HydraCrypt Ransomware

O HydraCrypt Ransomware é uma infeção grave criada com um objetivo - extorquir dinheiro dos usuários. Os ciber criminosos sabem que extorquir dinheiro não é uma tarefa fácil, por isso codificam todos os arquivos dos usuários e pedem-lhes um resgate. O HydraCrypt Ransomware não é uma ameaça única. Uma pesquisa demonstrou que age de forma semelhante ao 7ev3n Ransomware, NanoLocker Ransomware e JS.Crypto Ransomware. Tal como todas estas ameaças previamente lançadas, o HydraCrypt Ransomware não pode ser removido através do Painel de Controle. Obviamente, você terá de o remover, especialmente se você não quiser dar o seu dinheiro a ciber criminosos e se decidiu recuperar os arquivos a partir de uma cópia de segurança, como por exemplo, como uma pen drive USB e/ou disco rígido externo.

Os investigadores da pcthreat.com testaram este ransomware de forma aprofundada e descobriram que ele faz uma cópia automática de si próprio numa destas diretorias após entrar no sistema: %APPDATA%, %LOCALAPPDATA% ou %TEMP%. Temos a certeza que existe um motivo principal para agir desta forma. É muito provável que o HydraCrypt Ransomware faça isso de forma a garantir que não pode ser facilmente removido pelo usuário. Além disso, ele tenta ocultar a sua presença durante algum tempo porque precisa de 10 a 20 minutos para terminar a codificação de todos os arquivos que existem no sistema. Os especialistas afirmam que o HydraCrypt Ransomware irá adicionar também dois Valores, um dos quais poderá ser ChromeSettingsStart3264 (com os Dados de Valor C:\Users\user\AppData\Roaming\ChromeSetings3264\rovaxowy.exe). Estes podem ser encontrados em HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. Não existem dúvidas de que cria estes valores na chave de registro RUN de forma a não desaparecer após o computador reiniciar e ter a capacidade de iniciar junto com o Windows.

Após terminar a sua principal função - codificar arquivos com extensões como .bin, .mp4, .ppt, .pptx, .txt, .wma, .wmw, .jpg, .html, .docx e .dat, esta ameaça irá exibir uma mensagem na sua tela. A mensagem informa os usuários sobre a codificação e dá instruções sobre quais os passos a tomar de seguida:

Encryption was made with a special crypto-code!

There NO CHANCE to decrypt it without our special software and your unique private key!

To buy your software You need to contact us by EMAIL

Você também irá encontrar dois endereços de correio eletrônico nesta mensagem: XHELPER@DR.COM e AHELPER@DR.COM. Terá de entrar em contacto com os ciber criminosos através de um destes endereços de forma a receber mais instruções. Você terá 72 horas para o fazer. Se você não contactar os proprietários desta ameaça dentro do período de tempo limitado, irá destruir todos os seus arquivos e mesmo vendê-los no mercado negro (pelo menos, é o que afirmam). Se você entrar em contacto com os ciber criminosos, temos a certeza de que irão dizer-lhe a soma exata que terá de transferir para eles. É muito provável que precisem do dinheiro em Bitcoins. Você é a única pessoa que poderá decidir se vai transferir o dinheiro ou não; no entanto, sugerimos que você recupere os seus arquivos a partir de uma cópia de segurança se você tiver essa chance, porque ninguém sabe se você irá recuperar o acesso aos seus ficheiros após realizar o pagamento.

Foi observado que os usuários podem baixar o arquivo principal do HydraCrypt Ransomware após abrirem uma mensagem de correio eletrônico em spam, clicarem num link suspeito ou se instalaram software a partir de páginas suspeitas de terceiros. Para além disso, esta ameaça poderá entrar nos computadores com a ajuda de outro software malicioso instalado no sistema. Assim sendo, seria inteligente verificar se o sistema está limpo. Ao que parece, nada de mau irá acontecer se os usuários não clicarem duas vezes no principal arquivo do HydraCrypt Ransomware mesmo que o baixem para os seus PC's. Infelizmente, a maioria dos usuários faz isso e permite que a ameaça entre nos seus sistemas. Se você acha que não consegue proteger o seu computador de software malicioso, você deve instalar uma ferramenta de segurança no seu PC. Temos a certeza que irá prevenir que o malware entre no seu sistema no futuro.

Apesar de o HydraCrypt Ransomware não bloquear arquivos .exe e utilitários do sistema como outras infeções de ransomware que existem na rede, não é fácil remover esta ameaça. Assim sendo, preparámos as instruções de remoção manual, que seguem no final deste artigo. No caso de estas instruções não conseguirem ajudar você, deverá baixar, instalar e executar um scan ao seu sistema com uma ferramenta automática de remoção de malware, como o SpyHunter. Lembre-se, os seus arquivos irão manter-se codificados mesmo que você remova o HydraCrypt Ransomware; no entanto, você terá de o fazer o mais rápido possível.

Como remover o HydraCrypt Ransomware

Exibir pastas e arquivos ocultos

Windows XP

1. Clique no botão Iniciar.
2. Selecione o Painel de Controle e abra as Aparências e Temas.
3. Selecione Opções de Pasta.
4. Abra o separador Exibir.
5. Na parte Pastas e arquivos ocultos, marque Mostrar arquivos e pastas ocultos.
6. Clique em OK.

Windows 7/Vista

1. Clique no botão Iniciar.
2. Selecione Painel de Controle.
3. Abra Aparência e Personalização.
4. Selecione Opções de Pasta.
5. Abra o separador Exibir.
6. Marque Mostrar arquivos, pastas e unidades ocultas, na parte Pastas e arquivos ocultos.
7. Clique em OK.

Windows 8/8.1/10

1. Abra o Explorador de Windows.
2. Clique no separador Exibir no topo
3. Clique em Opções.
4. Abra o separador Exibir.
5. Marque Mostrar arquivos, pastas e unidades ocultas.
6. Clique em OK.

Remover ransomware

1. Abra o RUN (tecla Windows + R).
2. Digite regedit e clique em OK.
3. Mova para HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.
4. Localize o Valor ChromeSetingsStart3264 (poderá ter um nome diferente).
5. Clique com o lado direito do mouse e Remova-o.
6. Feche o Editor do Registro.
7. Abra o Explorador de Windows.
8. Vá a %APPDATA%, %LOCALAPPDATA%, e %TEMP% (copie e cole a diretoria na caixa de endereço e prima Enter) e encontre o arquivo com uma sequência de letras aleatória.
   
9. Clique com o lado direito do mouse no arquivo e selecione Deletar.
10. Remova duas imagens que têm o símbolo do HydraCrypt ransomware e todos os arquivos que pertencema a esta ameaça do seu Área de Trabalho.
    
11. Esvazie a Lixeira.
12. Reinicie o seu computador.

Recomendamos que execute um scan ao seu sistema com uma ferramenta automática de remoção de malware de forma a verificar se esta infeção de ransomware foi removida na totalidade.