1 of 3
Nível de perigo 9
Tipo: Trojan
Sintomas comuns de infecção:
  • Instala-se sem permissão
  • Travamento do sistema

CryptoJoker Ransomware

O CryptoJoker Ransomware não é uma infeção malware que possamos ignorar ou considerar como sendo uma piada ("joke"); aliás, poderá mesmo considerar como o seu pior pesadelo. Apesar de parecer que este Trojan não está muito divulgado, à medida que o tempo passa, irá ganhar maiores proporções do que a infeção malware "cake". Independentemente da sua "popularidade" atual, você deverá ser avisado sobre esta ameaça grave e perigosa para o seu sistema operativo e arquivos pessoais. Se esta infeção de malware entrar no seu computador e cumprir a sua missão, provavelmente terá de despedir-se dos seus documentos, imagens e bases de dados, que serão codificados em um minuto; salvo se você for um usuário atento à segurança que mantém cópias de segurança em discos rígidos externos. Esta é a única forma de recuperar os seus arquivos porque, mesmo que pague o resgate que este Trojan tenta extorquir ao usuário, isso poderá não ajudar. Se você não remover imediatamente o CryptoJoker Ransomware, você poderá não só perder os seus arquivos, mas também poderá deixar de usar o seu computador.

O instalador deste Trojan está disfarçado como um arquivo PDF. Assim sendo, é provável que seja distribuído através de mensagens de correio de eletrônico em spam. De forma a evitar infeções Trojan, uma das regras mais importantes é nunca abrir mensagens de correio eletrônico desconhecidas e nunca clicar em links e anexos de mensagens de correio eletrônico que pareçam oficiais ou conhecidas - salvo se estiver a aguardar essas mensagens - porque o spam poderá parecer autêntico. Está tudo relacionado com embuste. Ao ir à sua caixa de correio eletrônico, poderá nem pensar duas vezes antes de abrir uma mensagem, por exemplo, de um provedor de internet conhecido ou do seu próprio. Obviamente, os ciber criminosos utilizam táticas sofisticadas para se certificarem que você clica nos links ou arquivos anexos, neste caso um documento .pdf. Mas assim que você clica, não há volta a dar; o Trojan entra no seu computador e inicia a sua tarefa maliciosa imediatamente. A única forma de evitar esta situação é ter uma ferramenta de remoção de malware atualizada.

Esta infeção Trojan utilizar diversos arquivos para concluir a sua tarefa. Primeiro, cria ou baixa os seguintes arquivos de texto para a sua área de trabalho: GET MY FILES.txt, READ NOW.txt, read this file.txt, READ.txt, README!!!.txt, readme.txt, DECRYPT FILES.txt, ПРОЧТИ.txt, e РАСШИФРОВАТЬ ФАЙЛЫ.txt. Estes arquivos contêm, principamente, a nota de resgate com texto em Inglês e Russo e as extensões alvo. Também cria os seguintes arquivos na diretoria %Temp%: drvpci.exe, windefrag.exe, windrv.exe, winpnp.exe, crjoker.html, GetYouFiles.txt, imgdesktop.exe, README!!!.txt, e new.bat. Depois, este malware adiciona as seguintes entradas de registro para que os arquivos executáveis drvpci.exe, windefrag.exe, e winpnp.exe possam iniciar com o Windows:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  • drvpci “C:\Users\user\AppData\Local\Temp\drvpci.exe”
  • windefrag “C:\Users\user\AppData\Local\Temp\windefrag.exe”
  • winpnp “C:\Users\user\AppData\Local\Temp\winpnp.exe”

Para além destes arquivos, também cria dois arquivos na diretoria %AppData% chamados baefefbed.exe, o nome de um resgate, e README!!!.txt22. Esta é a chave de registro que este Trojan adiciona para o executável: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run

baefefbed “C:\Users\user\AppData\Roaming\baefefbed.exe." Cada um desses arquivos é utilizado para executar várias tarefas, incluindo enviar informações para o servidor de Comando e de Controlo, verificando e terminando todos os processos ativos no Gerenciamento de Tarefas e Editor de Registros, e por aí fora.

Descobrimos que o CryptoJoker Ransomware tem como alvo as seguintes extensões de documentos, imagens e bases de dados: txt, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .jpg, .png, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .xml, .psd, .java, .jpeg, .pptm, .pptx, .xlsb, .xlsm, .db, .docm, .sql, .pdf. Quando este ransomware inicia a codificação dos seus arquivos, irá executar um scan a todas as drives disponíveis, incluindo drives de redes mapeadas, tendo como alvo estas extensões. Assim que a codificação do arquivo é feita, este malware adiciona a extensão .crjoker, por exemplo: myphoto.jpg.crjoker. Esta infeção Trojan utiliza o sistema AES-256 para codificar os seus arquivos, sendo uma codificação integrada no Windows; assim sendo, todo o processo não demorará mais do que um minuto. Assim, você percebe que terminar esta infeção antes que ela termine a sua missão é praticamente impossível, salvo se, obviamente, você tiver super-poderes e possa reagir em milisegundos após aperceber-se de que não consegue acessar aos seus arquivos ou que as suas extensões foram alteradas sem a sua autorização.

Quando o ransomware termina a sua missão destruidora nas drives disponíveis, irá exibir uma pequena janela na sua tela, em cima de todas as janelas ativas, com instruções em Inglês e em Russo. Esta infeção também se certifica que você não consegue executar o Gerenciamento de Tarefas e o editor de Registros de forma a proteger-se. Irá também executar um arquivo batch (new.bat) que executa a remoção de cópias sombra dos seus arquivos para que estes arquivos não possam ser reparados automaticamente. As instruções da nota de resgate informam que você deverá um e-mail para instruções de pagamento para os seguintes endereços: file987@sigaint.org, file9876@openmail.cc, or file987@tutanota.com.

Apesar de a nota de alerta de resgate afirmar que os seus arquivos foram codificados com o sistema RSA-2048, apenas o seu código pessoal é codificado com este método, o único que é suposto você enviar por contacto de e-mail. São-lhe dadas 72 horas para transferir o dinheiro que estes criminosos pedem ou o montante irá aumentar. Também lhe será dito que não deverá tentar remover a infeção ou os seus arquivos porque poderá resultar numa "perda irremediável das informações." Obviamente, não existe qualquer garantia de que você terá a chave prometida ou o descodificador; nunca existe essa garantia. E é aqui que uma cópia de segurança se torna bastante útil. Se você mantiver os seus arquivos pessoais armazenados numa pendrive ou HDD externo, poderá copiá-los de volta para o seu computador em qualquer altura. No entanto, é importante certificar-se de que o sistema está sempre seguro. Assim sendo, aconselhamos a deletar o CryptoJoker Ransomware o mais rapidamente possível para que possa iniciar a recuperação dos seus arquivos.

Se você não tiver uma cópia de segurança, lamentamos mas não conseguirá descodificar os seus arquivos com ferramentas. É possível que de futuro, quando o ransomware atingir mais computadores e os peritos percebam como descodificar arquivos, existam ferramentas gratuitas disponíveis. Mas até lá, não há muito que possa fazer para além de limpar o seu sistema deste invasor perigoso.

A única forma de eliminar o CryptoJoker Ransomware é indo ao Modo Seguro com Rede após reiniciar o computador. Depois, poderá remover todos os arquivos e entradas de Registro criadas. Mas antes de o fazer, certifique-se de que as pastas ocultas são exibidas no Explorador de Arquivos; caso contrário, você não encontrará a diretoria %AppData%. No entanto, se está a considerar pagar um resgate, você não deverá deletar estes arquivos de texto da sua área de trabalho porque contêm instruções, o seu código de codificação e os endereços de correio eletrônico que é suposto você utilizar. Após ter terminado, você deverá reiniciar o computador. Siga as instruções em baixo cuidadosamente porque se você deletar as chaves de registro erradas, poderá ser pior. Na verdade, recomendamos a remoção manual apenas para usuários experientes que saibam o que está em risco. Para uma remoção mais segura e eficaz, recomendamos a utilização de uma ferramenta de remoção de malware profissional.

Como reiniciar em Modo Seguro com Rede

Windows 8, Windows 8.1 e Windows 10

  1. Prima Win+I e clique no ícone de Energia.
  2. Ao premir e manter premida a tecla Shift, prima Reiniciar.
  3. Selecione Resolução de Problemas e, Opções Avançadas.
  4. Selecione Definições de Arranque.
  5. Prima Reiniciar.
  6. Prima F5 para reiniciar o seu PC em Modo Seguro com Rede..

Windows XP, Windows Vista, e Windows 7

  1. Reinicie o seu PC e prima a tecla F8.
  2. Selecione Modo Seguro com Rede no menu e prima Enter.

Exibir itens ocultos no Explorador de Arquivos Windows

Windows 8, Windows 8.1, Windows 10

  1. Prima Win+E.
  2. Selecione o Menu Visualizar e selecione a caixa Itens Ocultos.

Windows Vista e Windows 7

  1. Prima Win+E.
  2. Prima o botão Organizar e selecione Opções de pastas e busca no menu.
  3. Selecione o separador Visualizar.
  4. Selecione Exibir arquivos e pastas ocultas.
  5. Prima OK.

Windows XP

  1. Prima Win+E e selecione o menu de Ferramentas.
  2. Selecione as Opções de Pasta.
  3. Clique no separador Visualizar.
  4. Selecione Exibir arquivos e pastas ocultas.
  5. Prima OK.

Como remover o CryptoJoker Ransomware

  1. Prima Win+E e localize a pasta C:\Users\user\AppData\Local\Temp.
  2. Encontre e apague os seguintes arquivos: drvpci.exe, windefrag.exe, windrv.exe, winpnp.exe, crjoker.html, GetYouFiles.txt, imgdesktop.exe, README!!!.txt, e new.bat.
  3. Localize a pasta C:\Users\user\AppData\Roaming.
  4. Encontre and apague os seguintes arquivos: baefefbed.exe e README!!!.txt22.
  5. Prima Win+R e digite regedit. Prima OK.
  6. Localize e apague as seguintes entradas de Registro:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    \drvpci “C:\Users\user\AppData\Local\Temp\drvpci.exe”
    \windefrag “C:\Users\user\AppData\Local\Temp\windefrag.exe”
    \winpnp “C:\Users\user\AppData\Local\Temp\winpnp.exe”
  7. Localize e remova a seguinte entrada de Registro:
    HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
    \baefefbed “C:\Users\user\AppData\Roaming\baefefbed.exe.”
  8. Reinicie o seu sistema operativo.
Download a ferramenta de Remoção de Spyware para remover* CryptoJoker Ransomware
  • Solução rápida & e testada para CryptoJoker Ransomware Remoção de .
  • Scan 100% grátis para Windows
disclaimer
Disclaimer

Postar comentário — PRECISAMOS DA SUA OPINIÃO!

Comentário:
Nome:
Por favor digite o código de segurança:
This is a captcha-picture. It is used to prevent mass-access by robots.