Vírus que compacta tudo e bloqueia.

Question

Bom dia pessoal,
Infelizmente algu&eacute;m pegou esse virus e passou para a rede.
Algu&eacute;m me daria alguma luz?

your network has been infected due to improper browsing with infected html :(
* all data has been locked with a unique key and has become .btCry_zip :(
* without the unique key, it is impossible to bring your data to the state of origin :(
* with the exclusive key in hand, it takes 20 minutes to unlock your data :)
* you can get this key for just a fee. contact us email: [email]btcontact@protonmail.com[/email]
send id along with email id-67588824752785452767452345237499285
 PS: * do not rename or change the extension of the files, as this will corrupt the renamed file : (
  * no need to format or reinstall Windows :)
  * do not post this message on a third party website, as they will block the only contact email :(
as proof of trust send me a file of up to 1 mb which i will return to you in its original state :))))
contact us until 04/13/2021

Answer

Se a amea&ccedil;a cumprir o que promete, j&aacute; est&aacute; perdido:
[COLOR=#ff0000]* do not post this message on a third party website, as they will block the only contact email :([/COLOR]

Answer

Pelo menos um computador serviiu de dissemina&ccedil;&atilde;o para o ransonware, dessa maneira o mais adequado &eacute; desligar o centro de compartilhamento (roteador, modem, switch e demais aparelhos) para evitar piorar o estrago sen&atilde;o desativar os adaptadores de rede de todos os computadores e notebook&acute;s.
Agora veja se esse site aqui [ https://www.nomoreransom.org/en/index.html ] consegue te ajudar em algo.

Answer

O problema &eacute; que o computador infectado, infectou todos os outros que estavam na rede.
Como eu posso identificar o computador origem e remover o v&iacute;rus antes de tudo?

Answer

[QUOTE=mshonorato, post: 8421263, member: 653517]O problema &eacute; que o computador infectado, infectou todos os outros que estavam na rede. Como eu posso identificar o computador origem e remover o v&iacute;rus antes de tudo?[/QUOTE]
A essa altura acredito que apenas uma bela auditoria, hist&oacute;rico e aquelas pastas tempor&aacute;rais dos navegadores e e-mail, conversar com a equipe separadamente pra tentar filtrar a origem ...

Answer

Ningu&eacute;m tinha backup, n&eacute;?
Contaminou o servidor (se &eacute; q t&ecirc;m um)?

Com backup seria simples resolver isso.

Answer

Para entender melhor, os computadores dessa rede foram de fato contaminados ou isso &eacute; apenas uma tentativa de extors&atilde;o digital?
Ou seja, os computadores realmente est&atilde;o com os arquivos compactados?

Digo isso porque recentemente recebi uma mensagem desse tipo em um e-mail corporativo, e n&atilde;o havia nada ocorrendo. Era apenas uma mensagem do tipo pega trouxa.
E pelo que vi por ai, muitas vezes a pessoa paga a extors&atilde;o e fica por isso mesmo.

Caso tenha sido mesmo contaminado, eu ainda acho que n&atilde;o se deva pagar a extors&atilde;o pois provavelmente s&oacute; vai perder dinheiro sem garantia alguma de ter o problema resolvido.

Answer

[QUOTE=OP, post: 8421287, member: 19748]Para entender melhor, os computadores dessa rede foram de fato contaminados ou isso &eacute; apenas uma tentativa de extors&atilde;o digital?
Ou seja, os computadores realmente est&atilde;o com os arquivos compactados?

Digo isso porque recentemente recebi uma mensagem desse tipo em um e-mail corporativo, e n&atilde;o havia nada ocorrendo. Era apenas uma mensagem do tipo pega trouxa.
E pelo que vi por ai, muitas vezes a pessoa paga a extors&atilde;o e fica por isso mesmo.

Caso tenha sido mesmo contaminado, eu ainda acho que n&atilde;o se deva pagar a extors&atilde;o pois provavelmente s&oacute; vai perder dinheiro sem garantia alguma de ter o problema resolvido.[/QUOTE]

Infelizmente t&aacute; tudo compactado, mas felizmente fa&ccedil;o backup diariamente.
O problema &eacute; remover o v&iacute;rus de todas as maquinas infectadas, inclusive o servidor e restaurar o backup de tudo.

Answer

N&atilde;o sei quantas m&aacute;quinas s&atilde;o, mas se tiver imagens dos sistemas, tende a ser mais r&aacute;pido.

Os analistas de log n&atilde;o gostam do q falo, mas nesses casos, se tem o backup, mais r&aacute;pido restaurar tudo do zero, do q ficar tentando arrumar uma solu&ccedil;&atilde;o q n&atilde;o existe, pois os arquivos foram criptografados e vc n&atilde;o vai pagar o hacker, pois n&atilde;o tem garantia de nada.

Nessa manh&atilde; q vc perdeu esperando respostas aqui, j&aacute; dava pra ter restaurado algumas m&aacute;quinas....n&atilde;o sei como &eacute; a rotina da empresa, mas uma manh&atilde; sem servidor, j&aacute; ia dar um preju&iacute;zo enorme na minha empresa....

S&oacute; meus 2 cents....
Se prefere mandar logs pra turma aqui, fique &agrave; vontade....
As empresas de seguran&ccedil;a criam ferramentas pr&oacute;prias para alguns ransonwares q encriptam arquivos. Vc pode testar.
Mas acho q o esfor&ccedil;o n&atilde;o vale, pelo tempo gasto.

Answer

Eu desligaria todas as m&aacute;quinas da rede. Depois, j&aacute; que tem becape de tudo, restauraria um a um, acionando um por um novamente &agrave; rede.

Terminado esta etapa, reveja as pol&iacute;ticas de seguran&ccedil;a da empresa e promova treinamento aos funcion&aacute;rios.

Answer

[QUOTE=imhotep, post: 8421299, member: 20043]N&atilde;o sei quantas m&aacute;quinas s&atilde;o, mas se tiver imagens dos sistemas, tende a ser mais r&aacute;pido.

Os analistas de log n&atilde;o gostam do q falo, mas nesses casos, se tem o backup, mais r&aacute;pido restaurar tudo do zero, do q ficar tentando arrumar uma solu&ccedil;&atilde;o q n&atilde;o existe, pois os arquivos foram criptografados e vc n&atilde;o vai pagar o hacker, pois n&atilde;o tem garantia de nada.

Nessa manh&atilde; q vc perdeu esperando respostas aqui, j&aacute; dava pra ter restaurado algumas m&aacute;quinas....n&atilde;o sei como &eacute; a rotina da empresa, mas uma manh&atilde; sem servidor, j&aacute; ia dar um preju&iacute;zo enorme na minha empresa....

S&oacute; meus 2 cents....
Se prefere mandar logs pra turma aqui, fique &agrave; vontade....
As empresas de seguran&ccedil;a criam ferramentas pr&oacute;prias para alguns ransonwares q encriptam arquivos. Vc pode testar.
Mas acho q o esfor&ccedil;o n&atilde;o vale, pelo tempo gasto.[/QUOTE]

Tenho backup do sistema principal da empresa e do diret&oacute;rio onde ficam os principais arquivos e documentos da empresa.
Das esta&ccedil;&otilde;es n&atilde;o tenho backup, nem teria onde guardar.

Answer

[QUOTE=mshonorato, post: 8421303, member: 653517]Tenho backup do sistema principal da empresa e do diret&oacute;rio onde ficam os principais arquivos e documentos da empresa.
Das esta&ccedil;&otilde;es n&atilde;o tenho backup, nem teria onde guardar.[/QUOTE]
Supondo q as pessoas salvem os arquivos de produ&ccedil;&atilde;o no servidor, nem seria t&atilde;o necess&aacute;rio backup dos arquivos das esta&ccedil;&otilde;es. Mas uma imagem limpa de sistema ajuda a restaurar em casos assim, pra n&atilde;o ter q ficar reinstalando programas um por um, em cada m&aacute;quina. Se essas imagens n&atilde;o existem, o jeito &eacute; reinstalar do zero....sem rede, como o JN falou.

Answer

:anjinho:

Al&eacute;m disso, vai ser necess&aacute;rio rever as pol&iacute;ticas de permiss&otilde;es dos usu&aacute;rios, algu&eacute;m est&aacute; utilizando a esta&ccedil;&atilde;o de trabalho para fins pessoais e a&iacute; a seguran&ccedil;a da rede j&aacute; era.

:adeus:

Answer

Me lembro l&aacute; por 2004, a empresa em q eu trabalhava tinha contrato com a Oi.
E um dos nossos consultores ficava rodando entre o escrit&oacute;rio da Oi e o nosso.

O note dele pegou o worm Sasser por l&aacute; e foi logo ele plugar o cabo de rede no nosso escrit&oacute;rio (wifi n&atilde;o era comum na &eacute;poca) e nossa rede imediatamente caiu. Foram umas boas horas pra resolver, mas naquela &eacute;poca as coisas eram menos complexas.

Answer

Pessoal,
Algumas coisas deu para resolver com o backup, mas programas como os de IRPF est&atilde;o perdidos.
Ser&aacute; que existe alguma solu&ccedil;&atilde;o?

Ferramentas

Mover Tópico