PplWare Mobile

Alerta Máximo: CryptoL0cker volta a atacar utilizadores

                                    
                                

Este artigo tem mais de um ano


Autor: Pedro Pinto


  1. Maraduxo says:

    Um dia destes vamos ter de usar dois computadores…
    Um para navegar na net e outro para guardar as nossas fotos, vídeos e etc…
    Mais triste é quem não tem copias de nada, para quem tem, é só formatar.

  2. transcendez says:

    Já me passou pelas mãos um pc infectado…perda total dos dados! Não havia políticas de backup implementadas, nem firewall, antispam, nem antivírus. Descalabro total.

  3. Redin says:

    “O CryptoL0cker chega “escondido” num suposto e-mail ”

    está tudo dito e mais não digo.

  4. Claudio says:

    Tive esta semana o contacto com o referido vírus. Encriptou-me uma base de dados Sql. O ficheiro Mdf e os logs ficaram encriptados. A minha salvação foi os backups que tinha. Ttal como descrito no artigo também veio por um mail dos Correios de Espanha, que foi aberto num posto da rede.

  5. Filipe says:

    Então e para a primeira versão de 2013 o CryptoLocker já existe solução?

    Sem ser pagar a quantia exigida pelos atacantes óbvio 🙂

  6. Ricardo Raimundo says:

    Uma questão: Isto não afeta os backups em cloud certo?

    • David Cordeiro says:

      Errado:
      Se os backups estiverem acessíveis no pc, como por exemplo no dropbox, ou outros equivalentes, ficam também encriptados..
      Já tive um cliente que perdeu TUDO porque tinhas discos USB com backups, mas como estavam ligados +á maquina ficaram também encriptados…
      O melhar mesmo é efectuar um backup periodicamente e desligar-lo da maquina ou da rede para não ser “contaminado”…

      • Ricardo Raimundo says:

        Djisaz!
        E se os ficheiros já estiverem encriptados? Isso encripta por cima da encriptação?

      • W10 Incoming says:

        Calma lá com isso. Que eu saiba em cloud hosting tens um sistema de versões, certo? Podes ir ao site da Dropbox e reverter os ficheiros para um estado anterior à encriptação. Ou estarei a pensar mal?

        • David Cordeiro says:

          Errado outra vez:
          Essas varias versões do ficheiro estão alojadas localmente também….
          Logo, podem ter a mesma sorte que as originais….

          • W10 Incoming says:

            Parabéns, conseguiste estar errado e ser arrogante ao mesmo tempo ao ponto da estupidez.
            As versões são alojadas NA CLOUD. Quando alteras um ficheiro localmente ele é sincronizado com o servidor e remotamente é criada uma nova versão que posteriormente pode ser revertida no site. As versões não estão localmente. Falo da Dropbox e do MeoCloud os outros não conheço mas deve ser igual.

    • David Cordeiro says:

      Errado:
      Se os backups estiverem acessíveis no pc, como por exemplo no dropbox, ou outros equivalentes, ficam também encriptados..
      Já tive um cliente que perdeu TUDO porque tinhas discos USB com backups, mas como estavam ligados +á maquina ficaram também encriptados…
      O melhor mesmo é efectuar um backup periodicamente e desligar-lo da maquina ou da rede para não ser “contaminado”…

      • N. Carvalho says:

        A um conhecido meu aconteceu isso, um funcionário, “iluminado” decidiu carregar num link e encriptou-lhe TUDO, no computador dele, nas pastas partilhadas que o funcionário tinha direito de escrita no servidor, inclusivé no dropbox. O virus ou o raio que é isto é manhoso, primeiro, apaga o ficheiro e deixa no seu lugar uma cópia encriptada. O que o safou foi um backup e o dropbox, pois, foi possível repor as versões dos ficheiros que foram apagadas. Foi muito complicado, pois, era informação importante e perdeu-se tempo, e tempo é dinheiro. Solução imediata para futuro: está a migrar todos os pc’s para linux à excepção do servidor por causa do raio do erp que corre em sql.

  7. Fucking Cunt says:

    Já recebi muitos pc´s no local de trabalho com essa situação, usando o shadow explorer por vezes dá para resolver o problema, não tenho tempo para fazer um tutorial agora, mas penso que o pessoal aqui do pplware poderá fazer isso.

  8. Cris says:

    A solução é matar quem faz este tipo de malware, para dar o exemplo. A outra solução é clonar o disco semanalmente, como eu faço.

  9. Rui Peixeiro says:

    Pelas mão passou-me um PC com o Ransom (Gen 3), que usa a mesma técnica de encriptação e o mesmo método para desbloquear a situação.
    Solução, visto que não havia backups e alguns ficheiros eram imprescindíveis, acabaram mesmo por pagar!
    E até que foram “simpáticos”, visto que já estava a terminar o prazo sem terem os bitcoins disponíveis e alargaram-no por forma a pagarem “só” os 500€…

  10. Miguel Teixeira says:

    Boas, aconteceu-me exactamente isto há cerca de 15 dias…. todos os ficheiros encriptados e o resgate eram 500 dólares, por grande sorte tinha copiado todos os dados do PC para um disco externo para posteriormente organizar pois queria formatar o PC, após a formatação usei dois dias sem antivírus e os ficheiros que foram enciptados foram algumas musicas que descarreguei do meo music e o conteudo de um, cartao sd que copiei.Não fui atacado via email teve que ser de uma outra forma resumindo tinha copias de tudo mas chegou para o susto, e fico a pensar e se volta a acontecer?

  11. W10 Incoming says:

    Desde à anos para cá que uso Windows8. Uma das vantagens desde W odiado por todos é uma funcionalidade chamada FileHistory que faz backups automaticamente, e tem inclusive,um sistema de versões. PC & LAPTOP + FileHistory a fazer backup para um NAS = segurança = mostrar o dedo do meio a esses vírus parvos.

  12. Silva says:

    Como os pessoas ainda clicam nos links dos email desconhecidos é que fico parvo.
    Num sistema empresarial com varios utlizadores ainda compreendo porque á muita gente sem jeitinho, e mesmo com frequencias cursos, palestras, etc, ainda clicam em tudo que é pop up e abrem os mails todos.

  13. Paulo silva says:

    Já passaram por mim dois PCs com outra variante igualmente perigoso. O CTB LOCKER
    não consigui remédio ainda. E muito bem elaborado e os antivirus não detectam

  14. quem avisa says:

    boas, nao sera tambem passado através de emails da DHL? recebi 2 ultimamente,basicamente tudo em alemao, e depois tem la um zip para se guardar no pc, eu declinei logo

  15. Ed says:

    ja existe a algum tempo este programa e tem tido sucesso em prevenir que o cryptolocker corra

    http://www.foolishit.com/cryptoprevent-malware-prevention/

    e tem o extra de também impedir imensos malwares

  16. Luis Costa says:

    Uma duvida, se este malware encripta vários documentos quais são as pastas prediletas? Tendo um ficheiro de texto com 3 letras lá dentro, não dara para ser usado para fazer reverse engenering para descobrir a passe?

    • Alex says:

      Eles ou usam ecsda ou aes com iv, e as keys nao devem ser “123456”…

      Quem pode fazer isso a brincar não faz porque estão ocupados a espiar todos os cidadãos..

  17. Alex says:

    Tá-se uso linux
    Alem de que “O CryptoL0cker chega “escondido” num suposto e-mail oficial dos correios espanhóis. ” Serio? quem abre anexos á toa? Verificaram o servidor do remetente ? Nome ? Ip?

  18. Sérgio S says:

    Aconteceu com um cliente meu e eles optaram por pagar os $3000 em Bitcoins. Tinham mais de 10 anos de facturação e dados da empresa demasiado importantes que não podiam dar-se ao luxo de perder. Havia backups, mas como o disco externo estava ligado ao pc, até os backups foram encriptados. E pensar em desencriptar por bruteforce é fútil, porque são capazes de ter de esperar muuuitos anos por um resultado; eu vi a pass e era estupidamente longa. Aliás, eram três passwords, mas só a primeira é que era muito complexa.

    O Cryptlocker chega por e-mail, a pessoa clica e ele instala um backdoor, a partir daí eles fazem o que quiserem.

  19. rpqueiros says:

    Uma dúvida, provavelmente básica, mas como não sei a resposta aqui fica 🙂 :

    Numa rede que o servidor faz backups para um NAS, se alguma máquina for infectada o NAS também poderá ser infetado???

    • W10 Incoming says:

      Diz na wikipedia:

      ” the malware encrypts certain types of files stored on local and mounted network drives”

      É um bocado genérica esta fala mas deduzo que se tiveres uma pasta de rede montada e acessível no Meu computador em principio também vai “à vida”. Tudo o que aparecer no meu computador desde pens a discos externos a pastas de rede vai tudo a eito. Agora imagina que usas uma pasta em rede mas não a tens montada e tens as credenciais gravadas. Este é o meu cenário. Nesse caso não sei se o programa é experto o suficiente para lá ir.

      • rpqueiros says:

        Pois, a minha dúvida é essa…

        A única máquina que tem acesso ao NAS é o Servidor e não está mapeada.

        No entanto tenho postos de rede que tem mapeamento ao servidor….

        Isto é assustador pois é bem capaz de ser possível o cenário :
        Posto -infeta-> Servidor 2013 -> infeta -> NAS ????

  20. Ru1Sous4 says:

    Os discos ligados ao PC com bitlocker, sendo que não estão “abertos” podem ser afectados?

  21. Yordanov says:

    Usam linux… Nada disto acontece 🙂

  22. Pedro says:

    Para evitar isso, é só criar uma conta bloqueada, sem ser administrador e dentro da mesma ter uma maquina virtual, assim só é afetado dentro da maquina virtual, se acontece alguma coisa é so repor a imagem.

    A maioria das pessoas usa a internet com o utilizador administrador, e não deve, até deve ter pelo menos 3 contas e bloqueadas e uma administrador

  23. Manuel Moura says:

    Alguém tem conhecimento de sistemas GNU/Linux que tenham sido afetado?

  24. Alberto Silva says:

    Costuma-se dizer, toda a segurança é pouca, mas havendo falta de cuidado, é pior. Muito pessoal, infelizmente só aprende quando o fogo lhe chega ao rabo.

  25. joao says:

    Se tiverem sorte os ficheiros esta na shadow Copy do windows

  26. pedro says:

    pois é .. queria guardar este artigo em pdf …. mas já não dá!!! desde o novo site do pplware, acrescentar .pdf ao endereço já não funciona como antes!!!!

  27. Joao128 says:

    Vitor M. resumindo todo estes comentários ja ha alguma solução para este novo ransomware, o meu Pc está infectado agora no dia 18/05

Deixe um comentário

O seu endereço de email não será publicado.

You may use these HTML tags and attributes: <a href="" title="" rel=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

Aviso: Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.