none
NOVO VÍRUS .orgfgxa - Altera os arquivos para esta extensão e os torna corrompidos RRS feed

  • Discussão Geral

  • Oi gente, 

    Hoje me deparei com um incidente em minha empresa e gostaria de verificar se mais pessoas já passaram por isso, pois não localizei nada na internet que pudesse me ajudar.

    Um usuário estava com sua máquina infectada e começou a alterar todos os arquivos da rede (onde possuía acesso à gravação) para a extensão .orgfgxa. Já removi a estação da rede, entretanto gostaria de saber se vocês tem alguma informação sobre esta nova ameaça, pois nem meu AV o reconheceu. 

    Obrigado

    segunda-feira, 19 de janeiro de 2015 13:27

Todas as Respostas

  • Acabei de pegar hoje um problema com arquivos corrompidos e com extrensão .gntkytg, fora isso a descrição bate. Pelo visto os caracteres da extensão são gerados aleatoriamente.
    segunda-feira, 19 de janeiro de 2015 16:20
  • Boa Tarde Evelin, hoje me deparei com o mesmo problema aqui na empresa você conseguiram alguma solução para o caso ? é vírus mesmo ? como devemos proceder ?

    Aguardo a ajuda de todos


    Cleber Renato

    segunda-feira, 19 de janeiro de 2015 17:49
  • Ander, você conseguiu localizar alguma coisa ? sobre qual o nome desse bicho ? e como voltar os arquivos ?

    Cleber Renato

    segunda-feira, 19 de janeiro de 2015 18:06
  • Oi Cleber,

    Sim, é vírus. É um vírus aparentemente que renomeia para letras aleatórias e corrompi os arquivos. Aqui na minha empresa, terei que realizar restore das pastas que o vírus modificou.

    Eu consegui localizar a máquina que estava corrompendo os arquivos da rede, felizmente o vírus não passa para outras máquinas, nem para o File Server, ao menos no meu caso.

    Localizei a máquina que estava infectada pelo EventViewer, peguei um usuário que não parava de acessar os documentos corrompidos.

    Também abri um chamado com meu AV, para indicar que estamos com um vírus diferente.

    Espero ter ajudado. Abs.

    segunda-feira, 19 de janeiro de 2015 18:13
  • Mesma cosia aqui, vou ter que restaurar da ultima shadow copy, e vi o setor que era porque só comprometeu a pasta geral e pastas específicas do setor dele (onde ele possui acesso a gravação)
    segunda-feira, 19 de janeiro de 2015 18:22
  • Evelin, muito obrigado.

    Aqui eu também estou restaurando os arquivos de backups, só não consegui identificar que é a máquina que está com vírus.

    Você foi localmente na máquina para visualizar os acessos do event view ?Qual antivírus você utiliza ?

    Obrigado.


    Cleber Renato

    segunda-feira, 19 de janeiro de 2015 20:06
  • Olá Cleber...
    Aqui fui até o setor em questão e verifiquei as maquinas, descobri que um usuário recebeu um spam com arquivo malicioso e acabou executando ele, inclusive a maquina dele é a única do setor que apresenta arquivos locais (e não da rede) infectados. Meu Endpoint (Bitdefender) mesmo atualizado não pegou nada, rodei o Combofix e estou passando um antispyware pra ver se acha alguma coisa diferente. Não descobri ainda se há alguma maneira de restaurar os arquivos antigos, mas acredito que você perde menos tempo restaurando um backup recente.

    segunda-feira, 19 de janeiro de 2015 20:50
  • Oi Cleber, no event viewer do File Server você vê nos eventos de Segurança qual usuário está acessando com frequência os arquivos corrompidos pelo vírus. Utilizamos o TrendMicro, mas ele não reconheceu este vírus, por isso abri um chamado para informar sobre esta nova ameaça.

    Abs.

    segunda-feira, 19 de janeiro de 2015 23:16
  • Pessoal, enquanto eu estou apagando o incêndio aqui, em uma das pastas achei um TXT e um BMP com o seguinte conteudo:

    Your documents, photos, databases and other important files have been encrypted
    with strongest encryption and unique key, generated for this computer.

    Private decryption key is stored on a secret Internet server and nobody can
    decrypt your files until you pay and obtain the private key.

    If you see the main locker window, follow the instructions on the locker.
    Overwise, it's seems that you or your antivirus deleted the locker program.
    Now you have the last chance to decrypt your files.

    Open http://ohmva4gbywokzqso.onion.cab or http://ohmva4gbywokzqso.tor2web.org 
    in your browser. They are public gates to the secret server. 

    If you have problems with gates, use direct connection:

    1. Download Tor Browser from http://torproject.org

    2. In the Tor Browser open the http://ohmva4gbywokzqso.onion/
       Note that this server is available via Tor Browser only. 
       Retry in 1 hour if site is not reachable.

    Copy and paste the following public key in the input form on server. Avoid missprints.
    5CG3SEE-7QASQLZ-TIVIKAN-OD2HTLY-F6ALNPR-5U3QAFC-4RSAPS4-2PMCCEJ
    X4NHTNV-ODZHBA2-QGUSY4C-746WBUM-ACRERSO-D4CWKJN-CHMDNIW-HN4HXDL
    6ZVB7M5-ORGCXST-JBQATRZ-BMBY6DW-PTVC3T5-WA3MN4O-JHMA2N5-3QTU53G


    Follow the instructions on the server.


    Aqui mais informações à respeito:

    http://social.technet.microsoft.com/wiki/contents/articles/29248.malware-troubleshooting-recover-your-files-damaged-by-ctb-locker-virus.aspx

    http://malwarerid.com.br/cbt-locker-ransomware-or-how-to-decrypt-encrypted-files/


    Conhecendo melhor o inimigo é mais fácil lutar contra ele.

    terça-feira, 20 de janeiro de 2015 16:42
  • Oi Ander! Show!

    Hoje tive mais dois casos aqui na minha empresa, pelo que percebi este vírus chega em forma de SPAM. Um e-mail malicioso que o usuário abre e nele contem um .zip com um .scr.

    Estamos tentando barrar a entrada pelo antíSPAM.

    terça-feira, 20 de janeiro de 2015 17:06
  • Este vírus vem normalmente através de e-mails maliciosos.

    Wellington Agápto
    Cloud Architect and Team Leader | Office 365 and Azure Solutions
    ITIL, CCNA, MCP, MTA, MCITP, MCTS, MCSA, MCSA Office 365, MCSE Communication | Messaging
    Blog: http://www.wellingtonagapto.org

    terça-feira, 20 de janeiro de 2015 19:04
  • Foi esse mesmo o caso, Wellington.
    terça-feira, 20 de janeiro de 2015 22:06
  • Olá, o mesmo está acontecendo aqui na empresa. No nosso caso a extensão dos arquivos foi alterada para .uxnwzpa e também chegou através de um e-mail com um arquivo zipado com executável dentro. Aqui o vírus não se espalhou na rede, mas vi que o ESET excluiu mais de 30 arquivos que acredito que iriam fazer ele se espalhar. Porém os arquivos tiveram a extensão alterado e estão corrompidos, alguém já conseguiu alguma solução para isso?
    quarta-feira, 21 de janeiro de 2015 01:40
  • Olá, 

    Segue alguns links que talvez ajudem:

    http://blog.trendmicro.com/trendlabs-security-intelligence/new-crypto-ransomware-emerge-in-the-wild/

    http://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/TROJ_CRYPCTB.A

    Não tivemos muito o que fazer, é tentar barrar a chegada, pois quando o usuário baixa o CTBLocker só restaurando os arquivos.

    quarta-feira, 21 de janeiro de 2015 03:35
  • O jeito é além de atualizar os filtros antimalware do anti-spam e/ou do e-mail, tentar bloquear o endereço por onde essa praga veio (embora possa não ser muito efetivo pois o endereço pode ser um spoofing) ou mesmo sendo mais radical, bloquear o range de IP de origem.
    quarta-feira, 21 de janeiro de 2015 10:28
  • Pessoal, bom dia...

    Estou com o mesmo problema.

    Porem nao estou localizando a maquina com o virus, no event viewer, ele nao está informando nada.

    Podem me ajudar a como localizar isso?

    Obrigado

    quarta-feira, 21 de janeiro de 2015 11:42
  • Opa beleza Evelin conseguiu alguma novidade a respeito do novo vírus, hoje na prefeitura aqui da cidade pegamos este maldito vírus e estamos em uma luta interminável contra ele.
    quarta-feira, 21 de janeiro de 2015 20:59
  • Aqui mais informações.

    http://globotv.globo.com/rede-globo/bom-dia-brasil/v/golpe-do-sequestro-virtual-assusta-empresarios-pelo-brasil/3702485/

    A máquina que origina a infecção geralmente tem também arquivos locais infectados, diferente das outras que apenas possui os arquivos na rede infectados (se ela acessar as mesmas unidades mapeadas da maquina infectada), esse é o meio mais fácil de descobrir, mas acompanhar o event-viewer do fileserver é uma boa prática.

    É válido enviar um e-mail geral para as pessoas informando sobre a ameaça, aquelas coisas pra não abrir anexos de e-mail estranho e etc, coisas que o pessoal deveria aprender nos primeiros meses de vida online.
    quinta-feira, 22 de janeiro de 2015 11:44
  • Olá, 

    Segue alguns links que talvez ajudem:

    http://blog.trendmicro.com/trendlabs-security-intelligence/new-crypto-ransomware-emerge-in-the-wild/

    http://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/TROJ_CRYPCTB.A

    Não tivemos muito o que fazer, é tentar barrar a chegada, pois quando o usuário baixa o CTBLocker só restaurando os arquivos.

    Eu também estou com o mesmo problema, já excluí manualmente o vírus. Porém não consigo recuperar os arquivos originais, já alterei a extensão dos arquivos, mas eles parecem estar corrompidos....
    quinta-feira, 22 de janeiro de 2015 19:44
  • Aqui os arquivos estão sendo alterados para extensão .oqyklyl, exemplo arquivo.TXT.oqyklyl.

    Mesmo alterando os arquivos para a extensão .txt ele continua corrompido e não abre, o problema é que o parque é grande, cerca de 900 máquinas, e o end point (trend) não localiza o vírus.

    sexta-feira, 23 de janeiro de 2015 12:17
  • Oi gente,

    A única novidade que consegui é que este vírus não é novo, foi descoberto em Julho de 2014, se sua empresa pegou ele, assim como a minha, o AV infelizmente está desatualizado...

    Também temos que nos prevenir atualizando o Anti-spam de e-mail, pois foi assim que a maioria pegou. O e-mail sempre vem com um .ZIP e um executável dentro.

    Alguns pontos das máquinas suspeitas e como fiz para descobrir em minha empresa:

    > Acesse os Eventos de Segurança do Windows no File Server infectado;

    > De um Find e cole o caminho da pasta em que há arquivos corrompidos;

    > Procure um usuário que não pare de acessar esta pasta, acessando mesmo quando não está em horário de produção, pois muitos usuários deixam suas máquinas apenas bloqueadas e dessa forma o vírus vai agindo mesmo a noite (foi um caso que ocorreu aqui);

    > Felizmente o vírus não passa para outras máquinas, então o usuário além de corromper os arquivos da rede em que POSSUI ACESSO A GRAVAÇÃO, vai corromper todos os seus arquivos da máquina (Meus documentos, desktop, downloads e etc);

    Outro ponto, não há como salvar os arquivos corrompidos. Deve utilizar o Shadow Copy (se já o tem instalado) ou começar a restaurar os arquivos.

    Espero ter ajudado (:

    sexta-feira, 23 de janeiro de 2015 15:53
  • Muito bem colocado pela Evelin e pelo que vi muitos estão sendo afetados por este malware. A tendência é que este tipo de malware se intensifique por isso é bom estarmos preparados.

    Gostaria de fazer um sumário e clarificar um pouco mais:

    Este tipo de malware é categorizado como Ransomware cujo objetivo é criptografar os arquivos e depois solicitar a vítima que pague para obter a chave de decriptografia. Na realidade ele não corrompe os arquivos mas sim faz uma criptografia e incrementando com extensões no final do aquivo. Ele normalmente NÃO se propaga como um worm.

    Como se proteger:

    1) Instalar e usar uma solução antivírus atualizada.

    2) Certifique-se de seu software está atualizado. No caso do Windows utilizar o Windows Update (Microsoft Update). Importante também atualizar software de outros fornecedores como Java, Adobe Flash, entre outros que você utiliza na sua empresa, pois estes softwares desatualizados podem ter vulnerabilidades de segurança e servem porta de entrada para malwares.

    3) Evite clicar em links ou abrir anexos ou e-mails de pessoas que não conhece ou empresas possui negócios. Revise o seguinte link e também compartilhe as informaçõe3s dele com os usuários da sua empresa também tenham oportunidade de rever as recomendações: Golpes por e-mail e pela Internet: como se proteger

    4) Ter um bloqueador de pop-ups no navegador da web.

    5) Regularmente backup de seus arquivos importantes. Neste caso você pode utilizar a funcionalidade do Histórico de Arquivos no Windows 8.1 ou versões anteriores de arquivos (shadow copy) no Windows 7.

    Depois que você removeu a infecção do ransomware do seu computador, você pode restaurar versões anteriores, sem criptografia de seus arquivos do usando o "histórico de arquivos" no Windows 8.1 ou versões anteriores (shadow copy) no Windows 7.

    Vale lembrar que alguns ransomwares também podem criptografar ou excluir as versões de backup de seus arquivos. Isto significa que mesmo se você tiver habilitado o histórico do arquivo ou shadow copy, se você tiver definido o local de backup na rede ou driver local que e esteja conectado, seus backups podem também ser criptografados. Assim, é importante também ter backups extras em um drive removível ou uma driver que não estava conectada quando você foi infectado com o ransomware.

    Espero que este passos possam ajudar vocês.

    Atenciosamente,

    Daniel Mauser


    sexta-feira, 23 de janeiro de 2015 20:58
  • Olá!
    Outra solução bem simples é a de você executar a "Restauração do Sistema" voltando para uma data antes dessa em que o vírus entrou.

    Espero ter lhe ajudado


    MS INFORMÁTICA


    sábado, 24 de janeiro de 2015 17:46
  • Pessoal, enquanto eu estou apagando o incêndio aqui, em uma das pastas achei um TXT e um BMP com o seguinte conteudo:

    Your documents, photos, databases and other important files have been encrypted
    with strongest encryption and unique key, generated for this computer.

    Private decryption key is stored on a secret Internet server and nobody can
    decrypt your files until you pay and obtain the private key.

    If you see the main locker window, follow the instructions on the locker.
    Overwise, it's seems that you or your antivirus deleted the locker program.
    Now you have the last chance to decrypt your files.

    Open http://ohmva4gbywokzqso.onion.cab or http://ohmva4gbywokzqso.tor2web.org 
    in your browser. They are public gates to the secret server. 

    If you have problems with gates, use direct connection:

    1. Download Tor Browser from http://torproject.org

    2. In the Tor Browser open the http://ohmva4gbywokzqso.onion/
       Note that this server is available via Tor Browser only. 
       Retry in 1 hour if site is not reachable.

    Copy and paste the following public key in the input form on server. Avoid missprints.
    5CG3SEE-7QASQLZ-TIVIKAN-OD2HTLY-F6ALNPR-5U3QAFC-4RSAPS4-2PMCCEJ
    X4NHTNV-ODZHBA2-QGUSY4C-746WBUM-ACRERSO-D4CWKJN-CHMDNIW-HN4HXDL
    6ZVB7M5-ORGCXST-JBQATRZ-BMBY6DW-PTVC3T5-WA3MN4O-JHMA2N5-3QTU53G


    Follow the instructions on the server.


    Aqui mais informações à respeito:

    http://social.technet.microsoft.com/wiki/contents/articles/29248.malware-troubleshooting-recover-your-files-damaged-by-ctb-locker-virus.aspx

    http://malwarerid.com.br/cbt-locker-ransomware-or-how-to-decrypt-encrypted-files/


    Conhecendo melhor o inimigo é mais fácil lutar contra ele.

    Opa Anderson bom dia, estou com um problema em um cliente mas o vírus derrubou até os Backups e a estrutura aqui não é tão grande usamos um antivírus e-scan (Coorporativo)  e o servidor esta dando arquivos corrompidos qualquer arquivo que eu tento abri na rede da a msg de arquivo corrompido, estou já faz 2 dias aqui e aparentemente sem uma solução.

    O Vírus quebrou o baclkup e passamos por diversas mudanças de documentações assim o meu backup esta parado faz 15 dias , resultado quando subi o backup até roda mas com arquivos que não estão atualizados.

    Gostaria de saber se teve alguma solução ou só restaurando o Backup?

    Agradeço desde já,

    Leonardo Gimenez

    sexta-feira, 3 de abril de 2015 13:32
  • Oi Ander! Show!

    Hoje tive mais dois casos aqui na minha empresa, pelo que percebi este vírus chega em forma de SPAM. Um e-mail malicioso que o usuário abre e nele contem um .zip com um .scr.

    Estamos tentando barrar a entrada pelo antíSPAM.

    Olá Evelin, tive o mesmo problema que vocês aqui na minha empresa ontem, com as informações passadas por vocês, o problema foi bem mais fácil de tratar e depois de horas trabalhando nisso e varios arquivos do Files Server corrompidos, felizmente, a epidemia foi controlada.

    Mas de acordo com a sua citação a cima, permita-me perguntar: Como você descobriu que a forma de infecção aconteceu por e-mail?

    Agradeço desde já!

    quinta-feira, 30 de abril de 2015 12:28
  • Pessoal, encontrei umartigo que pode ajudar na remoção da ameaça, caso o antivirus utilizado não consiga fazer o trabalho:

    https://virushelpcenter.com/remove-ctb-locker-virus/

    quinta-feira, 30 de abril de 2015 13:40
  • Olá, Hoje estou tendo dificuldades com um problema parecido, todos meus documentos do Word, Excel e etc tiveram seu nome e extensão trocados por letras aleatórias como "9zaqnnlk.6ogh". e não abrem de forma alguma, já tentei renomear e colocar a extensão do Word (Doc, Docx) e Excel (xlsx, xls) sem sucesso.  Uso o Avast Antivírus e ele está totalmente atualizado.

    Não posso perder esses arquivos porque uso pra trabalho, e foram todos afetados, trabalhos de vários anos.

    Alguém conhece alguma solução?

    terça-feira, 26 de janeiro de 2016 17:29