Como recuperar arquivos encriptados por ransomware
Certamente você ouviu falar em ransomware após o desastre causado pelo WannaCry. A má notícia é que, além dele, há vários outros malwares com o mesmo aspecto: bloquear arquivos ou mesmo um disco rígido inteiro com uma chave criptográfica e pedir o pagamento de um resgate em criptomoedas para liberar os seus dados.
Se isso aconteceu com você ou com os computadores da sua empresa — já que os hackers têm mirado vítimas com maior potencial financeiro —, leia as informações, reconheça qual malware o infectou (é mais comum no Windows) e busque a chave.
O que é ransomware?
O ransomware é um malware que bloqueia o acesso do usuário na máquina ou em determinados arquivos e envia mensagens pedindo um resgate, quase sempre cobrado em bitcoins. Por isso, é comum ouvir que o ransomware “sequestra computadores”.
Há malwares do tipo ransom que cifram pastas e arquivos pessoais (documentos, planilhas, fotos e vídeos), outros que bloqueiam a tela do computador, há ainda aqueles que encriptam todo o HD ou um número considerável de arquivos e, além disso, há variantes para dispositivos móveis, sobretudo Android, por meio de aplicativos falsos.
Quando acontece, você não consegue recuperar os seus dados sem pagar o resgate. Especialistas afirmam que, mesmo após o pagamento, a recuperação não é garantida e orientam a vítima a não pagar, para que não se propague o crime de extorsão.
Como fui infectado?
Normalmente, uma infecção tem início por meio de um e-mail com um anexo executável (.exe), um arquivo comprimido (.zip), um documento do Office com macros, entre outros arquivos que processam ações na sua máquina. O anexo é aberto pelo dono do computador e malware é executado. Mas o ransomware também pode ser distribuído através de sites, e que quando o visitante acessa é infectado sem perceber.
Em computadores desprotegidos (sem antivírus), o malware opera de forma silenciosa até que a cifragem seja concluída. Depois, é o mais barulhento possível: ele trava as ações no PC e mostra uma mensagem informando que os dados foram bloqueados e solicita o pagamento do resgate. Nesta fase, é quase impossível reverter essa situação.
No More Ransom, a solução
Entretanto, se você foi infectado por um ransomware, talvez não tenha perdido seus arquivos de forma definitiva. Fabricantes de antivírus e entidades internacionais se uniram para criar o “No More Ransom” — site que reúne chaves de ransomware já decifrados.
O projeto é jovem mas já tem um número razoável de chaves. Nasceu em 2016, uma iniciativa da Unidade de Crime de Alta Tecnologia da Polícia Holandesa, do European Cybercrime Centre (EC3) da Europol e das fabricantes de antivírus: Kaspersky e McAfee.
Como descobrir qual ransomware infectou meu PC
A primeira coisa que você precisa fazer é usar o Crypto Sheriff, uma ferramenta para identificar o ransomware que infectou e verificar se já existe uma solução disponível.
- Acesse a página do Crypto Sheriff (nomoreransom.org/crypto-sheriff);
- Preencha o seguinte formulário e faça upload de dois arquivos cifrados;
- Atente que o tamanho não pode ser maior que 1 MB;
- Indique o endereço de e-mail ou site presente na mensagem de resgate;
- Coloque esta informação exatamente como aparece na mensagem de resgate.
A ferramenta vai tentar identificar a criptografia usada nos arquivos e analisar se já existe uma chave para desbloquear o que você precisa. Aguarde e siga os passos.
Você pode fazer buscas por chaves disponíveis (nomoreransom.org/decryption-tools).
Como o No More Ransom obtém as chaves
É possível desvendar a chave para os arquivos bloqueados quando os autores do malware fizeram um erro de implementação, tornando possível quebrar a criptografia (Petya e CryptXXX). Ou, em casos em que os autores arrependem-se do dano que causaram (ou cansam) e publicam todas as chaves, ou uma chave mestra (TeslaCrypt).
Agências policiais e autoridade de segurança também podem vir a recuperar servidores com chaves e compartilham as mesmas com o projeto (CoinVault) para ajudar vítimas.
Outras ferramentas de descriptografia de ransomware
As fabricantes de antivírus e empresas de segurança também oferecem ferramentas gratuitas de descriptografia online, organizadas por nome. Guarde os links abaixo.
- AVG
- Avast
- ESET
- Kaspersky
- TrendMicro
- McAfee