Os sintomas da infecção:
- Grava alguns arquivos .TXT chamados HOW TO DECRYPT FILES.txt com a seguinte mensagem:
Attention! All your files are encrypted!
You are using unlicensed programms!
To restore your files and access them, send code Ukash or Paysafecard nominal value of EUR 50 to the e-mail Koeserg@gmail.com.
During the day you receive the answer with the code.
You have 5 attempts to enter the code. If you exceed this date all data is irretrievably spoiled. Be careful when you enter the code!
- Essa mesma mensagem é exibida ao usuário quando inicia o Windows, solicitando resgate pela senha para descriptografar os arquivos, como na imagem abaixo:
- Todos os arquivos do usuário são criptografados e renomeados para a extensão .EnCiPhErEd (arquivos .doc, .xls, .jpg, .html etc).
Procedimento de Remoção:
- Execute um antivírus para limpar os arquivos do malware (os arquivos encriptados não serão excluídos);
- Após a remoção do vírus, será necessário descriptografar os arquivos do usuário. Para fazer isso, será necessário fazer o download de um executável disponibilizado gratuitamente pela Dr. Web;
- Ainda assim, é necessário conhecer a chave de descriptografia dos arquivos do usuário. A Dr. Web disponibiliza um serviço gratuito, acessível pelo site. Para descobrir a chave será necessário enviar alguns arquivos criptografados para análise. Selecione arquivos .doc ou .txt e envie para o suporte. Lembre-se que devido a grande quantidade de solicitações a resposta pode demorar um pouco (mas aguarde que eles respondem).
- Finalmente, com a chave em mãos, execute a seguinte linha de comando e aguarde o final do processo:
te94decrypt.exe -k <Chave enviada>
Fonte:
Trojan.Encoder heads West
Ransomware Encrypts Files of Users of File-Sharing Services, Demands 50-Euro Ransom
