Ransomware com extensão .umbrela
Veremos como decryptar arquivos criptografados pelo ransoware Xorist
Imaginamos que você já limpou e seu server ou computador!
Dica: Acabou de pegar o ransoware? Desligue e tire o cabo de rede dos computadores e servidores que estavam ligados no momento da identificação (Dica: de preferencia a servidores e computadores que tenham RDP remote desktop habilitado). Ligue os computadores fora da rede e tente logar nele, se encontrar uma mensagem de HOW TO DECRYPTY FILES.TXT em seu desktop entao o mesmo estara infectado. Faça o mesmo procedimento em todos os outros PCs. Isole os que tem esta mensagem e os que nao estiiverem logando. Claro que você precisara depois checar cada computador manualmente para ver se tem algo no iniciar da maquina executando um exe de nome randomico na pasta temporaria %temp% dos perfis de usuarios. Lembre-se que a pasta temp tem em todos os perfis que utilizam a maquina. Portanto, verifique se existe em todos os perfis, comecando pelo que estava logado por ultimo.
Depois de identificado e removido o virus iremos decriptografar.
Direto ao assunto!
Este ransomware é da Familia Xorist e os arquivos são possiveis de decryptar! Usei o site: https://www.nomoreransom.org/crypto-sheriff.php?lang=pt para descobrir qual era o virus.
O Conteudo do arquivo de pedido de resgate (HOW TO DECRYPT FILES.txt) é?
*****Todos seus dados/backups foram criptografados *****
a unica forma de obter seus dados em perfeito estado é
obter decryptor + chave unica
se quiser voltar seus dados ao normal
entre em contato pelo Email: umbrellapay@protonmail.com
Aviso!
a unica forma que disponibilizamos de contato é o email:
umbrellapay@protonmail.com
se postar esta menssagem em algum site o email sera bloqueado e
sera impossivel obter acesso ao seus dados
Para decryptar seus arquivos utilize a ferramenta disponibilizada pela EMISOFT (https://www.emsisoft.com/ransomware-decryption-tools/xorist).
FACA DOWNLOAD AQUI https://www.emsisoft.com/ransomware-decryption-tools/download/xorist
Após o download, você precisara de um arquivo original sem estar criptografado e o mesmo arquivo criptografado. O arquivo devera ser maior que 510 bytes. Porem eu fiz varias tentativas e não funcionada, então peguei um arquivo bem maior e funcionou. Caso o ransomware tenha criptografado todos seus arquivos e nao tenha nenhum original sem criptografia, procure no email de alguem ou recupere do backup, veja se tem no one drive, google drive etc.
Ex: meuarquivo.xlsx (sem estar criptografado ou seja original) meuarquivo.xlsx.uMbReLa (Arquivo criptografado pelo virus)
Pegue os dois arquivos juntos e arraste em cima do arquivo que baixou do decryptor
Passo a passo de como usar o decrypter. https://www.emsisoft.com/ransomware-decryption-tools/howtos/emsisoft_howto_xorist.pdf
Caso esteja dando erro quando jogar os arquivos simultaneamente no "decrypter.exe" tente outros arquivos.
Caso tenha problemas me procure pelo Whatsapp da empresa no site https://awees.com
Dica: Acabou de pegar o ransoware? Desligue e tire o cabo de rede dos computadores e servidores que estavam ligados no momento da identificação (Dica: de preferencia a servidores e computadores que tenham RDP remote desktop habilitado). Ligue os computadores fora da rede e tente logar nele, se encontrar uma mensagem de HOW TO DECRYPTY FILES.TXT em seu desktop entao o mesmo estara infectado. Faça o mesmo procedimento em todos os outros PCs. Isole os que tem esta mensagem e os que nao estiiverem logando. Claro que você precisara depois checar cada computador manualmente para ver se tem algo no iniciar da maquina executando um exe de nome randomico na pasta temporaria %temp% dos perfis de usuarios. Lembre-se que a pasta temp tem em todos os perfis que utilizam a maquina. Portanto, verifique se existe em todos os perfis, comecando pelo que estava logado por ultimo.
Depois de identificado e removido o virus iremos decriptografar.
Direto ao assunto!
Este ransomware é da Familia Xorist e os arquivos são possiveis de decryptar! Usei o site: https://www.nomoreransom.org/crypto-sheriff.php?lang=pt para descobrir qual era o virus.
O Conteudo do arquivo de pedido de resgate (HOW TO DECRYPT FILES.txt) é?
*****Todos seus dados/backups foram criptografados *****
a unica forma de obter seus dados em perfeito estado é
obter decryptor + chave unica
se quiser voltar seus dados ao normal
entre em contato pelo Email: umbrellapay@protonmail.com
Aviso!
a unica forma que disponibilizamos de contato é o email:
umbrellapay@protonmail.com
se postar esta menssagem em algum site o email sera bloqueado e
sera impossivel obter acesso ao seus dados
Para decryptar seus arquivos utilize a ferramenta disponibilizada pela EMISOFT (https://www.emsisoft.com/ransomware-decryption-tools/xorist).
FACA DOWNLOAD AQUI https://www.emsisoft.com/ransomware-decryption-tools/download/xorist
Após o download, você precisara de um arquivo original sem estar criptografado e o mesmo arquivo criptografado. O arquivo devera ser maior que 510 bytes. Porem eu fiz varias tentativas e não funcionada, então peguei um arquivo bem maior e funcionou. Caso o ransomware tenha criptografado todos seus arquivos e nao tenha nenhum original sem criptografia, procure no email de alguem ou recupere do backup, veja se tem no one drive, google drive etc.
Ex: meuarquivo.xlsx (sem estar criptografado ou seja original) meuarquivo.xlsx.uMbReLa (Arquivo criptografado pelo virus)
Pegue os dois arquivos juntos e arraste em cima do arquivo que baixou do decryptor
Passo a passo de como usar o decrypter. https://www.emsisoft.com/ransomware-decryption-tools/howtos/emsisoft_howto_xorist.pdf
Caso esteja dando erro quando jogar os arquivos simultaneamente no "decrypter.exe" tente outros arquivos.
Caso tenha problemas me procure pelo Whatsapp da empresa no site https://awees.com
Comentários
Postar um comentário