Vírus vvwq, o que fazer? Sequestro de arquivos.

[RafaelSWR]

Bom dia,

Galera um amigo meu que trabalha com edição, foi baixar algum arquivo na internet (algo do premier ou até coisa de jogo, pois colocou para baixar várias coisas juntas) e veio um vírus que criptografou todos os arquivos dele do notebook e do HD externo conectado ao notebook. Arquivos de trabalho, de clientes, que ainda não foram editados, e só tem ali no HD, é um desastre sério, prejuízo irreparável aos clientes sem ter como ressarcir 

Todos os arquivos ficaram com o final .vvwq

Ele recebeu essa mensagem dos sequestradores num bloco de notas que apareceu no notebook dele dentro de todas as pastas.

ATTENTION!

Don't worry, you can return all your files!
All your files like pictures, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
You can get and look vídeo overview decrypt tool:
***
Price of private key and decrypt software is $980.
Discount 50% available if you contact us first 72 hours, that's price for you is $490.
Please note that you'll never restore your data without payment.
Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours.


To get this software you need write on our e-mail:
***

Reserve e-mail address to contact us:
***

Your personal ID:
***

Apaguei todos os links, emails, e qualquer coisa que possa fazer alguém clicar e ter contato com esses caras, pra ninguém se ferrar também.


Eles tentaram entrar nas redes sociais, mas deu para impedir.

No youtube a maioria dos vídeos sobre esse vírus são de 6 - 7 dias atrás. E em todos esses vídeos tem dezenas de bots falando a mesma mensagem (que a pessoa do vídeo ajudou a resolver o problema). Parece ser mais armadilhas, os caras pensaram em tudo.


Esse amigou achou uma empresa de recuperação de dados aqui do BR pela internet, que cobraram valores altos para recuperar, eles disseram que fariam a intermediação com os sequestradores.


Mensagem da empresa:

"Infelizmente, no seu caso, a única forma de recuperar seus arquivos em curto/médio prazo será pagando o resgate aos criadores do vírus.
Em casos como o seu, nosso laboratório oferece todo o aporte técnico e pessoal para realizar uma negociação com os sequestradores, bem como o suporte para que tenha seus arquivos recuperados perfeitamente e com segurança.
O valor total da recuperação através de nosso serviço é 450 dólares pelo resgate + R$ 100 de taxas de compra e transferência de bitcoin + R$ 1000 pelo suporte e garantia que oferecemos.
Algo em torno de R$ 3500 na cotação atual do dólar
Caso necessite de apenas um único arquivo (de até 500MB), o valor fica entre R$300 e R$ 500, a depender do tamanho e tipo do arquivo.
Oferecemos 100% de garantia em casos como o seu."

Alguém já passou por isso, ou conhece alguém que passou por isso? Esse amigo está totalmente perdido sem saber o que fazer.
Sabem se é confiável pagar a empresa BR para fazer a intermediação? Ou será que são golpistas também? Por que me pergunto como eles conseguem negociar com apenas R$ 3500, sendo que quem criou o vírus pede R$5000+, parecem suspeitos.
Será que se pagar os sequestradores dos arquivos eles os devolverão?


Conhecem alguma empresa realmente confiável que consiga tirar a criptografia?
Ir na polícia resolve alguma coisa?

 

E apenas formatar o notebook já é suficiente pra tirar a infecção?

[Lusitano]

1 hora atrás, RafaelSWR disse:

Todos os arquivos ficaram com o final .vvwq

referente ao ransomware STOP Djvu. Totalmente impossível de recuperar os arquivos sem que se tenha a chave de encriptação e que obviamente só o criminoso a tem.

Caso você tenha backup desses arquivos anterior ao ataque do malware, é possível você novamente ter esses arquivos.

 

1 hora atrás, RafaelSWR disse:

Oferecemos 100% de garantia em casos como o seu.

Isso aí já é conversa para "boi dormir".  A taxa de sucesso de empresas bem conceituadas internacionalmente não atinge nada perto desse valor. E é fácil perceber isso, já que está lidando com criminosos e portanto honra é coisa que dificilmente abundará.

 

1 hora atrás, RafaelSWR disse:

Conhecem alguma empresa realmente confiável que consiga tirar a criptografia?

Tal como dito acima, NINGUÉM a não ser o proprio desenvolvedor do malware poderá fazer isso, já que é ele o único que sabe a chave e neste tipo de criptografia é impossível quebrar por meio de brute force.

 

1 hora atrás, RafaelSWR disse:

Ir na polícia resolve alguma coisa?

Pode e deve denunciar o seu caso as autoridades locais que irão desenvolver esforços na captura do criminoso, mas não espere resultados rápidos quanto a isso.

 

1 hora atrás, RafaelSWR disse:

E apenas formatar o notebook já é suficiente pra tirar a infecção?

Depende, mas em maioria dos casos uma instalação limpa é suficiente. Mas, é perfeitamente possível "limpar" o pc sem ter de estar a formatar. Mas, novamente afirmo que apesar de ser perfeitamente possível desinfetar não será possível recuperar os seus arquivos. Apenas parte de arquivos de imagem são possíveis de recuperar, uma vez que o ransomware geralmente só encripta o inicio do arquivo e no caso de arquivos de imagem isso permite que se recupere alguns e parte desses arquivos.

 

 

[RafaelSWR]

@Lusitano

 

Entendi, muito obrigado mesmo pela resposta. Achei bem difícil achar informações sobre esse vírus em específico nessa variante. Então é um desastre mesmo, agora é ver como arcar com os prejuízos, e talvez até arriscar pagar para o criminoso pra ver se liberam os arquivos.

 

Usando o MediaRepair_Disk deu pra recuperar 1 música, mas só fez esse teste. Agora é entender melhor como usar esse programa e ver se dá pra recuperar vídeos, fotos e áudio.

 

Foi feito B.O, mas sem esperanças.

 

Algo curioso é que os arquivos que estavam na lixeira não foram criptografados, dá pra abri-los quando restaura eles da lixeira, mas não tem nada de importante lá.

 

Esse amigou entrou em contato com o criminoso e o pagamento tem que ser feito em bitcoin, dai mais uma dor de cabeça, pois ele não faz ideia de como que compra e transfere isso, o criminoso até deu o passo a passo de como fazer, mas vai saber se dá certo.

[Lusitano]

9 horas atrás, RafaelSWR disse:

Usando o MediaRepair_Disk deu pra recuperar 1 música, mas só fez esse teste. Agora é entender melhor como usar esse programa e ver se dá pra recuperar vídeos, fotos e áudio.

São muitas as variantes deste malware, mas regra geral apenas os primeiros 150kb dos arquivos são encriptados e nessa variante (.vvwq) são ainda adicionados 334b aos arquivos. Por isso é que possível recuperar alguns arquivos (principalmente foto e vídeo) ou algum outro em que a encriptação tenha falhado. Por isso é recomendavel que tentem recuperar arquivos.

 

9 horas atrás, RafaelSWR disse:

Foi feito B.O, mas sem esperanças.

Você está se referindo a backup? É que se você tem um backup com data anterior á infeção e ele estiver em cloud, pelo menos esses estão salvos.

Sempre digo que segurança são diferentes camadas (fatores) e os backups são uma dessas camadas de segurança e cada vez mais é uma das mais importantes e por isso é que devem ser salvas em diferentes locais.

 

9 horas atrás, RafaelSWR disse:

Algo curioso é que os arquivos que estavam na lixeira não foram criptografados, dá pra abri-los quando restaura eles da lixeira, mas não tem nada de importante lá.

A este tipo de malware foi atribuído o nome de ransomware, precisamente porque ransom é resgate em português. Então, o objetivo do criminoso é ganhar dinheiro com o resgate que será enviar a chave para desencriptar os arquivos. Para que se daria ao trabalho de encriptar arquivos que estão na lixeira, se eles não são do interesse de que sofreu o ataque e logo nunca iria pagar para os voltar a ter

 

9 horas atrás, RafaelSWR disse:

Esse amigou entrou em contato com o criminoso e o pagamento tem que ser feito em bitcoin, dai mais uma dor de cabeça, pois ele não faz ideia de como que compra e transfere isso, o criminoso até deu o passo a passo de como fazer, mas vai saber se dá certo.

Quanto a isso o que posso dizer é que estando a lidar com criminosos, nunca poderá ter a certeza que mesmo pagando eles lhe enviarão a chave. Fica ao seu critério se o risco compensa ou não.

 

Um conselho final. Caso opte por não pagar, não apague os arquivos encriptados. Guarde-os em algum média externo ou cloud, porque futuramente poderá ser possível eles serem recuperados, até porque eles não contêm malware.

 

 

[RafaelSWR]

@Lusitano

B.O no caso é boletim de ocorrência. 

Mas como dito na reportagem do Fantástico do ano passado sobre esse ataque parece que muitos desses criminosos vivem no Leste Europeu e na Rússia (onde no dizer da reportagem até os financiam).

 

E já que não atacam a lixeira talvez é um bom local pra fazer backup kk

 

Agora esses programas de recuperação tipo o Recuva conseguem recuperar os arquivos de alguma forma? Porque eu achava que eles recuperavam só arquivos que foram deletados.

 

E só uma última coisa, qual é o modelo ideal de backup? Ter a cópia no Drive do Google, outra no OneDrive e outra num HD externo? E tem algum antivírus e configuração do Windows que impede a atuação de ransomware?

 

[Lusitano]

28 minutos atrás, RafaelSWR disse:

Agora esses programas de recuperação tipo o Recuva conseguem recuperar os arquivos de alguma forma? Porque eu achava que eles recuperavam só arquivos que foram deletados.

há poucos relatos de sucesso, embora seja possível recuperar parte de arquivos (videos e fotos) pelo fato acima explicado que só é encriptada uma pequena parte do inicio do arquivo e isso no caso destes tipos de arquivo dá para recuperar o resto do arquivo. Vai tudo depender de você tentar recuperar o que der e caso consiga recuperar alguns já será bom.

 

30 minutos atrás, RafaelSWR disse:

E só uma última coisa, qual é o modelo ideal de backup?

Regra 3-2-1

 

32 minutos atrás, RafaelSWR disse:

E tem algum antivírus e configuração do Windows que impede a atuação de ransomware?

O próprio windows defender já faz essa proteção. Mas entenda que segurança para ser eficaz ela é feita por diversas camadas (fatores) de proteção e o antivírus é apenas uma dessas camadas. Outras camadas são desde logo você mesmo, pois o uso responsável do seu pc parte de si. Outras camadas, são por exemplo, firewall, atualizações de software e hardware, backups, etc etc. E é bom lembrar que isto é o "jogo do gato e do rato", os criminosos tentam sempre estar na frente e vão explorando as vulnerabilidades dos sistemas e a irresponsabilidade de alguns usuários que não se protegem devidamente.

 

[mick 07]