none
Como Descriptografar Ransomware .Arrow RRS feed

  • Pergunta

  • Bom dia grupo,

    Estou com um problema num cliente onde parte de seu servidor foi criptografado peço novo ransomware .Arrow, não consegui achar ferramentas eficazes para descriptografar os arquivos, a remoção do vírus já foi realizada sem maiores dificuldades e agora preciso somente de uma ajuda para achar uma boa solução para descriptografar eles.

    Obrigado,

    Rodrigo Papoy

    quinta-feira, 15 de março de 2018 13:22

Todas as Respostas

  • Alguma atualização?

    Também estou com esse problema? Usou o ESET para remover o vírus? Pelo que li não da pra descriptografar, mas softwares de data recovery conseguem recuperar os arquivos(apesar de não ter fontes 100% precisas).

    fonte: https://www.bleepingcomputer.com/virus-removal/cryptowall-ransomware-information#decrypt

    segunda-feira, 19 de março de 2018 19:52
  • Verifiquei todos esses recursos, tentando usar shadow copy, recuperadores, etc, nada funciona.

    A remoção do vírus em si é simples, porem optei em reinstalar o SO do cliente por ser mais rápido e eficaz.

    Agora estou somente precisando do descriptografador oficial para recuperar parte dos arquivos perdidos.

    terça-feira, 20 de março de 2018 17:52
  • Bom dia Rodrigo, qual foi a forma da remoção do vírus, e já conseguiu descriptografar os arquivos?

    obrigado

    quarta-feira, 4 de abril de 2018 11:51
  • Olá,

    Também estou com uma máquina de cliente já tentei no projeto no more ransom não tem, descriptografar com softwares da kaspersky, eset, trend micro e nada até agora se tiverem alguma solução obg

    Att,

    domingo, 15 de abril de 2018 16:51
  • Também estou com um cliente com o mesmo problema na rede, pelo que apurei, o grande problema dele nesse momento é saber de onde está partindo o ataque que pode vir de qualquer máquina da rede dele, olhando na ferramenta de AV dele, vi muitos desktops com falhas de conexão e muitos vírus antigos na rede, o que mostra que a a ferramenta pode não estar fazendo o papel dela.

    Alguém conseguiu achar a solução?

    terça-feira, 24 de abril de 2018 19:21
  • Amigo, eu sofri com esse ataque na empresa, infelizmente não encontrei forma de desencriptar os aquivos, a solução foi que tinha backup de tudo. Porém poderia me ajudar, ainda não identifiquei a máquina que partiu o ataque, como fez para identificar? algumas pastas compartilhadas foram afetadas porém não identifiquei a máquina ainda, acredito que seja acesso TS, porém não consegui confirmar!
    quinta-feira, 26 de abril de 2018 23:18
  • Infelizmente não tem como descobrir a máquina infectada tão facilmente, no meu caso, percebi pela console do SEP que 98% das máquinas da rede estavam com alertas de falhas de comunicação, definições antigas aplicadas nas máquinas, scan sendo abortado pelos usuários, e outras configurações desabilitadas como firewall do SEP e do Windows, SONAR, e etc, todos esses fatores ajudaram na infecção do ambiente, o trabalho que sugerimos foi de remover os clientes usando a ferramenta WIPE, depois instalar os clientes novamente, atualizar o LiveUpdate e criar uma rotina de scan completo nas máquinas, ocultando o preview, assim os usuários não poderiam mais abortar o serviço.

    A infecção afetou vários arquivos, tais como RDP, PDF, WORD, EXCEL, e etc.

    segunda-feira, 30 de abril de 2018 14:18
  • Estou com esse problema aqui na empresa, já deletei o Virus, porém estou com os arquivos todos encriptados.

    Alguem conseguiu?

    sexta-feira, 11 de maio de 2018 20:06
  • Pelo que li, existem diversos programa que prometem remover a criptografia, eu tentei com o da Kasper e não adiantou, pode ser que o seu resolva, busque o programa pelo nome da extensão e vai achar ele.

    As outras duas opções é, voltar o backup, caso não tenha, vai ter que pagar pra recuperar os dados.

    sábado, 12 de maio de 2018 05:52
  • Alguém conseguiu alguma solução pessoal?
    segunda-feira, 21 de maio de 2018 15:14
  • galera,

    nao tem solucao para isso, nao tem software que recupere.

    sobre como remover o causador, precisa verificar no gerenciador de tarefas arquivos que nao sao padroes do windows(nao é qualquer leigo que vai identificar), verificar arquivos que iniciam junto com o widows e por ai vai. provavelmente ele criou arquivos e pastas ocultos no C:\ e no perfil do usuario.

    mantenha um backup offline, caso vc use nuvem vai perder os arquivos do mesmo jeito.

    para quem realmente precisa tentar recuperar, enviem para um ambiente profissional eles conseguem recuperar algumas coisas podendo ser antigas ou nao.

    muito provavel que recuperem como doc1, doc 2, xls1,xls2, etc, etc

    entao vai sofrer para saber se o conteudo é util ou nao.

    segunda-feira, 21 de maio de 2018 19:22
  • Ola boa noite,

    Passei pela mesma coisa que vocês hoje mais cedo na minha empresa, uma coisa que eu percebi é que nos arquivos que ele infectou, tinha um email > "" 1.txt.id-425A608E.[decrypthelp@qq.com].arrow'' , tentei mandar email para essa pessoa, ela falou que fazia o processo de descriptografar os arquivos, porem cobraria 0,7 bitcoin por isso, mandou eu mandar um aquivo para ser feito a prova que eles descriptografaria... mandei um arquivo lá de texto pra eles de um dos meus arquivos e eles responderam em seguida com o arquivo descriptografado.... ou seja, tem sim como remover isso ai, se esse cara fez, tbm podemos fazer... alguém conseguiu resolver ?

    quinta-feira, 24 de maio de 2018 00:40
  • Rodrigo, É ser muito ingenuo acreditar nisso. O email que vc achou é justamente de quem lhe causou isso, ele acaba pedindo um resgate em bicoin ou qualquer outra cripto moeda, vc mas e sem garantia de ter os dados de volta. Esse assunto foi mundial, em qual mundo vc vive? Rs
    quinta-feira, 24 de maio de 2018 00:52
  • é via TS sim, pois eu habilitei o TS na terça, ai no sabado sofremos o ataque
    terça-feira, 14 de agosto de 2018 11:55