BLOG

LABS 4 RECOVERY

Como desencriptar o Ransomware BlackCat ALPHV .xxtk82y

Quando chegas ao trabalho numa manhã e nada funciona na informática e encontras todos os teus dados e os da empresa encriptados... Vais ter um dia complicado devido ao ataque de Ransomware BlackCat que sofreste. O pior está para vir… Abres os computadores e vês a nota do delinquente… Acabas de ser vitima de um Ciberataque 2023

Como desencriptar um ataque de Ransomware BlackCat ALPHV .xxtk82y

 

 

É complicado manter a calma e não entrar em pânico, mas se nos contactares, na LABS 4 Recovery vamos envolver-nos na resolução do caso, seja desencriptando os ficheiros, seja fazendo o necessário para recuperar os teus dados encriptados. O importante é seguir os passos corretos para conseguir restaurar os teus dados.

 

 

 

 

 

Temos vários laboratórios de recuperação de dados, um deles especializado em recuperar os teus dados encriptados por ataques de Ransomware. Embora não possamos ajudar-te a proteger os teus dados antes de um ataque, se foste alvo de um ataque de Ransomware, podemos ajudar-te a desencriptá-los ou, pelo menos, a recuperar os teus dados tal como estavam antes do ciberataque.

 

Ciberataques em 2023

 

Como desencriptar um ataque de Ransomware BlackCat ALPHV .xxtk82y

Devido à lei de proteção de dados, não podemos fornecer informações dos nossos clientes, mas vamos explicar-te um caso que nos aconteceu recentemente com um cliente. Os delinquentes infiltraram-se no seu sistema informático, anularam as medidas de segurança e encriptaram todos os dados dos computadores e laptops das suas três sedes deslocalizadas, mas interconectadas por VPN. Eles acederam aos seus 16 servidores e NAS, ultrapassando várias camadas de segurança eletrónica, como Routers, Firewalls, Switches VPN, etc… e camadas de software de alto nível. Tudo foi encriptado pelo Ransomware BlackCat ALPHV, sem exceção.

 

Ransomware BlackCat

 

 

O que é Ransomware BlackCat de ALPHV?

ALPHV Ransomware

 

Os ataques de Ransomware com BlackCat são realizados por um grupo chamado ALPHV, são muito agressivos e têm estado a realizar estes ataques poderosos desde o final de 2021.

 

O seu encriptador de Ransomware está programado em RUST, sendo atualmente o mais potente no cenário do cibercrime. Conseguiram desenvolver um modelo de encriptação altamente personalizável, adaptado a quem o compra, fácil de usar para quem não tem conhecimentos técnicos e muito simples de modificar e gerar encriptadores que são variações do original. Por isso, não podem ser facilmente detetados e são impossíveis de desencriptar, como aconteceu num caso anterior. Cada ataque de Ransomware BlackCat é único e requer um tratamento individual.

 

Mas se achas que isto é mau, o pior ainda está para vir…

 

O Ransomware BlackCat não só te encripta, mas também rouba a tua informação e envia-a para a sua própria nuvem para a divulgar publicamente. É uma dupla extorsão e, usando novos sistemas de cópia com compressão, conseguem fazê-lo a uma velocidade extremamente alta.

 

A nova operação de Ransomware do grupo ALPHV, conhecida como BlackCat, foi lançada em novembro de 2021 e poderá ser o Ransomware mais sofisticado até à data, com um conjunto altamente personalizável de funcionalidades que permite ataques numa ampla variedade de ambientes corporativos.

 

O BlackCat foi concebido para encriptar ficheiros num sistema informático, copiar dados para uma nuvem e exigir pagamento para desencriptar os ficheiros se não for feito o pagamento… teoricamente, os ficheiros roubados serão publicados.

Pode afetar tanto computadores de secretária como portáteis, servidores e NAS, nada escapa ao Ransomware BlackCat.

 

A quem é dirigido o Ciberataques de Ransomware de BlackCat?

O BlackCat destina-se tanto a particulares como a organizações, tornando-o muito perigoso. Se és alvo do grupo ALPHV por alguma razão… reforça a tua segurança.

 

O Ransomware BlackCat afetou empresas e computadores privados e públicos dos nossos clientes apenas na EUROPA, mas não descartamos a possibilidade de existirem ataques já realizados ou planeados na AMÉRICA e na AMÉRICA LATINA. O Ransomware BlackCat tem estado em operação desde o final de 2021.

 

 

Destacam-se entre as análises realizadas a nível global que o Ransomware BlackCat utiliza táticas de entrada através de campanhas de phishing e spam por e-mail, bem como spear-phishing (um método de phishing dirigido a uma vítima específica), anexando diretamente o malware ao e-mail. Também entra através das vulnerabilidades nas configurações do Protocolo de Área de Trabalho Remota (RDP).

 

A sua principal tática de execução é através de um ficheiro em lote (conhecido como ficheiro Batch, com a extensão .BAT, utilizado para executar comandos no Windows) para executar um script do Powershell que permite à máquina infetada detetar dispositivos e redes conectados através do Protocolo de Controlo de Mensagens da Internet (ICMP, o conhecido Ping) e detetar o armazenamento partilhado através do Bloco de Mensagens do Servidor (protocolo SMB).

 

O Ransomware BlackCat é classificado como uma das ameaças de Ransomware mais perigosas que existem atualmente, pois tem a capacidade de propagar-se rapidamente pelas redes e até desativar o software de segurança.

Após o ataque, o encriptador BlackCat irá encriptar todos os teus dados, incluindo documentos, fotos, vídeos e outros ficheiros importantes.

 

Como desencriptar arquivos encriptados con BlackCat?

 

O Ransomware BlackCat gera aleatoriamente uma chave de encriptação e é praticamente impossível desencriptar os dados diretamente. No entanto, temos técnicas combinadas que têm ajudado muitos clientes.

A forma mais recomendável de recuperar todos os teus dados é optar pelos serviços de uma empresa especializada, obviamente, recomendamos a nossa, mas se preferires, procura outra empresa e não deixes este trabalho de Forensis Digital a qualquer informático sem os conhecimentos e experiência adequados.

 

A LABS 4 Recovery tem os melhores especialistas na área criptográfica, com equipas multidisciplinares formadas por especialistas de mais de 12 países; temos a capacidade de fornecer a SOLUÇÃO QUE NECESSITAS.

 

Há ferramentas gratuitas para desencriptar de Ransomware BlackCat?

Infelizmente, não existem ferramentas gratuitas com capacidade para desencriptar ficheiros encriptados pelo Ransomware BlackCat. Ele foi projetado para tornar cada ataque único e não segue um padrão como um vírus informático.

Além disso, o Ransomware BlackCat é relativamente novo, e nem mesmo o teu software de segurança atual consegue detetar esta ameaça.

 

Para eliminar, não para desencriptar, podes usar o Malwarebytes, que atualmente deteta este malware.

Para ter sucesso na recuperação de dados, as vítimas deste Ransomware BlackCat devem confiar em serviços profissionais para obter ajuda e orientação nesta nova selva cibernética, ou podem ser vítimas de mais fraudes.

 

Quando contactares a LABS 4 Recovery, explica o teu caso e uma equipa encarregar-se-á dele; a rapidez de ação é essencial e dedicar-se-ão exclusivamente a ti.

 

BlackCat, como desencriptar os dados encriptados por Ransomware sem pagar aos deliquentes?

 

Vamos explicar brevemente um caso real, mas deves entender que, devido à lei de proteção de dados, não podemos fornecer informações detalhadas dos nossos clientes. Recentemente, tivemos um cliente empresarial com sedes na Europa e América, que vende uma variedade de produtos internacionalmente e é reconhecido no seu setor de atuação, tornando-o publicamente conhecido.

 

Este cliente, a quem chamaremos VÍTIMA, possui sistemas de segurança por software atualizados e de alto nível técnico. Dispõe de mais de 70 computadores, entre desktops e laptops, além de 16 servidores com máquinas virtuais, sistemas redundantes de cópia de segurança, todos os servidores em RAID, além de um NAS, todos conectados a UPS, e várias camadas de segurança eletrónica, como Routers, Firewalls, Switches VPN, etc. As sedes estão interconectadas por VPN e cada localização possui uma sala de CPD. Tudo foi montado com lógica informática correta e pensada para a segurança.

 

A entrada através do RDP aberto foi a forma como os DELINQUENTES conseguiram aceder, tornando o ataque completamente direcionado à VÍTIMA, com o nome e endereço exatos.

 

Uma vez dentro, desativaram as medidas de segurança assumindo o controle (diz-se que “entraram na cozinha”), copiaram dados para a sua própria nuvem, depois descarregaram o encriptador, geraram uma chave complexa e executaram-o nas máquinas virtuais e computadores conectados naquele momento. Eles escolheram o momento de tal forma que evitassem ser detetados e causassem o máximo dano possível.

 

 

A situação é crítica, com mais de 160 funcionários parados, incapazes de trabalhar, as três fábricas paradas e até as máquinas não podem produzir, pois todos os sistemas estão encriptados e bloqueados, impossibilitados de funcionar. A administração está sem dados e sem computadores. É um bloqueio total!

A empresa VÍTIMA possui um departamento de informática próprio, que pesquisou várias empresas especializadas em desencriptação. Felizmente, entraram em contacto com a LABS 4 Recovery e estudámos o caso do ataque de Ransomware, analisámos os ficheiros e a estrutura dos dados e, após consultar o seu serviço técnico informático, explorámos várias opções:

 

  1. Desencriptar todos os ficheiros encriptados pelo Ransomware BlackCat, criando um desencriptador personalizado e calculando as chaves através de métodos de engenharia reversa, social e aplicando técnicas de força bruta. Embora seja possível, seria muito lento e com um custo tão elevado como o próprio resgate, embora fosse totalmente seguro e abrangesse todos os dados afetados.
  2. Atacar a nível forense os ficheiros contidos nas máquinas virtuais, utilizando engenharia reversa e aproveitando as próprias falhas de segurança nos contentores de dados virtuais para extrair os ficheiros internos. Essa opção agradou ao cliente e a nós, por isso, desenvolvemo-la e executamo-la diretamente, conseguindo todos os dados das máquinas virtuais. Assim, o cliente só precisa transferir os dados para os seus novos sistemas informáticos limpos, como se nada tivesse acontecido.

 

Só conseguimos recuperar os dados contidos nas máquinas virtuais, os restantes dados nos computadores e unidades de rede não poderão ser recuperados dessa forma, mas para o cliente, é mais do que suficiente, ele está satisfeito com este volume de dados recuperados.

 

descifrar archivos encriptados con MedusaLocker

 

Todos os ficheiros contidos nas máquinas virtuais foram extraídos sem falhas nem erros e com a mesma estrutura que tinham antes do ataque.

 

 

 

 

 

 

Conclusão:

é LEGAL, obviamente somos uma empresa e trabalhamos com contrato.

É 100% SEGURO, em caso de não cumprimento, devolvemos 100%.

O custo é acessível, nada comparado às quantidades absurdas pedidas pelos delinquentes.

A fatura é dedutível, pois é um gasto relacionado com a atividade empresarial.

O processo de recuperação é relativamente rápido, dependendo do volume de dados.

Os delinquentes não sabem que contornámos a sua segurança, por isso não sofrerão represálias.

 

Podemos afirmar que o cliente, apesar do infortúnio de ser alvo de um ataque de Ransomware com o BlackCat e de se deparar com empresas que não souberam resolver o caso e até o complicaram mais, no final, tudo foi resolvido felizmente.

 

Solicita a nossa Ajuda Imediata para Desencriptar Ransomware

Não permitas que um ataque de Ransomware paralise a tua vida e o teu negócio.

Estás apenas a um clique de contactar os especialistas que te podem ajudar; estamos prontos para recuperar os teus dados e devolver-te a tranquilidade, porque a LABS 4 Recovery tem a ajuda nos casos mais complexos.

 

Problemas com Ransomware?

Contacta LABS 4 Recovery

 

Na LABS 4 Recovery somos especialistas em solucionar vírus informáticos e ataques de ransomware

  • Windows bitlocker
  • Desencriptação de ransomware
  • Passwords Perdidas
  • Ataque de vírus

 

Temos um grande conhecimento e experiência em trabalhar com projectos e empresas nacionais e internacionais. Contacta-nos para podermos ajudar-te!

 

 

Como conseguimos ajudar tantas empresas ao redor do mundo?

Fácil, embora a LABS 4 Recovery seja uma empresa com apenas 4 sedes na Península Ibérica, estamos em crescimento. Contamos com uma rede de técnicos experientes e confiáveis em todo o mundo. Dessa forma, podemos alcançar todas as regiões e auxiliar várias empresas com projetos simultâneos, seja por meio de trabalho remoto ou presencial.

 

 

¿Prefieres por WhatsAPP?

Também podes falar connosco por whatsapp