Escala de gravidade:  
  (99/100)

Vírus ransomware CryptoMix. Como remover ? (Guia de desinstalação)

Jake Doevan de escrito por... - - | Digite: Ransomware
12

Foi lançada uma nova variante do CryptoMix em Julho de 2017

An image of CryptoMix virus

O CryptoMix é um vírus encriptador de ficheiros descoberto na Primavera de 2016 e atualizado várias vezes desde então. Peritos em segurança conseguiram quebrar o código de várias variantes e criaram um software de desencriptação. Todavia, os ciber-criminosos lançaram novas versões do ransomware.

Em Julho de 2017, analistas descobriram um nova variante a propagar-se na Internet. Tal como a anterior variante do ransomware CryptoMix Wallet e Azer, o recentemente aparecido vírus ransomware Exte ainda não é desencriptável. Assim, é melhor tomar precauções para evitar estes vírus.

Este cripto-malware infiltra furtivamente os computadores das vítimas com o auxílio de spam. Assim que o faz, encontra os ficheiros predeterminados e encripta-os com um sofisticado algoritmo de encriptação RSA-2048. Originalmente, o malware anexa a extensão de ficheiro .email[supl0@post.com]id[\[[a-z0-9]{16}\]].lesli or .lesli aos ficheiros alvo.

Outras variantes poderão marcar ficheiros encriptados com as extensões .CRYPTOSHIELD, .code, .revenge, .scl, .rscl, .rdmk, .rmd, .wallet, .azer, .Mole02, .EXTE, etc.

Quando os ficheiros são encriptados, o ransomware deixa uma nota de resgate chamada INSTRUCTION RESTORE FILES.TXT onde é pedido às vítimas que contactem os ciber-criminosos através do endereço de e-mail providenciado (xoomx[@]dr.com e xoomx[@]usa.com) de forma a obter a chave de desencriptação especial que é na verdade armazenada em alguma pasta remota.

Versões atualizada usam diferentes nomes de notas de resgate, como  _HELP_INSTRUCTION.TXT, !!!HELP_FILE!!! #, # RESTORING FILES #.HTML ou # RESTORING FILES #.TXT.

Para aceder à chave de desencriptação, a vítima tem de pagar uma soma considerável de dinheiro na forma de resgate. No entanto, tem de tratar da remoção do CryptoMix primeiro pois pode facilmente encriptar outro lote dos seus ficheiros. A remoção de ransomware requer a instalação de um poderoso programa malware, como o Reimage, e correr um scan completo de sistema com o mesmo.

Este cripto-malware é semelhante aos vírus CryptoWall 3.0, CryptoWall 4.0 e CryptXXX. No entanto, ao contrário deste programas maliciosos, o CriptoMix alega que o lucro obtido é usado para uma boa causa: caridade.

Os programadores do ransomware, que se auto-intitulam Cham Team, têm também oferecido um “apoio técnico gratuito” para aquele que decidem pagar. Colocando todas estas estranhas promessas de lado, deve lembrar-se de que está a lidar com verdadeiros ciber-criminosos, portanto não existe a necessidade de seguir os seus comandos e apoiar os seus negócios escuros.

 Mesmo que decida pagar o resgate em troca dos seus ficheiros, deve ter em consideração que pode não receber o acesso à chave de desencriptação da qual necessita ou a mesma pode estar corrompida.

Assim sendo, não recomendamos que siga as ordens dos hackers indicadas no ficheiro INSTRUCTION RESTORE FILE.TXT. Esta mensagem a exigir um resgate aparece em cada ficheiro que contém dados encriptados. Parece que o vírus CriptoMix encripta a espantosa quantidade de 862 tipos de ficheiro. Assim, é impossível negligenciá-los.

Falando mais sobre o conteúdo da nota de resgate, os ciber-criminosos informam a vítima sobre dois e-mails diferentes: xoomx[@]dr.com e xoomx[@]usa.com, que devem ser usados para contactar os programadores do ransomware Cryptomix e recuperar os ficheiros afetados.

Após enviar um e-mail aos hackers, é então enviado um atalho à vítima para um website de serviço One Time Secret que pode ser usado para trocar mensagens anónimas com os hackers. Primeiro, os hackers poderão tentar convencer a vítima a pagar pelo bem da caridade. Claro que não encontraremos uma pessoa que esteja disposta a pagar o resgate de 1900 USD em troca dos seus ficheiros.

Além disso, os ciber-criminosos podem começar a ameaçá-lo(a) com o dobro do valor do resgate se não for pago dentro de 24 horas. O mais interessante é que pode receber um desconto após contactar estes hackers. De qualquer maneira, não recomendamos que vá tão longe.

Deve remover o vírus CryptoMix assim que notar que não consegue aceder aos seus ficheiros. Todavia, deve lembrar-se que a remoção do vírus não irá recuperar os seus ficheiros. Para tal, tem de usar os passos de recuperação de dados no final desta publicação. Se ainda não está infetado, certifique-se que os seus dados estão num sítio seguro antes do ransomware atingir o seu computador.

Versões do vírus CryptoMix

Vírus ransomware CryptoShield 1.0. Este vírus recentemente detetado vagueia em websites pouco protegido e infetados. Visitantes normais de domínios de torrent e partilha de ficheiros arriscam-se a tornar-se alvos deste vírus. Ao empregar a corrente de ataque ElTest, o kit de exploração RIG descarrega todo o conteúdo necessário para um sequestro completo pelo CryptoShield.

Após as preparações da infeção estarem terminadas, a ameaça começa a enviar mensagens falsas para levar o utilizador a pensar que estas notificações são resultado de processos Windows normais. No entanto, não é difícil ver através do esquema uma vez que as notificações contém erros gramaticais.

Interessante que os criminosos decidiram combinar as técnicas de encriptação AES-256 e ROT-13 para bloquear os dados do utilizador. Enquanto o segundo é muito simples, o primeiro ainda causa dores de cabeça aos especialistas IT. Infelizmente, a ameaça consegue eliminar cópias de volume sombra, o que oprime a recuperação dos dados para as vítimas. De qualquer forma, não é recomendado pagar o resgate.

vírus .code. Este malware é distribuído através de e-mails spam que têm um anexo de e-mail malicioso. Assim que os utilizadores abrem o ficheiro anexo, a carga útil do malware entra no sistema e começa o processo de encriptação de dados. O vírus usa o algoritmo de encriptação RSA-2048 e anexa a extensão de ficheiro .code.

Quando todos os ficheiros encriptados estão encriptados, o ransomware deixa uma nota de resgate chamada  “help recover files.txt” onde é pedido às vítimas que contactem os programadores através dos endereços de e-mail xoomx_@_dr.com ou xoomx_@_usa.com. Porém, não é recomendado fazê-lo porque os ciber-criminoso irão pedir que transfira até 5 Bitcoins pela chave de desencriptação. É uma enorme quantia de dinheiro e não deve arriscar perdê-lo. É melhor remover o vírus .code primeiro.

Vírus ransomware CryptoShield 2.0. Esta versão pouco difere da anterior variante CryptoShield. Após a infiltração, começa o processo de encriptação de dados usando um algoritmo RSA-2048 e anexa a extensão .CRYPTOSHIELD a cada um dos ficheiros visados.

Depois o malware cria dois novos ficheiros no ambiente de trabalho chamados # RESTORING FILES #.txt e # RESTORING FILES #.html. Estes ficheiros incluem instruções para recuperar dados codificados. Na nota de resgate, os ciber-criminosos providenciam alguns endereços de e-mail (res_sup@india.com, res_sup@computer4u.com ou res_reserve@india.com) para as vítimas dispostas a pagar o resgate.

No entanto, não é recomendável fazê-lo. Se foi infetado por esta versão do CryptoMix, remova o vírus do computador e use cópias de segurança dos dados ou métodos de recuperação alternativos para restaurar os seus ficheiros.

Vírus ransomware Revenge. Este vírus encriptador de ficheiros é distribuído como um trojan através de kits de exploração RIG. Após a infiltração, efetua um scan ao sistema à procura de ficheiros visados e encripta-os usando um algoritmo AES-256. Tal como o nome sugere, o malware anexa a extensão de ficheiro .revenge a casa ficheiro corrompido e torna-os impossíveis de abrir.

Todavia, os ciber-criminosos fornecem instruções para obter de volta o acesso aos ficheiros encriptados na nota de resgate chamada # !!!HELP_FILE!!! #.txt. Aí é pedido às vítimas para contactar os ciber-criminosos através dos endereços de e-mail fornecidos: restoring_sup@india.com, restoring_sup@computer4u.com, restoring_reserve@india.com, rev00@india.com, revenge00@witeme.com e rev_reserv@india.com.

Se as pessoas decidirem fazê-lo (não recomendado), é-lhes pedido que transfiram uma quantia específica de Bitcoins de forma a obter o Revenge Decryptor. Queremos apontar que este negócio obscuro poderá acabar com a perda de dinheiro ou outros ataques malware. Além disso, os ficheiros encriptados poderão ainda assim ficarem inacessíveis.

Vírus ransomware Mole. Esta versão do CryptoMix viaja através de e-mails enganadores que informam sobre os problemas de entrega do USPS. Assim que as pessoas clicam num atalho ou anexo fornecido no e-mail, instalam o executável Mole no sistema. No computador afetado, o malware começa imediatamente o processo de encriptação e bloqueia os ficheiros usando uma chave de encriptação RSA-1024.

De forma a tornar o ataque ainda mais devastador, o malware também elimina as Cópias de Volume Sombra. Assim a recuperação dos dados sem um software de desencriptação específico é quase impossível se as vítimas não tiverem cópias de segurança. A seguir à encriptação dos dados, o ransomware Mole deixa a nota de resgate “INSTRUCTION_FOR_HELPING_FILE_RECOVERY.TXT” onde é dito às vítimas que contactem os ciber-criminosos dentro de 78 horas.

É suposto as vítimas enviarem o seu número ID único para o endereço de e-mail oceanm@engineer.com ou oceanm@india.com. Porém, não é recomendável que o faça porque é pedido que transfira uma grande soma de dinheiro para obter uma software de desencriptação questionável. Após o ataque ransomware, as vítimas devem focar-se primeiro na remoção de malware.

Vírus ransomware CryptoMix Wallet. Esta variante do ransomware usa a encriptação AES e anexa a extensão de ficheiro .wallet aos ficheiros visados, o que se assemelha ao vírus ransomware Wallet. Porém, o malware  também renomeia ficheiros. O nome do ficheiro encriptado inclui o endereço de e-mail dos ciber-criminosos, o número ID da vítima e uma extensão de ficheiro: .[email@address.com].ID[16 unique characters].WALLET.

Assim que todos os ficheiros estão encriptados, as vítimas recebem um falsa mensagem de erro explorer.exe Application Error para levá-las a pressionar no botão OK. Clicar em OK espoleta a janela User Account Control. Estes alertas não desaparecem enquanto os utilizadores clicarem na opção “Sim/Yes”. Desde aí o malware começa a eliminação das Cópias de Volume Sombra.

Por último, o malware deixa a nota de resgate “#_RESTORING_FILES_#.txt” onde é pedido às vítimas que enviem o número de ID único para um deste endereços de e-mail: shield0@usa.com, admin@hoist.desi e crysis@life.com. Depois, os ciber-criminosos irão indicar o custo do software de encriptação. Todavia, não é confiável que confie neles. Não obstante, o ransomware continua desencriptável. Não recomendamos que arrisque perder o dinheiro ou ser infetado(a) por outro malware. Após o ataque, empregue software de segurança profissional e remova-o do dispositivo.

Vírus ransomware Mole02. O Mole02 é outra versão da família ransomware descrita, e anexa as extensões de ficheiro .mole02 aos registos encriptados. Utiliza as cifras de encriptação RSA e AES para bloquear com seguranças os ficheiros das vítimas. O vírus surgiu primeiro em Junho de 2017 e infetou milhares de computadores em todo o mundo.

O vírus usa  _HELP_INSTRUCTION.TXT como nota de resgate. Guarda este ficheiro no ambiente de trabalho para informar a vítima sobre o ataque cibernético e exige um resgate. Porém, as vítimas já não precisam de pagar o resgate se tiverem cópias de segurança do dados. Peritos em malware lançaram um desencriptador gratuito para o Mole02 que restaura ficheiros corrompidos gratuitamente.

Vírus ransomware Azer.O vírus AZER Cryptomix é a mais recente versão deste grupo ransomware que surgiu logo após o lançamento do desencriptador do Mole02. A nova versão usa a extensão .-email-[webmafia@asia.com].AZER ou .-email-[donald@trampo.info.AZER para marcar os dados encriptados. O vírus corrompe também o nome de ficheiro original.

A nota de resgate deixada pelo vírus chama-se _INTERESTING_INFORMACION_FOR_DECRYPT.TXT. É muito curta é simplesmente sugere que escreva a um dos e-mails providenciados para obter instruções de recuperação de dados. Claro que os criminosos não planeiam desencriptar os seus ficheiros gratuitamente. Normalmente exigem um resgate. No entanto, de momento, o montante é desconhecido. Infelizmente, ainda não existem ferramentas capazes de desencriptar os ficheiros .azer.

Vírus ransomware Exte. Esta versão de ransomware surgiu em Julho de 2017. O nome do vírus revela que anexa a extensão de ficheiro .EXTE aos ficheiros encriptados. Assim que todos os ficheiros visados estão bloqueados, o malware descarrega uma nota de resgate chamada _HELP_INSTRUCTION.TXT. Aí é pedido às vítimas que enviem o seu número de ID único para exte1@msgden.net, exte2@protonmail.com ou exte3@reddithub.com e aguardem a resposta com as instruções de recuperação de dados.

Atualmente, o tamanho específico do resgate é desconhecido. Parece que os autores do ransomware decidem para cada vítima individualmente baseando-se na quantia de ficheiros encriptados. Apesar do facto do desencriptador oficial para o Exte ainda não ter sido lançado, não recomendamos que pague o resgate.

Estratégias de distribuição do vírus ransomware

Não existe uma técnica única definida usada pelo vírus CryptMix para entrar no seu computador. Pode ser infetado por este ransomware ao clicar numa notificação suspeita ou botões de descarga, ou pode obtê-lo através de redes P2P (par-para-par).

No entanto, é mais comum ser descarregado para o sistema como um anexo de e-mail importante, tal como fatura, relatório de negócios ou documento semelhante. Algumas versões do malware são conhecidas por serem distribuídas como falsas notificações de entrega de pacote. Assim, tem de ter cuidado com e-mails e verificar sempre duas vezes a informação antes de abrir quaisquer ficheiros anexos, atalhos ou botões.

Assim sendo, é importante não só obter um poderoso sistema antivírus e esperar pelo melhor mas também pôr os seus esforços ao serviço da prevenção do CryptoMix no seu computador. Várias versões de malware usam kits de exploração e Trojans para infiltrar o sistema. Para se proteger e ao seu negócio, certifique-se que:

  • Analise todos os e-mails que recebe de remetentes desconhecidos;
  • Dedique algum tempo extra ao lidar com com software recentemente descarregado;
  • Verifique a confiabilidade dos sites que decide visitar para prevenir a infiltração do ransomware CryptMix.
  • Tire tempo para instalar software recentemente descoberto é também um fator importante que poderá ajudá-lo a evitar a infiltração de cavalos de Tróia usados para transportar este vírus.

Diretrizes para a eliminação do vírus CryptoMix

Não só é possível mas obrigatório remover o CryptoMix do dispositivo infetado. Caso contrário, os seus futuros ficheiros também podem estar em perigo. Temos de avisar que desinstalar vírus ransomware pode por vezes ser algo problemático.

Estes programas maliciosos podem tentar bloquear o seu antivírus de efetuar um scan ao sistema. Nesse caso, pode ter de gerir o vírus manualmente para que a sua ferramenta de combate ao vírus seja capaz de iniciar. Assim que o fizer, instale o Reimage, Plumbytes Anti-MalwareWebroot SecureAnywhere AntiVirus ou Malwarebytes Anti Malware para limpar o seu PC.

Irá encontrar as instruções de remoção manual do CryptoMix preparadas pela nossa equipa de peritos no final deste artigo. Não hesite também em enviar-nos uma mensagem se está a encontrar problemas relacionados com a eliminação deste vírus.

Nós pode ser ligados com qualquer produto que recomendamos no site. Divulgação em nosso acordo de utilização completa. Ao baixar qualquer software Anti-spyware fornecido para remover Vírus ransomware CryptoMix concorda com a nossa Política de privacidade e acordo de utilização..
faça agora!
Baixe
Reimage (software de remoção) Felicidade
garantida
Baixe
Reimage (software de remoção) Felicidade
garantida
Compatível com Microsoft Windows Compatível com OS X
O que fazer se falhou?
Se falhou na remoção da infeção utilizando o Reimage, submeta uma questão à nossa equipa de apoio e providencie o maior número de detalhes possível.
Reimage é recomendada para desinstalar o Vírus ransomware CryptoMix. Scanner gratuito permite que você verifique se o seu PC está infectado ou não. Se você precisar remover malwares, você tem que comprar a versão licenciada do Reimage ferramenta remoção de malware.

Mais informações sobre esse programa podem ser encontradas em Reimage revisão.

Mais informações sobre esse programa podem ser encontradas em Reimage revisão.
Impressões de em Reimage
Impressões de em Reimage

Guia de remoção manual de virus CryptoMix:

remover CryptoMix usando Safe Mode with Networking

Reimage é uma ferramenta para detectar o malware.
Você vai precisar para comprar versão completa para remover as infecções.
Mais informações sobre Reimage.

Por vezes os vírus ransomware bloqueiam software de segurança legítimo para se protegerem da remoção. Neste caso, pode tentar reiniciar o seu computador no Modo de Segurança com Rede.

  • Passo 1: Reinicie seu computador para Safe Mode with Networking

    Windows 7 / Vista / XP
    1. Clique em Start Shutdown Restart OK.
    2. Quando o computador se torna ativo, começar a carregar F8 várias vezes até que você veja o Advanced Boot Options janela.
    3. Selecionar Safe Mode with Networking da lista Selecionar 'Safe Mode with Networking'

    Windows 10 / Windows 8
    1. Pressione a Power botão no Windows tela de login. Agora, prima e mantenha premido Shift, que está no seu teclado e clique em Restart..
    2. Agora você pode selecionar Troubleshoot Advanced options Startup Settings e finalmente pressione Restart.
    3. quando o computador se torna ativo, selecione Enable Safe Mode with Networking de Startup Settings janela. Selecionar 'Enable Safe Mode with Networking'
  • Passo 2: Removendo o CryptoMix

    Efetuar login em sua conta e infectados inicie o navegador. Download Reimage ou outras legítimas programa anti-spyware. Atualize-o antes de uma varredura completa do sistema e remover arquivos mal-intencionados que pertencem ao seu ransomware e completa CryptoMix extracção.

Se o ransomware é bloquear Safe Mode with Networking, tente outro método.

remover CryptoMix usando System Restore

Reimage é uma ferramenta para detectar o malware.
Você vai precisar para comprar versão completa para remover as infecções.
Mais informações sobre Reimage.

Se o Modo de Segurança com Rede não ajudou a desativar o ransomware, tente a Restauração de Sistema. Porém, tem de efetuar um scan ao seu computador duas vezes para garantir que removeu o ransomware do sistema.

  • Passo 1: Reinicie seu computador para Safe Mode with Command Prompt

    Windows 7 / Vista / XP
    1. Clique em Start Shutdown Restart OK.
    2. Quando o computador se torna ativo, começar a carregar F8 várias vezes até que você veja o Advanced Boot Options janela.
    3. Selecionar Command Prompt da lista Selecionar 'Safe Mode with Command Prompt'

    Windows 10 / Windows 8
    1. Pressione a Power botão no Windows tela de login. Agora, prima e mantenha premido Shift, que está no seu teclado e clique em Restart..
    2. Agora você pode selecionar Troubleshoot Advanced options Startup Settings e finalmente pressione Restart.
    3. quando o computador se torna ativo, selecione Enable Safe Mode with Command Prompt de Startup Settings janela. Selecionar 'Enable Safe Mode with Command Prompt'
  • Passo 2: Restaurar os arquivos e configurações de sistema
    1. Uma vez que a Command Prompt janela mostra, digite cd restore e clique em Enter. Digite 'cd restore' sem aspas e pressione 'Enter'
    2. Agora digite rstrui.exe e pressione Enter novamente.. Digite 'rstrui.exe' sem aspas e pressione 'Enter'
    3. Quando uma nova janela aparece, clique em Next e selecione o ponto de restauração que é antes da infiltração de CryptoMix. Após fazer isso, clique em Next. Quando 'System Restore' janela mostra, selecionar 'Next' Selecione seu ponto de restauração e clique em 'Next'
    4. Agora clique em Yes para iniciar restauração do sistema. Clique em 'Yes' e iniciar restauração do sistema
    Depois de restaurar o seu sistema para uma data anterior, faça o download e analise o seu computador com Reimage e certifique-se de que CryptoMix a remoção é realizada com sucesso.

Bonus: Recuperar os seus dados

O guia acima tem como objectivo remover CryptoMix do seu computador. Para recuperar files encriptados, siga este guia preparado por semvirus.pt especialistas de segurança

Se os seus ficheiros estão encriptados por CryptoMix, pode usar diversos metodos para os recuperar

Recuperar ficheiros encriptados pelo CryptoMix com o auxílio do Data Recovery Pro

O Data Recovery Pro é uma ferramenta amplamente conhecida que pode ser utilizada para recuperar ficheiros eliminados acidentalmente e dados semelhantes. Para utilizá-lo para recuperar ficheiros após a infiltração de ransomware, siga estes passos:

  • Download Data Recovery Pro (https://semvirus.pt/download/data-recovery-pro-setup.exe);
  • Siga os passos do setup de Data Recovery e instale este programa no seu computador
  • Execute e verifique o seu computador para encontrar os ficheiros encriptadas por CryptoMix ransomware;
  • Repare-os

Use a função Windows Previous Versions para obter os seus ficheiros após a infiltração do ransomware CryptoMix

O método Windows Previous Versions é eficaz apenas se a função Restauração de Sistema foi ativada no seu computador antes da infiltração deste ransomware. Note que pode ajudar a recuperar ficheiros individuais no seu computador.

  • Encontre o ficheiro encriptado que precisa e clique com o butão direito do rato para o reparar
  • Selecione “Properties” e va para o separador “Previous versions”
  • Aqui, verifique as copias disponiveis do ficheiro em “Folder versions”. Deve selecionar a versao que quer reparar e clique “Restore”.

Use o desencriptador CryptoMix pelo AVAST Software para recuperar os seus ficheiros

Pode usar esta ferramenta para recuperar os seus ficheiros encriptados. Todavia, tenha em mente que pode ser usado para recuperar apenas aqueles ficheiros encriptados por uma “chave offline”. Se a sua versão do CryptoMix usou uma chave única de um servidor remoto, este desencriptador não irá ajudar.

Por último, você deve sempre pensar sobre a protecção de crypto-ransomwares. A fim de proteger o seu computador a partir de CryptoMix e outros ransomwares, use um anti-spyware respeitável, como Reimage, Plumbytes Anti-MalwareWebroot SecureAnywhere AntiVirus ou Malwarebytes Anti Malware

Sobre o autor

Jake Doevan
Jake Doevan - A vida é muito curta para desperdiçar o seu tempo com vírus

Se este guia de remoção livre ajudou você e você está satisfeito com o nosso serviço, por favor, considere fazer uma doação para manter este serviço vivo. Mesmo uma quantidade menor será apreciada.

Fonte: https://www.2-spyware.com/remove-cryptomix-ransomware-virus.html

Guias de remoção em outras línguas