Meu Computador foi invadido por um Ransomware e os arquivos foram comprometidos

[Tárcio de Assis]

O computador foi infectado e minhas redes sociais invadidas. Os arquivos do meu PC ficaram com a extensão bbzz. Porém, após a formatação, os arquivos que criei não apresentaram mais o problema na extensão. Nos meus Clouds, os arquivos continuam com as extensões em bbzz. Segue abaixo os logs para análise. Desde já gradeço a atenção e apoio prestados.

AdwCleaner[C00].txt AdwCleaner[S00].txt Addition_16-06-2022 09.09.20.txt FRST_16-06-2022 09.09.20.txt

[Lusitano]

@Tárcio de Assis Olá, 

Os relatórios não mostram sinais da infeção, provavelmente a formatação conseguiu remover na totalidade. Apenas algumas coisas (abaixo) necessitam de correção, mas nada de preocupante e facilmente se resolvem:

Citação

HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restrição <==== ATENÇÃO
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restrição <==== ATENÇÃO
FF HKLM\...\Firefox\Extensions: [[email protected]] - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Total Security 21.3\FFExt\light_plugin_firefox\addon.xpi => não encontrado (a)
FF HKLM-x32\...\Firefox\Extensions: [[email protected]] - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Total Security 21.3\FFExt\light_plugin_firefox\addon.xpi => não encontrado (a)
FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\kl_prefs_62fbb8f7_c917_4cf7_957a_aad2b8fa768c.js [2022-06-15] <==== ATENÇÃO (Aponta para arquivo *.cfg)
FF ExtraCheck: C:\Program Files\mozilla firefox\kl_config_62fbb8f7_c917_4cf7_957a_aad2b8fa768c.cfg [2022-06-15] <==== ATENÇÃO

 

No que você informou no seu outro tópico, não referiu notar nenhum comportamento estranho no seu pc. Certo? Na sua próxima resposta, por gentileza me responda a esta questão. Porque depende da sua resposta se necessitaremos de executar mais procedimentos exaustivos ou não.

 

Vamos verificar mais umas coisas. Seja paciente que esta análise pode ser demorada:

• Faça o download ESET Online Scanner e salve no seu Desktop
•     Clique direito em esetonlinescanner_enu.exe e execute como administrador
•     Clique em Computer Scan
•     Clique em Full scan
•     Selecione Enable ESET to detect and quarantine potentially unwanted applications
•     Clique em Start scan
•     Quando terminar, salve o resultado no seu desktop como ESETScan.txt
•     Clique Continue e depois em Close
•     Anexe o arquivo ESETScan.txt

 

[Tárcio de Assis]

@Lusitano, em resposta a sua pergunta, eu não notei comportamentos estranhos em meu sistema após a formatação.

Agora Tenho uma dúvida: minhas contas no outlook e no gmail estão com seus sistemas de armazenamentos nas nuvens infectados, quase todos os arquivos estão no formato bbzz. Eu usava essas contas sincronizadas no PC para salvar os arquivos nas nuvens. 

Existe alguma forma de recuperar esses arquivos?

Mesmo sendo possível recuperar as contas de e-mail, estou inseguro, penso em excluí-las. O que você acha?

 

Segue o log de eventos em anexo.

 

 

ESETScan.txt

[Lusitano]

22 minutos atrás, Tárcio de Assis disse:

eu não notei comportamentos estranhos em meu sistema após a formatação

Perfeito. As análises que efetuámos não mostravam indícios e adicionámos mais um fator de certeza com o scan que você fez: "Número de detecções: 0"

 

22 minutos atrás, Tárcio de Assis disse:

Existe alguma forma de recuperar esses arquivos?

Infelizmente de momento isso é impossível. Não há forma de conseguir quebrar a senha de encriptação usada por esse ransomware.

Uma coisa você pode tentar caso tenha interesse. Como este malware em regra só encripta a parte inicial do arquivo isso possibilita recuperar alguns arquivos, mas tenha em atenção que isso apenas se aplica a arquivos tipo foto ou vídeo. Para esse efeito e embora não haja garantia de sucesso, você pode tentar recuperar alguns desses arquivos com esta ferramenta: Media_Repair (DiskTuna)

 

Quanto aos restantes arquivos que não for possível de recuperar, eu sugeria que você os mantivesse guardados numa pasta em separado, pois no futuro poderá existir uma forma de os conseguir recuperar. Temos relatos disso já ter acontecido em alguns ransomwares, com a captura dos criminosos e até uma ocasião que um dos criminosos estando em fase terminal (doença), ele próprio disponibilizou as chaves de desencriptação. Portanto, mantenha guardados esses arquivos e futuramente poderá vir a ser possível os recuperar. Para além disso os arquivos contendo a extensão .bbzz não contêm malware, apenas foram encriptados pelo malware que já não se encontra presente no seu pc.

 

22 minutos atrás, Tárcio de Assis disse:

Mesmo sendo possível recuperar as contas de e-mail, estou inseguro, penso em excluí-las. O que você acha?

Não vejo razão para você excluir as suas contas, estando elas alojadas em empresas como a Google (gmail), etc. 

O que recomendo é que agora que você tem o seu pc livre de malware, que altere as suas passwords e sempre que possível com 2FA (2º fator de autenticação).

 

Vamos fazer uma manutenção e tratar das entradas órfãs que mencionei no meu outro post.

Execução FRST:

• Clique direito do mouse no icone do FRST e selecione executar como administrador
• Selecione TODO o conteúdo da caixa abaixo e pressione ao mesmo tempo as teclas Ctrl + C, para que tudo seja copiado. Não é necessário colar a informação. A ferramenta FRST fará isso automaticamente.

Citação

Start::
SystemRestore: On
CreateRestorePoint:
CloseProcesses:
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restrição <==== ATENÇÃO
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restrição <==== ATENÇÃO
FF HKLM\...\Firefox\Extensions: [[email protected]] - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Total Security 21.3\FFExt\light_plugin_firefox\addon.xpi => não encontrado (a)
FF HKLM-x32\...\Firefox\Extensions: [[email protected]] - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Total Security 21.3\FFExt\light_plugin_firefox\addon.xpi => não encontrado (a)
FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\kl_prefs_62fbb8f7_c917_4cf7_957a_aad2b8fa768c.js [2022-06-15] <==== ATENÇÃO (Aponta para arquivo *.cfg)
FF ExtraCheck: C:\Program Files\mozilla firefox\kl_config_62fbb8f7_c917_4cf7_957a_aad2b8fa768c.cfg [2022-06-15] <==== ATENÇÃO
startpowershell:
Set-Service -Name "BITS" -StartupType Manual -Verbose
Set-Service -Name "Dhcp" -StartupType Automatic -Verbose
Set-Service -Name "EventLog" -StartupType Automatic -Verbose
Set-Service -Name "EventSystem" -StartupType Automatic -Verbose
Set-Service -Name "nsi" -StartupType Automatic -Verbose
Set-Service -Name "RasMan" -StartupType Manual -Verbose
Set-Service -Name "SDRSVC" -StartupType Manual -Verbose
Set-Service -Name "SstpSvc" -StartupType Manual -Verbose
Set-Service -Name "TrustedInstaller" -StartupType Manual -Verbose
Set-Service -Name "VSS" -StartupType Manual -Verbose
Set-Service -Name "Winmgmt" -StartupType Automatic -Verbose
Set-Service -Name "wuauserv" -StartupType Manual -Verbose

Function Remove-all-windefend-excludes {
$Paths=(Get-MpPreference).ExclusionPath
$Extensions=(Get-MpPreference).ExclusionExtension
$Processes=(Get-MpPreference).ExclusionProcess
foreach ($Path in $Paths) { Remove-MpPreference -ExclusionPath $Path -force}
foreach ($Extension in $Extensions) { Remove-MpPreference -ExclusionExtension $Extension -force}
foreach ($Process in $Processes) { Remove-MpPreference -ExclusionProcess $Process -force}
}
Set-MpPreference -DisableAutoExclusions $true -Force
Remove-all-windefend-excludes
endpowershell:
CMD: ipconfig /flushdns
CMD: netsh winsock reset catalog
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh winhttp reset proxy
CMD: Bitsadmin /Reset /Allusers
CMD: Winmgmt /salvagerepository
CMD: Winmgmt /resetrepository
CMD: winmgmt /resyncperf
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: sfc /scannow
EmptyTemp:
End::

• Clique em Corrigir.
• Quando a ferramenta terminar, irá gerar um arquivo com o nome Fixlog.txt. Anexe na sua próxima resposta .
• Nota: Um dos comandos acima, irá remover cookies e com isso pode resultar em dificuldades em aceder a algumas páginas web (nomeadamente bancos) e poderá ser necessário reaplicar o código verificação da própria instituição. Os procedimentos acima poderão ser demorados. Por gentileza seja paciente e aguarde. Serão removidos os arquivos temporários.

 

 

 

 

[Tárcio de Assis]

@Lusitano

2 horas atrás, Lusitano disse:

Perfeito. As análises que efetuámos não mostravam indícios e adicionámos mais um fator de certeza com o scan que você fez: "Número de detecções: 0"

 

Infelizmente de momento isso é impossível. Não há forma de conseguir quebrar a senha de encriptação usada por esse ransomware.

Uma coisa você pode tentar caso tenha interesse. Como este malware em regra só encripta a parte inicial do arquivo isso possibilita recuperar alguns arquivos, mas tenha em atenção que isso apenas se aplica a arquivos tipo foto ou vídeo. Para esse efeito e embora não haja garantia de sucesso, você pode tentar recuperar alguns desses arquivos com esta ferramenta: Media_Repair (DiskTuna)

 

Quanto aos restantes arquivos que não for possível de recuperar, eu sugeria que você os mantivesse guardados numa pasta em separado, pois no futuro poderá existir uma forma de os conseguir recuperar. Temos relatos disso já ter acontecido em alguns ransomwares, com a captura dos criminosos e até uma ocasião que um dos criminosos estando em fase terminal (doença), ele próprio disponibilizou as chaves de desencriptação. Portanto, mantenha guardados esses arquivos e futuramente poderá vir a ser possível os recuperar. Para além disso os arquivos contendo a extensão .bbzz não contêm malware, apenas foram encriptados pelo malware que já não se encontra presente no seu pc.

 

Não vejo razão para você excluir as suas contas, estando elas alojadas em empresas como a Google (gmail), etc. 

O que recomendo é que agora que você tem o seu pc livre de malware, que altere as suas passwords e sempre que possível com 2FA (2º fator de autenticação).

 

Vamos fazer uma manutenção e tratar das entradas órfãs que mencionei no meu outro post.

Execução FRST:

• Clique direito do mouse no icone do FRST e selecione executar como administrador
• Selecione TODO o conteúdo da caixa abaixo e pressione ao mesmo tempo as teclas Ctrl + C, para que tudo seja copiado. Não é necessário colar a informação. A ferramenta FRST fará isso automaticamente.

• Clique em Corrigir.
• Quando a ferramenta terminar, irá gerar um arquivo com o nome Fixlog.txt. Anexe na sua próxima resposta .
• Nota: Um dos comandos acima, irá remover cookies e com isso pode resultar em dificuldades em aceder a algumas páginas web (nomeadamente bancos) e poderá ser necessário reaplicar o código verificação da própria instituição. Os procedimentos acima poderão ser demorados. Por gentileza seja paciente e aguarde. Serão removidos os arquivos temporários.

 

 

 

 

@Lusitano, segue, em anexo, o arquivo solicitado. Gostaria de saber se há algum risco do vírus ter sido sincronizado para o GDrive e de retornar para a minha máquina, caso eu ative uma pasta do GDrive no meu PC para sincronização automática na nuvem.

Fixlog_16-06-2022 15.43.20.txt

[Lusitano]

9 minutos atrás, Tárcio de Assis disse:

Gostaria de saber se há algum risco do vírus ter sido sincronizado para o GDrive e de retornar para a minha máquina, caso eu ative uma pasta do GDrive no meu PC para sincronização automática na nuvem

Impossível eu lhe dar uma garantia disso não acontecer, já que eu não sei o que está na sua cloud (GDrive).

O que posso é lhe transmitir informação para que você me ajude a ter maiores certezas. 

Esse tipo de malware vem maioritariamente de aplicativos baixados ilegalmente (Cracks, etc.) e portanto você deverá saber o que fez e que despoletou essa ocorrência. Ou seja, você executou algo que tinha este ransomware e algumas variantes estão inclusive programadas para se auto desinstalarem após terem feito a encriptação dos arquivos e o respetivo pedido de resgate (ransom).

Resta agora saber SE você tem esse arquivo na cloud. O que você pode ter como garantia é que todos os ficheiros com a extensão .bbzz estão apenas encriptados e NÃO contêm malware nem a capacidade de executar nenhuma malware (por exemplo um arquivo: nomedoarquivo.pdf.bbzz).

 

Embora a probabilidade de o executável estar na seu GDrive ser muito baixa, no seu lugar o que eu faria era cuidadosamente selecionar os seus arquivos que estão na GDrive, ou seja, os seus arquivos importantes tipo fotos, documentos, planilhas, pdf's, etc. e criar uma pasta e os colocar em outro local, como um mídia externo ou mesmo um pendrive dedicado apenas para esse efeito e aguardar que no futuro eles possam ser recuperados.

Depois disso feito limpava tudo na GDrive para você poder novamente a usar em segurança.

 

Caso você saiba exatamente o que executou na altura que este problema se despoletou e se você tem a certeza que o eliminou com a formatação e ele não estava na GDrive, então não tem perigo em voltar a usar a sua cloud, porque tal como atras afirmei, os arquivos com a extensão .bbzz não contêm malware, estão apenas encriptados pelo malware.

 

Espero ter ajudado.

 

[Tárcio de Assis]

@Lusitano, muito obrigado pela atenção prestada! Lembrei que tinha um backup dos meus arquivos em outra conta do GDrive e não tive prejuízo algum. 

[Lusitano]

1 hora atrás, Tárcio de Assis disse:

@Lusitano, muito obrigado pela atenção prestada! Lembrei que tinha um backup dos meus arquivos em outra conta do GDrive e não tive prejuízo algum. 

Excelente noticia. 

Vivo falando para as pessoas: backup, backup e mais backup.

Isso é a nossa garantia de sucesso e lidando com ransomware é FUNDAMENTAL.

 

Vamos finalizar, removendo algumas das coisas que utilizámos durante o processo e as quais você não irá necessitar no uso regular do PC.

 

• Faça o download de KpRm e salve no seu desktop.
• Clique direito em kprm_(versão).exe e selecione executar como Administrador.
• Leia e aceite o Aviso Legal.
• Quando a ferramenta abrir, assegure-se que todas as caixas por baixo de "Actions" estão marcadas.
• Debaixo de "Quarantines", escolha "Delete Now" e clique em "Run".
• Quando completar, clique em OK
• Um documento será aberto no seu Bloco de Notas (arquivo: kprm-(data).txt). Verifique se foi criado um novo ponto de restauro.

 

Mantenha seus programas atualizados, faça uma utilização responsável do seu computador e faça backups regulares salvando-os em diferentes locais. Caso venha a necessitar no futuro, cá estaremos para tentar ajudar.

 

Abraço

 

[Lusitano]

Problema resolvido!

 

Caso o autor necessite, o mesmo será reaberto, para isso deverá entrar em contato com um Analista de Segurança ou Coordenador solicitando o desbloqueio.