Ransomware - Arquivos criptografados pelo malware

MárioZam · 8 de outubro de 2019

Boa noite, Senhores!

Há alguns dias, um "pentelho" sobrinho meu, tentou download de um programa gerador de chave para o Windows 10 Pro dele que, por ser pirata, havia desinstalado. Eu não tinha instalado em meu PC um anti-vírus, anti spyware ou anti Malware porque não uso pra nada mais à não ser para uso doméstico e guardar documentos, fotos e filmes da familia. Quando percebi a infecção imediatamente instalei o "Malwarebyts" que fez uma varredura e detectou 3 vírus Trojans afetando mais de 700 arquivos em todos os formatos: JPGS, Jpegs, Jpg, Word, etc, que foram "roubados".

No nome do documento, no caso de imagem, por exemplo, aparace "IMG_20190402_163620.jpg._NEMTY_OIGE3IY_".

Na pasta que contém os documentos aparece um arquivo de texto "_NEMTY_OIGE3IY_-DECRYPT.txt", impossível de anexar, com os seguintes dizeres:

NEMTY PROJECT V1.6

Don't worry, all your encrypted files can be restored.
It's a business, if we can't provide full decryption, other people won't trust us.

In confirmation, that we have decryption key, we can provide you test decryption.
On our website you can upload 1 encrypted picture (png,bmp,jpg,gif) and get it decrypted.

There is no way to decrypt your files without our help.
Don't trust anyone. Even your dog.

There is 1 way how to get to the website:

1) Any browser
a) Open your browser
b) Type this url: nemty.hk/pay
c) Upload this note

NEMTY DECRYPTION KEY:

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

. Alem disso, quando tentei abrir um arquivo do Word cujo teor não apareceu (parece que a formatação do texto foi perdida), cliquei com o botão direito do mouse e selecionei "Abrir com" >Word, aí, então, todos os arquivos, inclusive de imagens, apropriaram abrir pelo Word. Alguém conhece essa desgraça?

Aguardo alguma informação, se possível.

Boa semana a todos.

GabrielLV · 8 de outubro de 2019

O seu sobrinho conseguiu infectar seu computador com um tipo de vírus chamado "Ransomware", que é um vírus que criptografa seus arquivos tornando o acesso a eles inválido e solicita uma taxa em bitcoins para desbloquea-los.

Aparentemente o Malwarebytes conseguiu remover com sucesso este ransomware, mas os arquivos que foram criptografados necessitam de outras maneiras para serem recuperados (se é que existe alguma forma).

Poste um tópico aqui e realize os procedimentos solicitados aqui para que um dos analistas de segurança possa ajuda-lo a remover quaisquer ameaças que talvez ainda estejam presentes em seu PC e lhe auxiliarem com ferramentas que talvez ajudem a recuperar seus arquivos.

Lembre-se: Não importa se o computador é para uso empresarial, uso doméstico ou apenas para salvar arquivos, NUNCA deixe de utilizar um bom antivírus.

Aprenda mais sobre isso aqui:

mick 07 · 8 de outubro de 2019

Prezado, favor verificar o tópico abaixo.

adicionado 6 minutos depois

https://id-ransomware.blogspot.com/2019/08/nemty-ransomware.html

MárioZam · 8 de outubro de 2019

Boa tarde, Senhores!

Dando continuidade, então, sobre a infecção na meu PC e já tendo recebido alguma ajuda, devo-lhes informar que, de acordo com orientação do Fórum, fiz o download do aplicativo ZA-Scan.exe mas ele não executa. Na primeira notificação da execução diz que não foi instalado corretamente e depois aparece uma mensagem de ser compatível com o Windows XP (Pack 3) e não consegui compatibilizar com o Windows 7. Uma segunda mensagem orientando-me a consultar alguns sites de descriptografia também não foi frutífera. Estou anexando arquivo sobre o Trojan eliminado pelo Malwarebyts, que talvez seja útil. Eu agradeço imensamente a atenção dos senhores. Acho que meu destino mesmo é formatar a máquina. Obrigado.

ANALISE.txt

Elias Pereira · 9 de outubro de 2019

@MárioZam

Acesse o link abaixo.

https://www.clubedohardware.com.br/forums/topic/1395627-ransomware-stop-puma-djvu-promo-drume-etc/

mick 07 · 11 de outubro de 2019

@MárioZam prezado, verifique essa notícia: https://www.bleepingcomputer.com/news/security/nemty-ransomware-decryptor-released-recover-files-for-free/

MárioZam · 13 de novembro de 2019

Em 11/10/2019 às 10:18, mick 07 disse:

@MárioZam prezado, verifique essa notícia: https://www.bleepingcomputer.com/news/security/nemty-ransomware-decryptor-released-recover-files-for-free/

Olá, Mick07.

Obrigado pela informação. Li o artigo e achei muito importante mas o "curativo" para o meu PC, se era o caso, chegou tarde demais.:-) Já havia formatado meu aparelho e não sobrou nenhum arquivo infectado para testar o software. Agradeço enormemente àqueles que de certa forma tentaram ajudar. Abraços.