O que é *HELP_HELP_HELP*.hta? Devo remove-lo ?
Qual o significado do ficheiro *HELP_HELP_HELP*.hta?
O ficheiro *HELP_HELP_HELP*.hta é uma nota de resgate que as versões mais recentes do ransomware Cerber deixam nos sistemas infetados. O vírus encripta todos os ficheiros no sistema, elimina Cópias de Volume Sombra e depois grava estes ficheiros no ambiente de trabalho para providenciar à vítima informação sobre a infeção. O nome desta nota de resgate varia, porque o vírus designa um conjunto aleatório de carateres a cada vítima e, como resultado, as vítimas recebem notas de resgate que têm os seguintes nomes: _HELP_HELP_HELP_[caracteres aleatórios].hta. A extensão de ficheiro – HTA – significa HTML Application, o que quer dizer que estes ficheiros são tipicamente abertos através do Internet Explorer. São codificados principalmente via VBScript ou JScript. Se abrir este ficheiro, comporta-se como um ficheiro executável. Uma vez aberto, o ficheiro HELP_HELP_HELP.hta inicia um programa, chamado CERBER RANSOMWARE: Instructions. O programa saúda a vítima com a típica introdução do vírus Cerber:
Não consegue encontrar os ficheiros necessários?
O conteúdo dos seus ficheiros não é legível?
É normal porque os nomes dos ficheiros e a informação nos seus ficheiros foram encriptadas pelo “Ransomware Cerber”.
A mensagem continua e explica que os ficheiros foram encriptados por ransomware e agora a única ferramenta que pode restaurar estes ficheiros é mantido nos servidores dos ciber-criminosos. Os ofensores dizem que o dano é reversível, mas de forma a recuperar os dados encriptados, a vítima tem de comprar um “software especial de desencriptação” chamado Cerber Decryptor. O preço do Decryptor varia consoante a versão do vírus, mas os cibercriminosos tipicamente exigem 1 ou mais Bitcoins. As Bitcoins devem ser transferidas para uma carteira Bitcoin fornecida, sendo a única forma de enviar dinheiro aos criminosos pois o sistema de pagamento Bitcoin assegura anonimato.
Aquando da infiltração, o malware Cerber também altera o fundo do ambiente de trabalho com a imagem _HELP_HELP_HELP_[carateres aleatórios].jpg, que é uma versão mais curta da nota de resgate. Explica que os ficheiros da vítima foram encriptados e que mais informação pode ser encontrada no ficheiro *HELP_HELP_HELP*.hta. Temos de apontar que esta versão do vírus já não providencia o número de versão do vírus no ambiente de trabalho. Pertence à categoria Red Cerber pois o texto é destacado a vermelho, e não a verde claro. O resto da mensagem informa que a vítima tem de instalar o Tor Browser para abrir “uma página pessoal”, que pode ser acedida através de um atalho .onion fornecido.
Como prevenir que o *HELP_HELP_HELP*.hta apareça no seu PC?
Se não quer cruzar-se com o ficheiro *HELP_HELP_HELP*.hta no sistema do seu computador um dia, deve tomar ações em antecipação para proteger o seu sistema de vírus ransomware. Ao contrário de vírus ransomware simples, o Cerber não utiliza e-mail spam como único método de distribuição. É um vírus altamente sofisticado que se propaga via anúncios de rede comprometidos, websites e emprega kits de exploração perigosos para a sua distribuição. Todavia, as últimas campanhas de e-mail spam do Cerber distribuem arquivos .zip infeciosos com ficheiro Word. O documento contém guião malicioso que é definido para descarregar e correr ransomware assim que a vítima permite a função Macros. A ferramenta mais confiável que pode protegê-lo do ataque Cerber é um software anti-malware atualizado. Não se esqueça de atualizá-lo de vez em quando para descarregar definições necessárias de vírus e alargar a sua base de dados. No caso do computador ser infetado com ransomware, irá perder todos os seus ficheiros. Assim sendo, cópias de segurança são extremamente importantes, por isso crie-as de tempos em tempos e mantenha-as afastadas do seu PC.
Como remover o *HELP_HELP_HELP*.hta do PC comprometido?
Embora possa simplesmente remover o ficheiro *HELP_HELP_HELP*.hta do sistema, não significa que seja suficiente. O ficheiro foi obviamente criado por um vírus perigosos, pelo que tem de o remover. Pode desinstalar o vírus e assegurar a remoção do *HELP_HELP_HELP*.hta correndo um scan ao sistema com software anti-malware como o FortectIntego.