Hoje vamos deixar um alerta para o vírus CryptoWall que continua invadindo redes em todo o
mundo. Esse vírus é de abril de 2014, mas ainda continua com força total e
prejudicando muitos usuários, empresas e administradores de infraestrutura.
Quando sua rede é infectada, diversas extensões de arquivos são criptografadas
e apenas serão descompactadas com o pagamento de um valor via Bitcoins por um
endereço que muda por cada usuário infectado.
Veja a tela do arquivo que é espalhado em sua rede em diversas pasta
infectadas:
Esse vírus é distribuído através de arquivos anexados por e-mail ou por
acesso a sites maliciosos. Nesse momento é muito importante rever suas configurações
de segurança ao usuário final para não ter um surpresa com essa praga.
Importante: Atualmente não existe nenhuma forma de descriptografar esses arquivos após sua infecção. Única oportunidade de lhe salvar é tendo um bom backup atualizado e “fechado”, como por exemplo, “Windows Server Backup” ou “Cópia de Sombra”. Outras ferramentas de backup como “Cobian Backup”, podem até lhe salvar, mas por serem arquivos abertos, poderão ser infectados ao tentar restaurá-los em seus locais originais.
O Windows Server Backup trabalha com extensão VHD e XML, portanto essaS extensões não são atacas pelo vírus.
Confira na lista abaixo as extensões atacadas pelo vírus:
· xls
· wpd
· wb2
· txt
· tex
· swf
· sql
· rtf
· RAW
· ppt
· png
· pem
· pdf
· pdb
· PAS
· odt
· obj
· msg
· mpg
· mp3
· lua
· key
· jpg
· hpp
· gif
· eps
· DTD
· doc
· der
· crt
· cpp
· cer
· bmp
· bay
· avi
· ava
· ass
· asp
· js
· py
· pl
· db
· c
· h
· ps
· cs
· m
· rm
Se você for atacado, precisa criar um plano de ação para impedir a
propagação em sua rede. Veja no exemplo em uma máquina infectada pelo vírus e
seus respectivos caminhos:
Geralmente o aplicativo “.EXE” fica alocado na raiz
do C: com um nome de pasta aleatório por cliente infectado. Ao visualizar esse
arquivo, delete-o imediatamente.
Faça uma busca no registrador da máquina com o mesmo nome aleatório
encontrado e delete as entradas encontradas.
Veja outro caminho
onde a praga pode se alocar.
Outras pastas para verificação são:
% Temp%
C: \ \ .exe
% Dados do aplicativo%
% LocalAppData%
% Dados do Programa%
Revise todas suas estações de trabalho. Se o
cenário for muito grande, utilize uma estação que não tenha arquivos
importantes.Nunca acessar através de seu servidor para limpar as estações infectadas,
pois isso poderá agravar na propagação.
Observação: Nenhum antivírus é capaz de descriptografar esses arquivos após a infecção. Muito importante revisar seus backups, pois é a única forma de salvar seus dados e seu dia. Outra opção é utilizar a cópia de sombra, isso ocupará mais espaço em seus discos, mas ajudará na recuperação com as versões anteriores dos arquivos.
Um aviso para seus usuários, para ficarem atentos na abertura de anexos desconhecidos, também é uma boa recomendação para todas as empresas. Trabalhe em um e-mail para avisá-los e se possível uma pequena reunião ou palestra para alerta geral.
Esperamos que essa
dica ajude a todos a se defenderem dessa praga que já algum tempo vem causando
problemas graves no mundo todo.
http://www.cooperati.com.br/2015/07/20/virus-criptografa-arquivos-cryptowall-help-decrypt/