Servidor infectado com ransomware

ITmaz · 24 de junho de 2019

Um virus atacou meu servidor e compactou todos documentos com o seguinte nome: BeUCKNJkT2f.png(!! to get password email id 592669248 to [email protected] !!) e para acessar os mesmos ele pede uma chava. Peco a vossa ajuda por favor.

Shaman93 · 24 de junho de 2019

Isso é ransomware, alguém criptografou seus arquivos e agora quer pagamento de resgate. Geralmente vem de presente com programas pirateados, cracks e coisas do gênero. Mas parece ser uma versão diferente do que já vi por aí. Todos seus arquivos não tem 216 KB apenas, certo? Consegue ver qual o formato desse arquivo? (.png parece ser apenas parte do nome)
Se está simplesmente zipado pode ser que um brute force consiga quebrar. Ou é possível que já exista código pra abrir, mas você tem que descobrir qual a versão específica do ransomware em questão.

ITmaz · 24 de junho de 2019

Esta certo, como faço para saber a versao especifica do ransomware.

Shaman93 · 24 de junho de 2019

Acredito que seja uma variante do ACCDFISA v2.0

Dê uma olhada nesse fórum: https://www.bleepingcomputer.com/forums/t/618996/accdfisa-v20-ransomware-support-topic-filename-to-get-password-email-id-id-to-email-exerar/page-35

Ao que parece não tem como quebrar por força bruta e o único método conhecido até então é com o serviço de uma empresa russa chamada Dr. Web, que infelizmente custa 150 euros (caso consigam quebrar a criptografia pro seu caso, senão não cobram). Um dos usuários no tópico relata que um cliente dele chegou a pagar 5000 dólares pro cracker pra comprar a chave (imagino o valor dos dados que tinha...).

Talvez um especialista aqui do fórum tenha condições de te ajudar melhor, dê uma lida no post fixado e abra um tópico nessa seção: https://www.clubedohardware.com.br/forums/forum/89-remoção-de-malware/

mick 07 · 24 de junho de 2019

Prezado,

Você está infectado com um ransomware chamado ACCDFISA V2.0, um tipo de malware que criptografa seus arquivos e somente pode recuperá-los após o pagamento de um resgate em criptomoeda ou se já existir uma ferramenta criada por especialistas, ou através de backup. Procure no computador e deve achar um arquivo *.txt solicitando esse resgate.

Pra saber mais sobre esse ransomware:

https://www.bleepingcomputer.com/forums/t/685287/attacked-by-ransomware/

10 horas atrás, Shaman93 disse:

Dê uma olhada nesse fórum: https://www.bleepingcomputer.com/forums/t/618996/accdfisa-v20-ransomware-support-topic-filename-to-get-password-email-id-id-to-email-exerar/page-35

Pra saber se já existe uma ferramenta desenvolvida por especialistas que possa recuperar seus arquivos, verifique os links que deixo abaixo. Caso ainda não exista uma ferramenta, não tem o que fazer a não ser aguardar.

https://www.nomoreransom.org/pt/index.html
https://www.emsisoft.com/decrypter/
https://id-ransomware.malwarehunterteam.com/

Pra entender como funciona esse tipo de malware, sugiro a leituras dos links e que assista o vídeo abaixo:

https://www.nomoreransom.org/pt/ransomware-qa.html

https://www.nomoreransom.org/pt/prevention-advice.html

Por fim, sugiro que você analise o motivo de ter sido infectado: não fez atualização do Windows e programas, não usa um antivírus de confiança, baixou programas/jogos piratas ou crackers e etc.