Anatomia de um ataque de Ransomware
Вставка
- Опубліковано 4 січ 2018
- MVP André Ruschel e MVP Rafael Felipe mostram o funcionamento do WannaCry e detalham uma solução que evita que arquivos sejam criptografados por ransomwares.
SCRIPT PARA RENOMEAR ARQUIVOS:
Salve a linha abaixo em um arquivo .bat:
forfiles /P e:\backup\ /c "cmd /c rename @path @fname.@andreruschel"
BABOO: www.baboo.com.br
Fórum do BABOO: forum.baboo.com.br - Наука та технологія
Caras! Num dá nem pra acreditar que videos "leigos" tenham mais visualizações do que este, mas eles usam cabeçalhos e tags desonestas. E vocês são profissa!! Este video em especial merece uma série: Simulações de ataques reais de vários vírus. Vcs são geniais. Parabéns.
Excelente vídeo. Parabéns e obrigado pelas dicas.
Excelente demostração muito obrigado
Excelente. Obrigado.
Muito obrigado pelo vídeo e o trabalho de vcs!
Achei muito simples o vídeo, super fácil de entender, parabéns pelo o trabalho ai !!!
Nossa! excelente vídeo gurizada, parabéns.
TOP! Valeu pelo video!
Excelente vídeo !!
Muito bom! Parabéns! Melhor vídeo do canal!!
Como sempre, conteúdo de excelente qualidade.
Muito bom o vídeo!
Amei o vídeo!!
Perfeito!
show de aula
Muito bom. Para quem é inteligente sabe que uma apresentação dessa natureza é cara e aqui tivemos com exclusividade no Baboo e de graça. Pensem antes de criticar.
ta ruim tem que toma critica mesmo pra aprender a melhorar
Cara ???? Eu acho aos montes e de GRAÇA na internet. Basta saber pesquisar em inglês.
Parabéns Cabeça!!!!
Obrigado Baboo por trazer mais um conteúdo de qualidade!
Ótimo vídeo quando crece quero ser igual a vocês
Eu fico imaginando como deve ser horrível essa sensação, ainda mais para empresas que não tem backup. Usuário comum geralmente tem menos coisas, então um One Drive ou Google Drive já são suficientes, mas uma empresa pequena deve sofrer bastante
Obrigado meus amigos, @Protegido!! :)
O vídeo mais top :) Confio meu computador ao canal Baboo.
Só os profissionais.
Quando eu estava trabalhando, estava em um Job terceirizado. A empresa tinha varios tecnicos alocados e varios outros que atendiam uma empresa diferente todo dia.
3 clientes da empresa que eu trabalhava foram infectados por ransonware, mas eu não tomava conta dessas 3 empresas.
E como que eles foram infectados ;
- Usuário com privilégios de Administrador
- Servidor com programas suspeitos que convertem audio/video/youtube.
- SMB 1.0 habilitado
- Windows XP/7 nos computadores sem atualização.
Eu falei que precisava formatar os servidores infectados, pois já tinha programas RUINs demais instalados. Além é claro de atualizar todos os PCs para WIndows 10 gratuitamente.
Eles fizeram isso ? claro que não........
show!!!!!!!
Em 2023 fui infectado pelo Albabat...agora é 2024 e ainda estou com meus arquivos travados pq nao existe descriptografador, tô quase pagando os caras.
Fui infectado pela versão nova .GROD ... começou um novo ataque e eu não fiz backup
os caras começaram mto travados, estavam interpretando d+ depois de um tempo quando entrou no assunto os dois se entrosaram fluiu melhor o video. só questão de pratica. mas foi mto relevante o conteúdo apresentado, gostei.
Os caras são programadores/especialista em segurança, não jornalista ou apresentador de programas...rs
Esse da direita só atrapalhou kkkk
Acabei de ser infectado por esse vírus quando estava pesquisando um app, fiz o download e instalei. No mesmo instante todos os meus arquivos ficaram com a extensão.nesa Isso significa que perdi 150gb de arquivos importantes de varios anos em meu note.. To vendo que não tem solução pra recuperar e estou mt triste!!
Conseguiu?
Rony Tv e impossivel recuperar man, esse cara se fodeu mt, provavelmente desabilitou seus antivirus
Que app era esse aí que tu baixou?
150gb ?então ele fez uma falsa criptografia , deve ter apenas corrompido os primeiros bytes pq é impossível criptografar 150gb byte a byte tão rápido
Gosto muito de estudar sobre vírus, e esse vídeo ajuda no processo. Recebimento o portal Brasil Paralelo foi vítima e os autores pegaram o dinheiro e sumiram. O UA-cam que ajuda na recuperação da plataforma. Por falar em senha: minha senha tem exatos 80 dígitos. 😉😂
Se uma máquina tivesse sido infectada pelo WannaCry nessa época, mas tivesse um antivírus como o Kaspersky Security Cloud Free instalado, o antivírus teria sido capaz de impedir sua execução já que se tratava de uma ameaça inédita?
No momento que o WannaCry apareceu, apenas antivírus da Kaspersky e ESET detectaram ele como malware. Os demais antivírus foram atualizados rapidamente depois disso..
na verdade o bitcoin é rastreável, todas as transações são registradas e publicas, porém a criação de carteiras pode ser anônima o que pode dificultar o encontro dessa pessoa, se for um "hacker jr". ele pode ate ter criado uma carteira com lastro em alguma exchange, mas é difícil.
Geralmente usam carteira frias com Tor
Em 2019 o meu está infectado com a extensão PEET. Sequestrou todos os meus arquivos.
O meu está no .moba como saber qual é ransomware e como descriptogravar?
Meu HD externo está com todos os arquivos com extensão (PEZI)
Eu também fui infectado com esse Ransomware e não tem solução pra ele.Já varri a internet e nada.
@@marconnichagas6631 eu sei que esse comentário e de 2 anos atrás mas se você ainda não excluiu os dados criptografados você pode baixar a ferramenta de dês criptografia da emsisoft pra depois selecionar quais pastas ou arquivos quer descriptografar e ele tem suporte para a extensão maliciosa
Bacana, parabéns. Poderia informar o link da lista das extensões mencionada no vídeo.
Em 2020 ainda está havendo muitos casos de ataque de virus sequestrador? Como eles chegam nas máquinas das pessoas?
Eles podem infectar o computador através de vulnerabilidades (algumas delas permitem que o malware seja baixado remotamente e executado na RAM sem precisar ser salvo no HD/SSD), via e-mail, programas infectados, etc..
Eu fui infectado, no meu caso os arquivos terminam com a extensão .YWAOMODK, estou pensando seriamente em pagar o resgate pois foram muitos arquivos importantes que foram infectados.
Uma pergunta: a criptografia continua acontecendo enquanto eu não pago o resgate ou ela tem um limite, isto é, chega um momento que ela para de criptografar meus arquivos? Obrigado
Alguém pode ajudar, estou com uma extensão .adobe em todas as fotos e imagens, não abre nada, se alguém puder me ajudar eu agradeço muito.
Bom dia vcs conseguem me indicar o que posso usar para pegar meus arquivos de novo a extensão é Kdco tentei usar o stop dejavu mais não foi eficaz, me ajude por favor o pior que até meus dois hd externo foram pegos
Infectado pela extensão .Truke
Se alguem tiver alguma solução. ..
Parabens, nível profissional de informações... Mas nesse script seria possivel adicionar uma tag da extensao antiga do arquivo? Pois na pasta de backup poderia deixar varios arquivos diferentes, mas depois de alterados pelo script, teria que saber qual era a extensao antiga de cada, assim poderia restaura-los com mais facilidade. Valeu...
Acabei de ser infectado por um desses (.udla) Já vi milhares de vídeos (sem sucesso) antes de chegar aqui - me cobrou 490 dólares - não tenho backup e os trabalhos dos meus clientes estão todos perdidos agora. É uma bosta!
O ransomware que cria arquivos .udla é uma variante do STOP/DJVU, que é relativamente comum. Qual antivírus vc usa?
@@baboo cara, eu nem tinha antivirus antes disso. Negligenciei! Hoje, estou com o Norton. Alguma recomendação?
Se vc não usava antivírus(!!), o resultado não poderia ser outro :( Eu recomendo as soluções da Kaspersky..
Qual o sistema operacional você estava utilizando? Estava atualizado?
Eu já fui infectado pelo ransomware futm da classe stop/djavu. Você pode me ajudar a prevenir contra o ataque de ransomwares?
Olá o que fazer quando os arquivos estão em EHIZ existe alguma solução??????
Alguém tem acesso ao artigo que foi publicado por eles?
Video TOP!!!
Alguma recomendação para o ransomware que muda a extensão para heroset?
Baboo manda um video sobre panda internet security
mn o meu pc esta renomeando todos os arquivos para IGVM e sou dj...tradução ..tenho muitos packs de samples....samples=sons//em fim me ajudem pfv
uso windows 7
Vc foi infectado por um ransomware da família DJVU. Utilize Windows 10 com um antivírus decente (eu sugiro no mínimo baboo.com.br/kscf ) e restaure o backup dos arquivos criptografados..
falem das falhas dos processadores Intel, Amd e Arm....
Bom dia amigos, o meu não reconheceu o arquivo ARGILA.docx.chech.msvlscrnvi.chech alguem me ajuda?
Tenho uma dúvida!
Digamos que eu tenha um backup com vários arquivos (jpeg, txt, etc etc), se eu criar uma pasta e logo depois usar o WinRAR para compactar e trocar para qualquer extensão, ele não seria capaz de criptografar (exemplo: .@denilson) ?
exatamente, a diferença é que você está usando um programa e eles usaram um simples código. Mas você pode usar o método que você quiser.
Unidade protegida e trancada (não-desbloqueada) com bitlocker seria o método mais seguro?
opaa! muito boa dica . eu não manjo muito de Script , e nem dei uma pesquisada ainda pra tentar . Com o teste que fiz aqui consegui a seguinte resposta . O comando forfiles /P e:\backup\ /c "cmd /c rename @path @fname.@andreruschel"
no meu caso eu tive que trocar o (e:\backup\ pelo c:\backup\ ) isso eu entendi . Mas acontece que se tiver mais uma pasta dentro dessa pasta chamada backup , o conteúdo não é renomeado ,alguem tem alguma dica quanto a isso ?
tipo ,se dentro da pasta c:backup eu criar c:backup/imagem por ex , todo conteúdo da pasta imagem continua com a extensão .jpg
alguem sabe o que substituir no comando , para que seja renomeado todo o conteúdo criado dentro da pasta c:backup ?
obrigado !!
Curiosidade sobre o WannaCry: ele gera um novo arquivo criptografado e apaga o arquivo original, certo? Mas ele apenas apaga o arquivo original ou também sobrescreve o cluster que ele estava armazenado no HD impedindo uma restauração daquele setor?
Ótima pergunta! Em pastas importantes (Documentos, Desktop, Imagens..), o WannaCry preenche o arquivo original com dados aleatórios antes de apagá-lo, tornando impossível sua recuperação..
Nada como e velho gravador em midia de dvd como matriz de back up
"Velho" é pouco.. "paleozóico" seria mais correto ;)
Há algum tempo atrás meu PC foi invadido e todos os arquivos foram criptografados e receberam o nome .cerber3
Ainda tenho muita coisa criptografada, principalmente fotos e documentos.
Já existe alguma maneira de descriptografar o .cerber3 para eu recuperar os meus atquivos?
eu caprichei... não consigo um aplicativo q decifre o ransomware com extensão".xxvugyqvsg" :(((
Meus dados foi atacado no meu PC. Windows 10 for workstation
Amigos, e o caminho inverso, vocês podem me ajudar?
.muslat nao consigo remover me ajudem
Bom dia !!! parabens pelo trabalho gostaria de saber de uma ferramenta sobre o GandCrab V4,?Windows 10, de onde estao vindo estes RansonWares?
Leia www.baboo.com.br/seguranca/ransomware-gandcrab-v4-ja-circula-na-web/
Maio desse ano cara ja ta no futuro kkkk
Ainda restaram algumas dúvidas por exemplo e se os documentos estão em um arquivo ligados a um serviço cloud os que estarão em nuvem o serão também? Se eu tiver um programa que criptografa meus arquivos estarão a salvo?
Os ransomwares criptografam todos arquivos que eles tiverem acesso - seja no computador local, HD externo, pendrive ou na nuvem. Por isso nem sempre é eficiente estar SEMPRE conectado na nuvem..
@Baboo, já pensou em adaptar o backup à prova de ransomware com a ideia deste vídeo?
Estou alterando um pouco o que você ensinou, de acordo com minha necessidade e, vou tentar implementar isso.
Na etapa de buscar os arquivos zipados de @Temp, renomear os mesmos com uma extensão (talvez pré-definida por uma variável no início, como $ExtensaoSegura=".baboo") e depois prosseguir com o que é feito.
Existem várias soluções que podem ser implementadas para aumentar ainda mais a segurança contra ransomware, mas a melhor proteção é manter o drive de backup offline ;)
_Sou leigo mas acho que entendi - Então se eu colocar todos os meus arquivos em uma pasta e compactar em .RAR e logo em seguida renomear esse arquivo .RAR para por exemplo .ANDRE terei um backup seguro ..?_
Tecnicamente sim :)
Uma dúvida... Se eu rodar um rescue disc do kaspersky por exemplo com um pc com a criptografia em Andamento. Ele irá remover tudo?
Ele removerá o ransomware (que é um malware como qualquer outro), mas ele não recuperará os arquivos sequestrados..
@@baboo obrigado pela resposta mestre o/
Poderia fornece o script de renomeamento do backup, favozinho !!
Eu adicionei ele na descrição do vídeo..
GANDCRAB V5.0.3 ........alguem sabe ?
Boa tarde meu pc foi infectado por um virus .usam quanto vcs cobram pra trazer de volta meus arquivos por favor !!!
o melhor antivírus esta entre o monitor e a cadeira
Jamais. O melhor antivírus é da Kaspersky: www.baboopro.com.br/os-melhores-antivirus-pagos-do-mercado/
Vai Nessa, e você terá uma Avalanche de Surpresas 😉
Pergunta, o esse ransoware ou qualquer outro do gênero não consegue criptograr vhd e vhdx correto? Esses aí não estão na lista
possivelmente. Mas eu ainda preferiria criar a rotina de backup e colocar uma extensão maluca no final do arquivo, juntamente com outra rotina para desativar o hardware de destino do backup ao finalizar o mesmo. Creio que dessa forma seja 99% seguro (afinal nada é 100% seguro)
Obrigado por responder professor.
Para o kuus sera que tem geito
tb estou com o mesmo problema... alguem nos ajuda?
amigos e ai rola de me ajudar ? vcs são os caras mesmo ? Ransomware 2018
Achei que eles iriam dar mais detalhes técnicos, no próprio youtube existe várias informações e pesquisando no google também para mim eles falaram o básico do básico eu queria saber a fundo se umas ferramentas de decriptação funcionam ou não a única coisa interessante foi a informação para renomear os arquivos!
Eu não sou nenhum diplomado e especialista, mas por exemplo se tenho vários hd’s e uso um software gratuito como por exemplo Ntfs Drive Protection v1.5 que tem 945KB protejo qualquer hd físico, externo e pendrive contra escrita e leitura eu acho que no meu modo de ver seria uma segurança a mais fora a cópia de segurança dos arquivos estas coisas ninguém ensina a gente que tem que correr atrás da informações como o vírus age todo mundo sabe eu senti uma certa ironia na apresentação e sempre assim um certo forma de arrogância por ter conhecimento e a minha opinião o usuário leigo compra o sistema operacional da Microsoft, e apenas uso o sistema não se (preocupa em atualizar e também não e orientado a fazer isto), vejo o próprio exemplo que foi dado grandes empresas pegaram o vírus por incompetência da próprio pessoal que administra a TI das empresas imagine um simples usuário!
Mas e pra voltar os arquivos no formato original? Vou ter que lembrar de cabeça a extensão de cada arquivo e renomear 1 por 1 com seu formato original? Fica impossível, pois backup tem muitos arquivos.
Basta criar um batch para isso..
@@baboo e o que é Batch?
o meu esta no .moba também
Se eu possuir a chave para decriptar meus arquivos, qual software uso para esse fim? Tem algum no mercado onde eu ponha a chave e faça o trabalho?
Não te mandam 🔑, mandam um pequeno executável q vc clica e ele reverte a criptografia. Muito simples.
Baboo, o meu notebook está dando uns bugs e teve uma hora que ele começou a abrir várias páginas ao mesmo tempo.
Fiz verificação pelo Windows Defender, Kaspersky Free, Panda Free, Panda Cloud Cleaner e Malwarebytes free. Nenhum deles detectaram nada!!! Existe alguma vantagem na detecção de vírus na versão paga do Kaspersky em relação a versão gratuita? Ou as únicas vantagens são os recursos extras que ele possui em relação a versão gratuita?
Geralmente os antivírus alegam que o mecanismo de antivírus da versão paga é igual a versão gratuita
To vendo aquele adesivo do Debian e do Microsoft loves Linux no notebook huhuehuehuehuehue
O MVP André Ruschel é especialista em interoperabilidade e trabalha com desenvoltura tanto em servidores Windows quando Linux ;)
Entendi, legal :)
cara MVP e tem notebook muito antigo e que nem tem HDMI! LEGAL
Notebook DELL VOSTRO
desculpe mais, com a formaçao que ele tem nao ter condições de comprar um notebook, nao é profissional de boa qualidade!
E quem disse que esse é o notebook que ele usa? Pode ser só um que ele pegou pra fazer o teste.
Um que ele usava antigamente
O WannaCry sai com formatação?
Qualquer antivírus decente remove o WannaCry sem necessidade de formatação..
Entendi! Obrigado, Baboo e sucesso pra você!
Esse tipo de ataque só foi realizado nos sistemas windows ou linux também? Se sim, como foi feito, já que o sistema não usa extensões nos arquivos?
Oxe, linux não usa extensões nos arquivos? Da onde você tirou isso? O meu aqui, todos os arquivos tem extensões kkkkk
os animais usam hyper-v
Se o Bitlocker estiver ativado esse tipo de ataque torna-se ineficaz?
O BitLocker em si não impede ransomwares se a partição com ele estiver acessível ao usuário..
Amigo segredo é negar permissão da pasta, aí nenhum ramson pode critpgrafar nada ! Não adianta criptografar pq ele pega os bytes crus de qualquer arquivo, técnica super simples. Mas se a pasta com seu backup tiver permissão de acesso negada ele não consegue fazer nada.
SOLUÇÃO PRA ISSO AO FINAL DA TARDE BACKUP MANUAL EM HD EXTERNO E PONTO FINAL, BACKUP EM NUVEM TBM É FRIA POIS JÁ VI CASOS QUE TBM FORAM INFECTADOS...
Backup é FUNDAMENTAL, independentemente de ransomwares. O backup em nuvem é muito seguro, mas o ideal é que a pasta de backup esteja acessível somente durante o backup..
Se deixar sua pasta de backup ativa é logico queo ransomware vai infectar, porem, com OneDrive pelo menos, mesmo se infectar, você pode reverter através da versão anterior do arquivo.
Tem alguma possibilidade de um ranswoare infectar arquivos que estão no onedrive ou googledrive?
se infectarem sua pasta local, e depois ele conseguir sincronizar....então realmente já era. Por isso GD e OD não acho que seja uma solução definitiva para um backup seguro.
Entendi, achei que havia alguma proteção extra..... Melhor fazer backup separado também
Não. 100% de certeza. Fiz o teste, infectei de proposito uma maquina, com GD, com todos meus arquivos. Apenas pasta local infecta sim. Logei em outra maquina no GD. nada limpinho. Não sei explicar tecnicamente porque não infecta. Mas com certeza NÃO. apenas a pasta local.
Valeu, seria bacana saber o porque, como funciona essa proteção.
Olá vocês prestam serviço de remoção deste tipo de infecção?
Baboo Preciso da sua Ajuda: O Meu Computador foi invadido por um Ransomware e bloqueou o Acesso aos meus Arquivos de Vídeo.
O Ransomware em si já foi Removido, Mas sempre que eu tento reproduzir um Vídeo no Explorador de Arquivos o Aplicativo "Filmes e TV" diz o seguinte: "Este arquivo não pode ser reproduzido. Isso pode ocorrer porque não há suporte ao tipo de arquivo, a extensão de arquivo está incorreta ou o arquivo está corrompido. 0xc00d36c4"
Mas os meus arquivos de Vídeo estão estão intactos (Pelo menos aparentam) e a mimiatura deles está Normal. O que eu Faço????
E tem um Erro estranho acontecendo no seu Site.
Cara eu consegui reverter os meus aqui
@@ZUE77 Como Conseguiu?
@@victoreduardo9593 primeiro remova o virus do seu pc, e nao exclua nenhum arquivo que foi afetado , nao renomeie e nem faça alterações
Depois clica com o botao direito do mouse manualmente em todas as pastas afetadas 1 por vez , va em propriedades , clica em versao anterior , em baixo vai aparecer ,restaurar versao , se tiver disponivel vc tera seus arquivos de volta
@@ZUE77 Ok, mas o que eu faço em Seguida?
Cade os links
Eu adicionei ele na descrição do vídeo..
Interessante isso, porém se o ramsoware criptografar também já era
BitCoin não é rastreável? Caraca, como puderam dizer uma coisa dessas?
Rastreável sim, mas identificável nem tanto..
Este virus ataca sistemas Linux?
O WannaCry utiliza uma vulnerabilidade que a Microsoft já havia corrigido há mais de um ano, e somente Windows 7 ou anteriores desatualizados foram infectados. Linux não está imune a ransomwares: www.diolinux.com.br/2017/06/ransomware-infectou-153-servidores-linux.html
É um bom vídeo, mas acredito que o backup na nuvem é a opção mais adequada.
No caso de sequestro de HD, esta solução não teria efeito.
Backup na nuvem é ideal, mas nem sempre isso é possível por causa do tamanho dos arquivos, banda, limite de tráfego, etc. Além disso, no meu curso de Manutenção TOTAL de Windows eu ensino como criar backups à prova de ransomware..
Bitcoin é rastreável!
Mas as carteiras não.
0.5 bitcoins hoje vale 8630. Ou vocês fizeram isso há tempo, ou o cara queria ainda mais.
Hoje, o o bitcoin está valendo 52500. 0.5 bitcoin vale 26250 reais. O valor do bitcoin pode variar muito
Demais.
Se o backup estiver com uma extensão diferente como eu vou restaurar o computador a partir dele? Pois pelo o que eu entendi, ao retornar para a extensão original do arquivo o ransomware criptografa ele. (Me desculpem a ignorância, mas sou um usuário leigo e isso não ficou claro pra mim.)
Você formata seu pc e depois usa o backup.
Você salva os arquivos com extensão diferente em outro lugar. Um pendrive, ou no dropbox...
Depois de formatar, vc pega os arquivos de novo e renomeia
Existem ASICs especializados em descriptografar ransomwares?
Eu fazia isso no meu celular quando não queria q alguem visse uma foto e tal. Faço ainda. Renomeava tudo. . (Ponto) alguma coisa... E só eu sabia q era uma foto..clicava e abrir como imagem... E visualizava a foto