Ir ao conteúdo
  • Cadastre-se

Arquivos criptografados com extensão ".4ELP"


Posts recomendados

Fala pessoal!

 

Na semana passada, eu tive a infelicidade de ter o meu computador infectado por um Ransomware. E aí, já sabem né!? TODOS os meus arquivos do computador foram criptografas bem no meio da semana quando que eu tinha que dar conta dos meus deveres da faculdade, entre outras coisas. Pois estavam lá, meus arquivos todos criptografados e o computador infectado. Perdi todos os arquivos que eu tinha dos meus semestres anteriores da faculdade e os desse semestre também (arquivos importantíssimos). Além de perder todas as minhas Músicas que eu gosto de organizar editando as informações de título, artista, álbum, etc (coisa de 1 ano pra mais editando e reunindo as músicas). Por fim, a solução que eu encontrei foi armazenar todos esses arquivos criptografados em uma partição que criei do Disco Rígido e formatar o computador. Fiz isso e deu tudo certo. O Ransomware se foi, porém meus arquivos continuam aqui criptografados e eu me sentindo totalmente incapaz de resolver esse problema. Gostaria de saber se tem algum modo para descriptografar esses arquivos, alguma ferramenta que vá descriptografar esse tipo de arquivo, ou alguém que esteja trabalhando em uma ferramenta dessa ... enfim, se vocês sabem de ALGO que eu possa fazer e se eu tenho esperanças de algum dia alguém desenvolver a "chave" para descriptografar esses arquivos com esse tipo de infecção ".help".

 

Desde já, agradeço a ajuda de todos. Estou encaminhando em anexo uns prints que mostram o formato da criptografia dos arquivos e, logo aqui embaixo, a mensagem que foi deixada em um arquivo .txt pelos criminosos.

 

Espero que eu consiga ajuda com vocês. Abraço, fiquem com Deus.

 

OBS: Eu coloquei um "4" no lugar do "h" e um "3" no lugar do "e" no título porque o Clube do Hardware não estava me deixando realizar a postagem. Informando que não permite tópicos contendo a palavra "help" porque eu tenho que descrever com exatidão o problema e que tenho uma chance menor de ser respondido colocando "help" no título, ou seja, erro do sistema que tava achando que o "help" era todo o conteúdo do meu título.

 

Mensagem deixada no arquivo "info.txt" pelos criminosos:

"All you files have been encrypted due to a security problem with your PC. If you want to restore them, there are two way of contact.

Mail contact - helprecover@foxmail.com
Jabber contact -     recoverhelp2020@thesecure.biz 

- https://www.wikihow.com/Create-a-Jabber-Account
- https://psi-im.org/download/
- Once you created a jabber account. Make sure you add the contact first and wait for our approval to begin sending message.
- Directly messaging us with out accepting your request will result to Forbidden message


Free decryption as guarantee

Before paying you can send us up to 5 files for free decryption. The total size of file must be less tthan 4mb(non achieved), and files should not contact valuable information. (databases, backups, large excel sheets, etc.)


Where to buy bitcoins? 

 * The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 
   'Buy bitcoins', and select the seller by payment method and price: 
https://localbitcoins.com/buy_bitcoins
 * Also you can find other places to buy Bitcoins and beginners guide here:   
http://www.coindesk.com/information/how-can-i-buy-bitcoins

Attention!   
 * Do not rename encrypted files. 
 * Do not try to decrypt your data using third party software, it may cause permanent data loss.  
 * Decryption of your files with the help of third parties may cause increased price  
   (they add their fee to our) or you can become a victim of a scam.
"

Criptografia dos arquivos 1.JPG

Criptografia dos arquivos 2.JPG

Link para o comentário
Compartilhar em outros sites

  • Analista de Segurança

Caro @Eracton Melo

 

Seu Windows foi infectado pelo Phobos Ransomware e GlobeImposter/GlobeImposter 2.0 e infelizmente não há ferramenta capaz de descriptografar os arquivos, lamento.

 

Você pode verificar fazendo upload de um dos arquivos afetados:

 

ID Ransomware ou Emsisoft Identify your ransomware

 

Mais informações sobre ransomware: Ransomware .STOP, .Puma, .Djvu, .Promo, .Drume, etc

 

Abraços e boa sorte!

  • Triste 1
Link para o comentário
Compartilhar em outros sites

@diego_moicano realmente, vi nos sites que é o Phobos e que não há ferramenta para descriptografar, porém, eu posso ter a esperança de que, algum dia, um especialista desenvolva a ferramenta para descriptografar esse tipo de arquivo ou esse tipo de criptografia não tem salvação?

  • Curtir 1
Link para o comentário
Compartilhar em outros sites

  • Analista de Segurança

@Eracton Melo , a questão aí é matemática.

 

Veja, para quebrar (descobrir/revelar) uma senha pode se utilizar dois métodos: 1) força bruta; 2) wordlist, também conhecido como 'ataque de dicionário'. No primeiro caso se faz por tentativa e erro/acerto(!), já no segundo, usa-se uma lista de palavras conhecidas. Eu acredito que o segundo método é ineficiente contra arquivos criptografados no caso de ransomware, sendo assim só restando o primeiro método e aí é que entra a matemática. Veja:

 

Se a senha for curta e só possuir números a quebra é rápida, agora se for longa e com todos os tipos de caracteres aí a quebra é muito demorada, dependendo da combinação usada para elaborar a senha, pode demorar séculos para ser quebrada.

 

Por outro lado, algum(ns) usuário(s) que teve(tiveram) seu(s) sistema(s) infectado(s) e pagou(pagaram) o resgate por vez(es) repassa(m) a(s) chave(s) que usou(usaram) para descriptografar seus arquivos para empresas de antivírus e que fazem tools para este fim, porém, nem sempre a chave deles serve para outros usuários.

 

Enfim é uma espécie de loteria.

 

Abraços

  • Curtir 2
Link para o comentário
Compartilhar em outros sites

  • 2 semanas depois...

@diego_moicano Diego, te agradeço imensamente pelas informações. Foram bem esclarecedoras. Obrigado. Mais uma coisa, não existe um programa, como em filmes, que execute automaticamente várias combinações de números, letras, simbolos, etc, realizando o método de força bruta, automaticamente? O programa, por si só, ficaria tentando descobrir qual a senha utilizando de várias combinações diferentes ...

Link para o comentário
Compartilhar em outros sites

  • Coordenador

@Eracton Melo existir, existe, só que os ransomwares são muito mais complexos do que simplesmente tentar adivinhar a chave, eles usam um método que levaria séculos pra descobrir a chave por força bruta. Veja que nesse site (https://www.nomoreransom.org/pt/index.html) existem diversas empresas de segurança e órgãos públicos unidos contra os ransomwares, se fosse tão simples assim de resolver (usando um programa de força bruta) seria uma maravilha.

 

Dê uma olhada no tópico abaixo, existem informações pra você entender melhor como o ransomware funciona:

 

 

  • Curtir 1
Link para o comentário
Compartilhar em outros sites

@mick 07 entendi, Mick. Realmente parece que existem várias empresas envolvidas na tentativa de solução de chaves para decriptar Ransomware's. Estou assistindo o vídeo que me recomendou, bastante interessante. É uma questão mais matemática do que técnica. Espero que daqui a pouco tempo alguem desenvolva a chave para decriptar o tipo de ransomware que me infectou ou que alguem que tenha pago pelo resgate, a disponibilize na internet.

 

Link para o comentário
Compartilhar em outros sites

Crie uma conta ou entre para comentar

Você precisa ser um usuário para fazer um comentário

Criar uma conta

Crie uma nova conta em nossa comunidade. É fácil!

Crie uma nova conta

Entrar

Já tem uma conta? Faça o login.

Entrar agora

Sobre o Clube do Hardware

No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas comunidades sobre tecnologia do Brasil. Leia mais

Direitos autorais

Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

×
×
  • Criar novo...

Como se tornar um desenvolvedor full-stack

EBOOK GRÁTIS!

CLIQUE AQUI E BAIXE AGORA MESMO!