0
1

Bom, um dos notebooks da empresa pegou o vírus Cryptolocker, eu vou ver se consigo remover, nunca tinha me deparado com isso antes.

Qualquer ajuda será bem vinda. Vou transformar isso num material para referencia posterior. Se tiver que acabar em formatação, azar do usuário.

O tópico http://forum.techtudo.com.br/perguntas/115495/como-saber-se-estou-livre-do-perigoso-randomware-cryptolocker vai me ajudar inicialmente, vou começar pela sugestão do próprio autor.

perguntou May 21 '15 às 11:33

andreitajai's gravatar image

andreitajai ♦
43465413.8k

editou May 21 '15 às 11:34

Bom pessoal, dando um UP aqui...

O vírus veio por email, contaminou o notebook e logo se espalhou pela rede infectando 3 maquinas que tinham pastas compartilhadas.

Os arquivos .jpg, .doc, .docx, .xls, .xlsx e .zip foram "automaticamente" convertidos em .exx

No notebook, todos os arquivos com essas extensões foram convertidos.

Nos micros com pasta de compartilhamento, todos os arquivos dessas pastas com essas extensões foram convertidos.

No notebook, o papel de parede foi alterado para:

alt text

Um aviso na tela fica exibindo uma mensagem com um procedimento para o resgate dos arquivos.

alt text

No notebook foram apagados vários arquivos executáveis, com nomes estranhos b213423b.exe, por exemplo. Todos em C:users"usuário"AppData e subpastas (local/LocalLow/Roaming)

link permanente

respondeu May 21 '15 às 15:26

andreitajai's gravatar image

andreitajai ♦
43465413.8k

editou May 21 '15 às 15:28

Vou acompanhar esse caso, até agora não achei um relato confiável de que conseguiram remover essa infecção, ela por enquanto é irreversível.

att

link permanente

respondeu May 21 '15 às 18:38

marcmira's gravatar image

marcmira ♦
36356531.3k

Remover até remove, porém....

  • Inicialmente, executei a restauração do Windows para uma data anterior.
  • Eu passei Adwcleaner, mas não removeu nada sobre isso, excluiu alguns cookies, nada demais.
  • Eu passei o Combofix, esse sim removeu alguns arquivos .exe e .sys, mas nada em %appdata%.
  • Fui no Regedit, caminho Hkey_local_machine_Software_Microsoft_Windows_CurrentVersion_Run, e apaguei as linhas dos executáveis que estavam da pasta %AppData%, depois mandei reiniciar. No msconfig não aparece nada.
  • Coloquei para exibir arquivos ocultos e protegidos do sistema, mandei o windows localizar arquivos .exe e os que eu sabia que eram os vírus, exclui manualmente (eu havia tentado fazer isso antes de passar o adwcleaner e combofix, mas como esses arquivos estavam em execução não foi possível remover manualmente, mas depois foi tranquilo).
  • Depois eu passei o Malwarebytes, mas não encontrou nada zero arquivos infectados.
  • Esse notebook era novo e não tinha antivírus, instalei o Avast Free, mandei atualizar, fiz uma varredura completa, mas também não encontrou nada.

Posso concluir então que o sistema foi limpo.

Mas e OS ARQUIVOS ????????

Continuaram com a extensão .exx, não foi possível recuperá-los. Todos os arquivos foram perdidos. Tentei com o Recuva recuperar os arquivos, mas não encontrou nada. Os arquivos estão la, não adianta tentar mudar a extensão, o ícone até muda, mas quando tenta abrir (seja DOC ou XLS) a mensagem de que o arquivo não poderia ser aberto é exibida.

Eu vou tentar com outros programas de recuperação de arquivos, espero que consiga recuperar alguma coisa.

Bom, os computadores que tinham pastas compartilhadas (3 no total) também tiveram os arquivos com as extensões já citadas convertidos em .exx, mas os executáveis não infectaram esses computadores e também nenhuma outra pasta do Windows teve os arquivos convertidos.

link permanente

respondeu May 21 '15 às 23:13

andreitajai's gravatar image

andreitajai ♦
43465413.8k

Sua resposta
mudar para preview

Siga esta pergunta

Por Email:

Uma vez que você entrar você poderá se inscrever para todas as atualizações aqui

Por RSS:

Respostas

Respostas e Comentários

Markdown Básico

  • *italico* ou __italico__
  • **negrito** or __negrito__
  • link:[texto](http://url.com/ "Qual é a sua dúvida?")
  • imagem?![alt texto](/path/img.jpg "Qual é a sua dúvida?")
  • lista numerada: 1. Foo 2. Bar
  • para adicionar uma quebra de linha basta adicionar dois espaços onde você gostaria que a nova linha estivesse.
  • tags HTML básicas também são suportadas

Tags

×4,039
×158
×13
×2
×1

pergunta feita: May 21 '15 às 11:33

pergunta lida: 1,300 vezes

última alteração: Feb 26 '16 às 10:54