[TI] Cuidado com o TeslaCrypt (.vvv)

A19D55 COMPUTER CIRCUIT BOARD WITH BINARY CODE

Resolvi escrever de forma sucinta algo sobre este trojan, depois que meu amigo Lincoln recebeu a ligação de sua esposa, informando que todos os aquivos estavam com nomes diferentes, com final .vvv;

O TeslaCrypt pode chegar ao seu computador através do plugin Flash Player (que em breve será 100% substítuido pelo HTML5). Ele varre todos os arquivos no disco rígido, os criptografa e o renomeia para, por exemplo: [nomearquivo.docx.vvv], fazendo com que o usuário não consiga abrir o respectivo arquivo, mesmo renomeando e/ou retirando tal extensão.

Este trojan já é bem conhecido na área de TI, mas, sofreu algumas atualizações e voltou mais forte e com uma maior complexidade de ser removido.

O que fazer ?

Sempre que falamos de vírus, trojans, spywares etc, já fica aquela dor de cabeça prévia e medo de acontecer o pior, em alguns casos a remoção é tranquila, em outros, nem tanto.

Caso você não trabalha com informática, ou não tem muita familiaridade (Usa apenas para estudos, navegar na internet, ver um vídeo etc), a dica é:

  • Limpe o histórico de todos os navegadores (Google Chrome, Internet Explorer etc). Este procedimento é importantissimo neste caso, pois o Flash Player é um plugin de vídeo. Sabe aquela novela, vídeo, show que as vezes você pelo PC ? Pois bem, muitas vezes você assiste usando o Flash Player;
  • Verifique se o anti-vírus do seu computados está instalado e atualizado;
  • Tenha sempre um backup(cópia) dos arquivos que você considera mais importantes;
  • Evite enviar qualquer arquivo para um amigo ou familiar, sem antes ter certeza que a integridade do Sistema está OK;
  • Se perceber que ago esta estranho (lento, reiniciando, mensagens e alertas atípicos etc), procure um profissional de TI de sua confiança e informe tal situação. Caro ? uma consulta de um técnico em SP, por exemplo, sai por uns R$ 80,00. O que você prefere, perder todos os seus dados, ou gastar este valor ?

Caso você já tem uma boa noção ou trabalha na área:

  • Procure um bom removedor de RansonWare (SpyHunter, por exemplo);
  • Caso tal aplicativo não resolva, você pode fazer o procedimento manualmente:
  1. Mate o processo cha,ado RansonWare (ctrl + shift + esc);
  2. Entre no diretorio Roaming (%appData%/Roaming) e delete tal executável;
  3. Entre no Editor de Registro (regedit) : Iniciar > executar > regedit;
  4. Delete arquivos suspeitos em: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun e HKEY_CURRENT_USER

Este procedimento é apenas para remoção do trojan.

Com a infecção e com os arquivos criptografados, é possível normalizá-los ?

Infelizmente, não. Sempre que falamos de arquivos criptografados, dificilmente conseguimos recuperá-los sem suas respectivas chaves (simétrica, assimétrica, pública, privada etc). Portanto, sempre bato nessa tecla: “FAÇA BACKUP SEMPRE QUE POSSÍVEL !”

*Este procedimento é válido somente em ambiente Microsoft Windows.

Referências:

TelasCrypt

RansomWare

Trojan (Cavalo de Tróia)

Um pouco mais sobre Vírus

 

Leave a Reply

Your email address will not be published. Required fields are marked *