Table of Contents
ToggleEm LABS 4 Recovery, não nos dedicamos à segurança informática, mas temos vários laboratórios de recuperação de dados. Um deles especializou-se em recuperar dados encriptados por ataques de Ransomware. Não podemos ajudar na proteção dos teus dados, mas se estás a ser alvo de um ataque de Ransomware, podemos ajudar a desencriptá-los ou, pelo menos, recuperar os seus dados tal como estavam antes do ciberataque.
Por motivos de proteção de dados, não podemos fornecer informações dos nossos clientes, mas vamos explicar um caso recente que ocorreu com um cliente. Há pouco tempo, um cliente enfrentou um incidente em seu sistema informático, no qual todas as medidas de segurança foram desativadas e todos os dados de seus computadores, laptops e seus 6 servidores NAS foram encriptados.
Os invasores conseguiram burlar várias camadas de segurança eletrónica, como routers, firewalls, switches VPN, etc., e camadas de software de alto nível.
O que é Ransomware MedusaLocker?
O MedusaLocker é um Ransomware que foi observado pela primeira vez no final de 2019, especificamente em outubro.
Ele foi projetado para encriptar arquivos em um sistema informático e exigir o pagamento da chave de desencriptação, sendo, portanto, um resgate por sequestro do MedusaLocker.
Pode afetar tanto computadores de secretária quanto portáteis, servidores e NAS, tornando-se uma ameaça que não poupa nada ao Ransomware MedusaLocker.
A quem se dirige o Ransomware MedusaLocker?
O MedusaLocker direciona-se tanto a particulares como a organizações, tornando-se, portanto, muito perigoso.
O MedusaLocker tem afetado empresas e computadores particulares de nossos clientes na EUROPA, AMÉRICA e LATAM, mas provavelmente também no resto do mundo, considerando o ecossistema informático globalmente interconectado.
O Ransomware MedusaLocker vem operando desde o final de 2019, em outubro.
A sua evolução permitiu-lhe alcançar um nível de desenvolvimento tal que agora é oferecido à venda como “Ransomware as a Service” (RaaS), o que permite que aqueles que não têm habilidade ou tempo para desenvolver sua própria variante de Ransomware operem de forma rápida e acessível, multiplicando exponencialmente a quantidade de criminosos nesta cena do Ransomware.
Isso também lhes oferece a possibilidade de realizar ataques direcionados com implantações rápidas, aproveitando novas oportunidades ou vulnerabilidades descobertas em sistemas externos, além de permitir o lançamento de campanhas de ataques gerais ou setoriais.
Destaca-se entre as análises globais que o Ransomware MedusaLocker usa táticas de entrada através de campanhas de phishing e spam por e-mail, bem como spear-phishing (método de phishing direcionado a uma vítima específica), anexando diretamente o Malware ao e-mail. Além disso, também se aproveita das vulnerabilidades nas configurações do Protocolo de Área de Trabalho Remoto (RDP).
A sua principal tática de execução é através de um arquivo em lotes (conhecido como arquivo Batch, com extensão .BAT, usado para executar instruções no Windows) para executar um script do PowerShell que permite que a máquina infectada detete dispositivos e redes conectadas através do Protocolo de Controle de Mensagens da Internet (ICMP, conhecido como “ping”) e detete o armazenamento compartilhado através do Bloco de Mensagens do Servidor (protocolo SMB).
O Ransomware MedusaLocker é classificado como uma das ameaças de Ransomware mais perigosas atualmente, devido à sua capacidade de se propagar rapidamente pelas redes e até mesmo desativar o software de segurança.
Uma vez sofrido o ataque, o encriptador MedusaLocker cifrará todos os seus dados, incluindo documentos, fotos, vídeos e outros arquivos importantes.
Como desencriptar arquivos encriptados com o MedusaLocker?
O Ransomware MedusaLocker gera aleatoriamente uma chave de cifragem, tornando praticamente impossível desencriptar os dados de forma direta. No entanto, temos técnicas combinadas que têm sido úteis para muitos clientes.
A forma mais recomendável de recuperar todos os seus dados é optar pelos serviços de uma empresa especializada. Obviamente, recomendamos a nossa, mas se não quiser, procure outra, não deixe esse trabalho de Forenses Digitais para qualquer informático sem os conhecimentos e experiência adequados.
A LABS 4 Recovery tem os melhores especialistas do setor criptográfico, com equipas multidisciplinares formadas por peritos de mais de 12 países. Temos a capacidade de oferecer a SOLUÇÃO QUE PRECISA.
Existem ferramentas gratuitas de Desencriptação Ransomware MedusaLocker protect6?
Infelizmente, não existem ferramentas gratuitas capazes de desencriptar arquivos encriptados pelo Ransomware MedusaLocker. Têm em mente que, sendo um RaaS, cada ataque é único e não segue um padrão como um vírus informático.
Também é importante notar que o Ransomware MedusaLocker é uma forma relativamente nova de Ransomware, e nem mesmo o teu software de segurança consegue detetar esta ameaça.
Para remover, não para desencriptar, pode usar o Malwarebytes, que atualmente deteta este malware.
Para ter sucesso na recuperação de dados, as vítimas deste Ransomware MedusaLocker devem confiar em serviços profissionais para obter ajuda e orientação neste novo cenário cibernético, ou poderão enfrentar mais golpes.
Quando entrares em contato com a LABS 4 Recovery, explique o seu caso e uma equipa dedicada cuidará dele. A rapidez de ação é essencial, e dedicar-nos-emos exclusivamente a si.
MedusaLocker: como desencriptar os dados encriptados pelo Ransomware sem pagar aos delinquentes quando são arquivos PROTEC6
Vamos abordar superficialmente um caso real, mas entendam que, devido à proteção de dados, não podemos fornecer informações detalhadas dos nossos clientes. Dentro dos limites permitidos, explicaremos um caso que ocorreu com um cliente há alguns dias.
Trata-se de um cliente de perfil empresarial, sediado na Europa, que possui um produto vendido internacionalmente e é conhecido no seu setor de trabalho,
Este cliente, a quem vamos chamar de VÍTIMA, possui sistemas de segurança por software atualizados e de alto nível técnico, contando com mais de 50 computadores, entre desktops e laptops, além de 6 servidores montados com máquinas virtuais, sistemas de cópia de segurança redundantes, todos os servidores em RAID, além de um NAS, todos conectados a UPS, e várias camadas de segurança eletrônica, como routers, firewalls, switches VPN, etc.
A forma pela qual os DELINQUENTES conseguiram entrar foi através do RDP, tornando o ataque totalmente direcionado à VÍTIMA, com nome e endereço exatos.
Uma vez dentro, desativaram as medidas de segurança, assumindo o controle total (diz-se que entraram “até à cozinha”), baixaram o encriptador, geraram uma chave complexa e a executaram nas máquinas virtuais e computadores conectados naquele momento. Esses são escolhidos de tal forma que evitam ser detectados e causar o maior dano possível.
A situação é crítica, com mais de 60 funcionários parados, sem poderem trabalhar, a fábrica parada e as máquinas sem produzir, já que todos os sistemas estão encriptados e bloqueados, sem dados e sem computadores. É um bloqueio técnico absoluto!
A empresa VÍTIMA não possui um departamento de informática próprio, mas conta com os serviços subcontratados de outra empresa especializada no setor de instalações e manutenção de sistemas. Essa empresa procurou diversas empresas especializadas em desencriptação, mas infelizmente não encontrou bons profissionais. Algumas dessas empresas entraram em contato com o intermediário mencionado na nota de resgate, que solicitou mais de 40.000€ sem garantias, obviamente…
Mas aqui ocorre um grave erro pela segunda vez: pediram para desencriptar um arquivo, especificamente a folha de Excel de vendas, o que permitiu que o intermediário visse o volume total anual de faturação, não o lucro, mas a faturação, que era de milhões de euros. O intermediário tornou-se ganancioso e pediu uma quantia indecente de dinheiro.
O primeiro erro foi entrar em contato com os criminosos, e o segundo foi fornecer-lhes dados de faturação. Assim, a VÍTIMA decidiu abandonar os dados, assumir a perda e trabalhar durante meses para gerar novamente os dados e documentações perdidas, demitindo funcionários e sem ter produção.
Por acaso, entraram em contato com a LABS 4 Recovery, e analisamos o caso do ataque de Ransomware justo quando estavam prestes a desistir, pois ninguém estava oferecendo uma solução. Analisamos os arquivos, verificamos a estrutura dos dados e, após falar com o seu serviço técnico informático, consideramos as opções:
- Desencriptar todos os arquivos encriptados pelo Ransomware MedusaLocker v3, gerando um desencriptador personalizado e calculando as chaves através de métodos de engenharia reversa, social e aplicando técnicas de cálculo por força bruta. Isso é viável e já fizemos antes, mas será um processo lento e com um custo ainda maior do que o próprio resgate, embora seja completamente seguro e cubra todos os dados afetados.
- Atacar os arquivos VHDX das máquinas virtuais a nível forense, usando engenharia reversa e aproveitando as próprias vulnerabilidades nos contentores de dados virtuais para extrair os arquivos internos. Essa opção agradou ao cliente e a nós, e a desenvolvemos e executamos diretamente, conseguindo recuperar todos os dados das máquinas virtuais. Com isso, o cliente só precisa transferir os dados para os seus novos sistemas informáticos limpos, como se nada tivesse acontecido.
Todos os arquivos contidos nas máquinas virtuais foram extraídos sem falhas, erros e com a mesma estrutura que tinham antes do ataque.
É LEGAL, obviamente, somos uma empresa e atuamos com contrato.
É 100% SEGURO, em caso de não cumprimento, devolvemos 100%.
O valor é acessível, nada comparado às quantidades absurdas pedidas pelos criminosos.
A fatura pode ser deduzida, uma vez que se trata de uma despesa empresarial.
O processo de recuperação é relativamente rápido, dependendo do volume de dados.
O Delinquente não sabe que contornamos a sua segurança; portanto, não sofrerão represálias.
Podemos afirmar que o cliente, apesar da má sorte de ter sido afetado por um ataque de Ransomware com o MedusaLocker e depois enfrentar empresas que não souberam resolver o seu caso, o complicando ainda mais, no final, tudo foi resolvido com sucesso.
Solicita a nossa ajuda para Desencriptar Ransomware
Não permitas que um ransomware atrapalhe a tua vida e negócios
Pré-análise do teu equipamento gratuito, encontramos a melhor solução para ti!
Problemas com Ransomware?
Contacta LABS 4 Recovery
Na LABS 4 Recovery somos especialistas em solucionar vírus informáticos e ataques de ransomware
- Windows bitlocker
- Desencriptação de ransomware
- Passwords Perdidas
- Ataque de vírus
Desencriptação de Máquinas Virtuais afectadas por Ransomware
Desencriptação de Base de Dados afectadas por Ransomware
Temos um grande conhecimento e experiência em trabalhar com projectos e empresas nacionais e internacionais. Contacta-nos para podermos ajudar-te!
Como conseguimos ajudar tantas empresas ao redor do mundo?
Fácil, embora a LABS 4 Recovery seja uma empresa com apenas 4 sedes na Península Ibérica, estamos em crescimento. Contamos com uma rede de técnicos experientes e confiáveis em todo o mundo. Dessa forma, podemos alcançar todas as regiões e auxiliar várias empresas com projetos simultâneos, seja por meio de trabalho remoto ou presencial.
- Desencriptação de Ransomware