido novamente. No entanto o que mais me preocupa é que não achei absolutamente nada sobre como posso recuperar meus arquivos.

Alguém sabe se tem com recuperar (descriptografar) os arquivos???

Fico no aguardo de ajuda galera..valeu

Compartilhar este post


Link para o post
Compartilhar em outros sites

Por enquanto ainda não tem como desmanchar a criptografia, tentei numa máquina virtual testar várias coisas e por enquanto nada, aguarde que em breve teremos uma solução simples pra isso.

 

att

Compartilhar este post


Link para o post
Compartilhar em outros sites

@jwesz Apenas por curiosidade: não pode nos informar como pegou malware? Qual seu sistema operacional e se o mesmo está atualizado? E quais programas de proteção utiliza?

Compartilhar este post


Link para o post
Compartilhar em outros sites

Claro..peguei o vírus baixando o Ares no baixaki. Tenho Windows profissional aparentemente atualizado. No momento que o virus entrou estava usando o Essential como antivirus, depois troquei fazendo varreduras com Avira, Avast e mais alguns antimalwares, de todos o avast em modo de segurança que mais pegou eu acho.

Ainda to na luta pelos arquivos...


Pesquisando a fundo no negócio achei dois tutoriais que indicavam restaurar o pc para data anterior após retirar o vírus, e isso faria com que meus arquivos voltassem ao normal.

Aparentemente não levei muita fé porque teoricamente restaurar o pc não alteraria qualquer coisa com os arquivos, no entanto eram tutoriais específicos falando desse vírus BitCrypt. Não custaria tentar né, o problema é que o vírus além de não deixar eu iniciar o modo de segurança (que depois de muita luta consegui) também limpou todos os pontos de restauração do pc antes da entrada do vírus.

Pergunto: Alguém sabe como restaurar o computador sem ter um ponto de restauração??? Usando algum comando que volte para determinada data ou através do DOS..algo do gênero

Compartilhar este post


Link para o post
Compartilhar em outros sites

@jwesz

 

Vish man! Vish! você pegou esse malware ao executar o Ares do link pelo Baixaki? você foi redirecionado para o site oficial? Você ainda tem esse executável no seu computador?  

 

O recomendável é sempre baixar os programas do site oficial. Mas ainda assim existem riscos. Por isso, temos que ter backup dos dados. E também não é primeira vez que eu vejo link do baixaki que redireciona para malware.

 

Editei: Você tentou baixar pelo baixaki usando o gerenciador deles ou fora do gerenciador por esse link 

hxxp://sourceforge.net/projects/aresgalaxy/files/aresgalaxy/AresRegular227_020114/aresregular227_installer.exe/downlo  ??

 

Olhem a análise no virus total para o arquivo:  https://www.virustotal.com/pt/file/ae056f2d42c45fe162793a816ddf75ee6bb6bd45e0266f80130c2c2badbe7a22/analysis/1394562382/

Compartilhar este post


Link para o post
Compartilhar em outros sites

Yes, foi ao executar o Ares direto do link do Baixaki..tava com pressa e na hora nem me toquei de ir no site oficial. O dia que ocorreu essa caca toda foi 27 fevereiro.

O executável que você fala é o executável do Ares que eu baixei e instalei? se for, acho que devo ter porque até exclui dos downloads mas acho que não limpei a lixeira depois daquilo..se achar importante te confirmo a noite que agora não to naquele pc.

Compartilhar este post


Link para o post
Compartilhar em outros sites

@jwesz  Tá certo. Aguardo então...

 

 

Aos membros avançado aqui do fórum fica uma pergunta para essa situação, onde um malware sequestra os arquivos da vítima com criptografia:

 

Todo os arquivos não somem fisicamente do hd quando o deletamos pelo windows. Muito menos quando o excluímos da lixeira. Sabemos que ele some para o windows mas ainda estão fisicamente no hd até que o espaço que eles ocupam sejam gravados novamente...  Então me surgiu essa dúvida: Seria possível, nesse situação, recuperar os arquivos usando   programas que recuperam arquivos deletados do computador? Ou quando o vírus criptografa os arquivos ele modifica, sobrecrevendo os mesmos, ao invés de fazer uma copia criptografada? Porque se o programa fizer uma cópia e salvando em outro espaço físico no disco, ainda existe a possibilidade de recuperação? 

Compartilhar este post


Link para o post
Compartilhar em outros sites

@jwesz

 

 

E isso aí que aconteceu tem um nome: Ransomware.

 

Muito provavelmente os arquivos foram sobrescritos; creio que as chances de recuperação sejam mínimas.

 

 

Uma curiosidade: o contato que eles deixaram era em português mesmo? Percebe se isso é de origem nacional?

 

 

 

[]'s

  • Curtir 1

Compartilhar este post


Link para o post
Compartilhar em outros sites

@jwesz

 

Vish man! Vish! você pegou esse malware ao executar o Ares do link pelo Baixaki? você foi redirecionado para o site oficial? Você ainda tem esse executável no seu computador?  

 

O recomendável é sempre baixar os programas do site oficial. Mas ainda assim existem riscos. Por isso, temos que ter backup dos dados. E também não é primeira vez que eu vejo link do baixaki que redireciona para malware.

 

Editei: Você tentou baixar pelo baixaki usando o gerenciador deles ou fora do gerenciador por esse link 

hxxp://sourceforge.net/projects/aresgalaxy/files/aresgalaxy/AresRegular227_020114/aresregular227_installer.exe/downlo  ??

 

Olhem a análise no virus total para o arquivo:  https://www.virustotal.com/pt/file/ae056f2d42c45fe162793a816ddf75ee6bb6bd45e0266f80130c2c2badbe7a22/analysis/1394562382/

 

É..não achei o arquivo executável..devo ter dado shift del.

@jwesz

 

 

E isso aí que aconteceu tem um nome: Ransomware.

 

Muito provavelmente os arquivos foram sobrescritos; creio que as chances de recuperação sejam mínimas.

 

 

Uma curiosidade: o contato que eles deixaram era em português mesmo? Percebe se isso é de origem nacional?

 

 

 

[]'s

 

 

O arquivo tem o mesmo texto em 10 línguas. Acho que não é nacional até porque até o momento não achei nenhuuuma referencia deste vírus em português. Em algumas pesquisas que fiz aparecia depoimentos de gente que entrou nos endereços que eles sugeriam e o valor pedido pra fornecer o programa para descriptografar era 0,4 bitcoins (não entendi muito essa moeda aí mas não era tão pouco dinheiro assim).

Compartilhar este post


Link para o post
Compartilhar em outros sites

@jwesz

 

 

E isso aí que aconteceu tem um nome: Ransomware.

 

Muito provavelmente os arquivos foram sobrescritos; creio que as chances de recuperação sejam mínimas.

 

 

Uma curiosidade: o contato que eles deixaram era em português mesmo? Percebe se isso é de origem nacional?

 

 

 

[]'s

 

estou tendo o mesmo problema: esta informação em português... lembrando que tem vários idiomas neste arquivo em bloco de notas

 

Português

Atenção!!!

O seu BitCrypt ID: WIN-32-5400190

Todos os arquivos importantes no seu computador (fotografias, documentos, bancos de dados, etc.) foram escritos em código com ajuda da chave única RSA-1024.

A decifração dos arquivos é possível só com ajuda do programa especial único para cada BitCrypt ID.

Os especialistas dos centros de serviço de computadores e dos laboratórios de antivírus não podrão ajudar-lhe com nada.

Para ficar a saber como obter o programa descritor Você tem que passar pela referência http://www.bitcrypt.cc e pôr-se ao corrente das instruções.

Se dita referência não funciona mas Você quer recuperar os arquivos, siga as seguintes instruções:

1. Intente abrir a referência kphijmuo2x5expag.tor2web.com , se isso não deu resultado, passe ao ponto 2.

2. Baixe e instale o tor browser http://www.torproject.org/projects/torbrowser.html

3. Depois da instalação ponha em funcionamento e introduza a direcção kphijmuo2x5expag.onion.

Lembre, quanto mais rapidamente Você faça isso, então mais chances haverá para recuperar os seus arquivos intactos.

Compartilhar este post


Link para o post
Compartilhar em outros sites

@jwesz, @Ed_Viturino

 

O arquivo tem o mesmo texto em 10 línguas. Acho que não é nacional até porque até o momento não achei nenhuuuma referencia deste vírus em português. Em algumas pesquisas que fiz aparecia depoimentos de gente que entrou nos endereços que eles sugeriam e o valor pedido pra fornecer o programa para descriptografar era 0,4 bitcoins (não entendi muito essa moeda aí mas não era tão pouco dinheiro assim).

 

O bitcoin é uma criptomoeda; uma das moedas digitais que existem atualmente. Hoje, 0,4 bitcoins equivalem a aproximadamente R$ 605,00. Ou seja, esse é o valor da extorsão em reais. E certamente ainda levaria outro golpe após ceder e pagar o que é pedido.

 

 

Pessoal, querem um conselho? Formatem suas máquinas, instalem um bom antivírus e evitem clicar e executar qualquer coisa que achem pela frente. A postura prudente do usuário com o uso do PC é muito importante.

 

 

Sinto muito, mas creio que vocês perderam os seus arquivos. Espero que tenham feito backup na nuvem ou em outro lugar.

 

 

 

[]'s

LNW

  • Curtir 1

Compartilhar este post


Link para o post
Compartilhar em outros sites

@jwesz  Tá certo. Aguardo então...

 

 

Aos membros avançado aqui do fórum fica uma pergunta para essa situação, onde um malware sequestra os arquivos da vítima com criptografia:

 

Todo os arquivos não somem fisicamente do hd quando o deletamos pelo windows. Muito menos quando o excluímos da lixeira. Sabemos que ele some para o windows mas ainda estão fisicamente no hd até que o espaço que eles ocupam sejam gravados novamente...  Então me surgiu essa dúvida: Seria possível, nesse situação, recuperar os arquivos usando   programas que recuperam arquivos deletados do computador? Ou quando o vírus criptografa os arquivos ele modifica, sobrecrevendo os mesmos, ao invés de fazer uma copia criptografada? Porque se o programa fizer uma cópia e salvando em outro espaço físico no disco, ainda existe a possibilidade de recuperação? 

 

Alguém dos membros avançados tem alguma resposta para esse questionamento bem colocado do @OpaioX???

Compartilhar este post


Link para o post
Compartilhar em outros sites

Os arquivos são sobrescritos. As chances de recuperação dos arquivos é mínima, sinto informar. Provavelmente a única opção é pagar o que eles querem, mas isso não garante que você receberá os arquivos (é bem provavelmente que você seja enganado aqui também). Então recomendo fortemente que não pague. O jeito é fazer o que o LNW comentou: formatar e começar uma vida nova (é aí que fazer backups regulares pode salvar vidas rs)..

  • Curtir 1

Compartilhar este post


Link para o post
Compartilhar em outros sites

E além de não garantir, pagar sustentaria o cibercrime, o que nunca é uma boa ideia.

 

Por hora não tem jeito mesmo. Em muitos casos ransomware é algo que se deve evitar com um bom AV, mas se infectado, já era. :(

 

No caso do BitCrypt, a primeira versão (que encripta os arquivos deixando-os com a extensão .bitcrypt) tinha um bug, onde o autor usava uma chave de 128 dígitos, pensando ser uma de 128 bytes ou 1024 bits. Isso resultou numa encriptação com RSA-426, quebrável em poucos dias. No entanto o autor criou uma versão nova (.bitcrypt2), por isso esse "bug fixed" no arquivo texto e esta sim, usa RSA-1024, o que inviabiliza qualquer tentativa de força bruta.

 

Analisando o código do ransomware, pode ser que ele tenha algum bug que nos permita regerar a chave, mas é só uma suposição.

 

Abraços.

  • Curtir 1

Compartilhar este post


Link para o post
Compartilhar em outros sites

Bom..já esto convencido que não vou conseguir recuperar meus arquivos criptografados, não no momento pelo menos.

 

Pergunta: Vale a pena salvar em um pendrive aqueles arquivos, mesmo criptografados, que eu julgo muito muito importante para que, se em breve (tipo nos próximos meses) se descruba um bug, erro, ou uma brecha no vírus eu consiga descriptografálos??? Ou essa probabilidade é muito pequena?

 

Valeu galera pelas respostas desde o início da discussão

Compartilhar este post


Link para o post
Compartilhar em outros sites

Eu salvaria em um pendrive sim. ;)

 

Agora cá entre nós, eu vi outras pesosas infectadas e com o Ares instalado. Será que o ransomware não foi baixado através do Ares? Você lembra das últimas buscas que fez nele?

 

Abraços.

  • Curtir 1

Compartilhar este post


Link para o post
Compartilhar em outros sites

Nem cheguei a fazer buscas. No momento que o finalizou a instalação passei pela área de trabalho e vi que tinha me ferrado. Não tenho certeza se o vírus infectou na instalação do Ares ou no momento que realizei o download no baixaki.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Isso é muito delicado. Se o Baixaki distribuir ransomware seria o caos! Pelo ranking o Ares é o 6º programa mais baixado lá. Eu quero acreditar que o ransomware tenha vindo de outra origem.

 

Nos testes que fiz, o ransomware demora um tempo significativo para encriptar os arquivos, o que é esperado já que ele faz buscas recursivas em todos os discos fixos conectados à máquina. Ou seja, você pode ter executado um arquivo alguns minutos antes e depois baixou o Ares. Coincidentemente ao findar a instalação do Ares você percebeu os arquivos encriptados. É uma suposição, claro. Você lembra de algo que fez de baixar o Ares? Algum e-mail recebido, download etc? O histórico de downloads do seu browser pode ajudar. ;)

 

Abraços.

  • Curtir 1

Compartilhar este post


Link para o post
Compartilhar em outros sites
Visitante

O Baixaki é um antro de vírus. Eu não baixo nada por lá. Aliás quando eu colecionava vírus eu tinha o baixaki como fonte de busca. Só baixo arquivos dos sites originais, o risco de pegar vírus ainda existe mas é bem menor.

 

Bom, eu formataria e tentaria recuperar os arquivos apagados.

 

Eu sempre tive a opinião de que 90% das infecções ocorrem pelo comportamento do usuário.

 

Um indivíduo que frequenta prostíbulos e não usa preservativo tem grandes chances de se infectar com alguma DST. Do mesmo modo, em ambientes virtuais, o indivíduo que frequenta prostíbulos - sites de redirecionamento de programas - e não tem uma boa proteção (firewall, anti virus, anti spyware, etc) tem grandes chances de infectar seu HD ou SSD.

 

Quem fica baixando filmes em torrent ou frequentando sites de mulher pelada não pode reclamar se pegar alguma coisa, vírus ou trojan, pois todos sabem que aqueles locais são fontes de disseminação de vírus. :Baaa:

 

Vou dar uma dica de segurança: utilizem HD externo USB para os arquivos realmente importantes, não deixem o HD externo conectado direto no micro, assim se houver alguma infecção e o HD estiver desconectado os arquivos estarão salvos. Aqui eu uso inclusive "cases" externos (tenho 2) com botão liga/desliga, posso deixar conectado direto na porta USB ou e-Sata que não tem problema, apesar de ter um WD Passport de 250 GB energizado somente pela USB.

 

Eu utilizo este case aqui, da Welland, em torno de 90,00 reais cada:

 

6558.jpg

 

A única diferença é que os meus tem um tribal desenhado na parte frontal, ao invés deste símbolo em laranja.

  • Curtir 2

Compartilhar este post


Link para o post
Compartilhar em outros sites

CONSEGUI RECUPERAR ASSIM:
Meu windows é vista.
Primeiro removi o trojan. Depois abri o windows explorer.
Busquei a pasta Desktop e não abri já cliquei em propriedades e abri a aba versões anteriores Apareceu um monte de versões e selecionei uma pouco recente e selecionei para restaurar. Demora. Depois fiz o mesmo em outras pastas do windows. Só funcionou a partir do  windows explorer. Espero que seja útil para alguem esta solução !
Abraços

Compartilhar este post


Link para o post
Compartilhar em outros sites

Crie uma conta ou entre para comentar

Você precisar ser um membro para fazer um comentário

Criar uma conta

Crie uma nova conta em nossa comunidade. É fácil!

Crie uma nova conta

Entrar

Já tem uma conta? Faça o login.

Entrar agora





Sobre o Clube do Hardware

No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas publicações sobre tecnologia do Brasil. Leia mais

Direitos autorais

Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

×