Como remover BUYUNLOCKCODE Ransomware [duplicado]

5

Um ransomware parece estar circulando nas últimas semanas. Ele criptografa arquivos de dados e cria uma nota de resgate BUYUNLOCKCODE.txt em todos os diretórios onde um arquivo foi criptografado.

Este arquivo buyunlockcode.txt contém instruções e um e-mail que você deve contatar para receber instruções de pagamento. Os endereços de e-mail conhecidos são [email protected] e [email protected], embora isso provavelmente mude com o tempo. No momento, o valor do resgate é desconhecido.

O texto do BUYUNLOCKCODE.txt é:

Hi, your ID = JSOXXXXXXXX

All important files were encoded with RSA-1024 encryption algorithm. There is the only way to restore them - purchase the unique unlock code.

Warning! Any attempt to recovering files without our "Special program" will cause data damage or complete data loss. As we receive your payment, we will send special program and your unique code to unlock your system.

Guarantee: You can send one of the encrypted file by email and we decode it for free as proof of our abilities.

No sense to contact the police. Your payment must be made to the e-wallet. It's impossible to trace. Don't waste your and our time.

So, if you are ready to pay for recovering your files, please reply this email [email protected]

Then we will send payment instructions.

Alguém tem alguma idéia de como resolver esse problema?

    
por hsawires 12.01.2015 / 13:43

2 respostas

3

Sua pergunta é

How to remove BUYUNLOCKCODE Ransomware

A resposta: Use um programa antivírus.

No entanto, sua postagem tem outras dúvidas. Você não tem idéia de outras coisas que o vírus poderia ter feito em sua máquina. Só porque você pode ver que os arquivos são criptografados não significa que não tenha feito mais nada do que você não conhece atualmente.

Se os arquivos são criptografados, você não pode recuperá-los (eu uso a palavra não pode livremente, eu diria altamente improvável (quase impossível, especialmente sem o equipamento e conhecimento corretos) e tempo))). É por isso que você teria que pagar pela chave, mas há a dúvida de que você receberá a chave mesmo que pague. No entanto, é normalmente que eles restaurem os arquivos, pois isso dá aos atacantes uma reputação (ironicamente) confiável de que eles permanecem fiéis às suas palavras (ou seja, outras vítimas irão pagar).

Independentemente disso, depois de recuperar ou não os arquivos, você precisa limpar a máquina, reformatá-la totalmente. Em seguida, restaure os arquivos de um backup (ou pelo menos a partir de agora, sempre faça backup).

Também devo destacar que, quando infectado com coisas como essa, é muito importante remover a máquina da rede, pois esses tipos de vírus geralmente se disseminam facilmente.

    
por 12.01.2015 / 15:43
3

Não é uma boa notícia, mas pode haver algumas coisas que você pode fazer para ajudar.

A primeira coisa que você precisa fazer é colocar o sistema operacional infectado offline.

Há uma boa chance de que, além de criptografar os arquivos, os criminosos também instalaram algum software que será carregado no sistema operacional quando ele for inicializado; esse software provavelmente será configurado para assistir aos arquivos criptografados, para que, se forem adulterados, possam tomar as medidas adequadas.

O que você precisa é de um PC Windows limpo que inicialize sem nenhuma infecção presente, então você pode tirar o disco rígido do PC infectado e instalá-lo neste PC limpo.

Você deve ter absoluta certeza de que NÃO executa nada no disco rígido infectado, e isso também significa coisas como documentos do Word, páginas em HTML, arquivos de script java e também arquivos óbvios, como arquivos EXE.

Copie os arquivos que você deseja recuperar (não se preocupe com arquivos do sistema operacional / windows ou arquivos de programas, você os reinstalará mais tarde), mesmo que o arquivo esteja criptografado, você poderá ter a chance de descobrir a chave de criptografia.

Depois de copiar os arquivos que você deseja tentar recuperar, desconecte o disco rígido infectado para que não ocorram acidentes para colocar o vírus no PC limpo.

A partir daí, se os arquivos que você recuperou não estiverem criptografados, protejam-nos e limpem completamente o disco rígido infectado, reinstale as janelas e os aplicativos e copie os arquivos recuperados.

Se os arquivos recuperados forem criptografados, será necessário encontrar uma maneira de descobrir exatamente como e como você pode desfazer a criptografia.

O importante aqui é colocar os arquivos em um computador limpo, embora não seja uma solução completa, deve levar você ao menos a uma posição em que você possa examinar e tentar desfazer a criptografia sem medo de perder sua operação sistema todos juntos.

Depois de ter seus arquivos em um PC limpo, pode ser apenas um caso de encontrar um programa que descriptografa arquivos criptografados com o RSA-1024, e tenta códigos diferentes até encontrar um que funcione.

Se você tiver alguma habilidade de programação, o Windows incorporou rotinas de sistema operacional na estrutura .NET que pode descriptografar dados RSA de diferentes tipos, você pode escrever um pequeno programa que passa por tentar códigos diferentes.

Também ajudaria se você soubesse o formato de "um código", é apenas um número direto, é uma seqüência de números e letras, se você sabe que é sempre 6 dígitos então tudo que você tem que tentar são combinações de 000000 a 999999, com certeza demorará muito tempo, mas se o seu arquivo for importante, então é tempo bem gasto.

Lembre-se também que muitos desses grupos criminosos são usuários do malware, e não dos criadores, então muitos deles são apenas "Business Minded" procurando ganhar dinheiro, isso significa que vai depender do que o malware pode fazer , mas geralmente não será capaz de fazer algo extra.

Isso significa que, se você puder desativá-la, poderá pelo menos remover a capacidade de controlar ainda mais a situação e, depois de fazer isso, você geralmente removerá sua capacidade de matar tudo no PC, caso não pague.

Se você acabar pagando e receber um código e um aplicativo para removê-lo, postá-lo em algum lugar para os outros usarem, já ouvi falar de alguns casos em que o mesmo código vai desbloquear várias infecções devido à maneira como o software funciona Assim, quanto mais desses códigos e desbloqueadores formos para o domínio público para os outros tentarem, mais dificilmente faremos com que essas pessoas mantenham as pessoas aleatórias.

Em resumo, antes de tentar fazer qualquer coisa, coloque seus arquivos em um PC limpo, só então você pode começar a avançar.

Pelo que eu sei, no momento há NO UNIVERSAL FIX para reverter esse malware, existem ferramentas para remover a infecção, mas essas ferramentas ainda deixam o usuário com arquivos criptografados.

    
por 12.01.2015 / 14:21