Virus RSA-4096

Dezembro 2016

O vírus RSA-4096 é um malware da categoria Ransomwares. Trata-se de um cripto-ransomware, pois ele rouba os seus documentos e exige um resgate para que você possa recuperar o acesso aos mesmos. Ao contrário de alguns Trojans maliciosos, estes malwares são particularmente visíveis, porque eles alteram a extensão dos documentos criptografados (codificados) tornando sua abertura impossível, além de abrir um arquivo de instrução em formato de texto, imagem ou página web na inicialização do computador.



O que é o vírus RSA-4096

Como dito acima, trata-se de um cripto-ransomware, Trata-se, pura e simplesmente, de uma exortação digital por sequestro de seus dados digitais. Isto ocorre através da criptografia dos documentos contidos no computador infectado. Contrariamente ao que é indicado, o algoritmo utilizado não é o RSA, mas o AES. O nome do malware Vírus RSA 4096 é o da mensagem de instrução deixada por esta infecção:



Na realidade, existem duas famílias de vírus RSA 4096 diferentes, que deixam o mesmo tipo de mensagem:

TeslaCrypt RSA 4096: que causa danos desde dezembro de 2015 através de e-mails maliciosos e de WebExploits.

CryptXXX RSA 4096: que apareceu em abril de 2016 e passa exclusivamente por WebExploits.

TeslaCrypt - RSA 4096

O TeslaCrypt RSA 4096 é caracterizado por extensões do tipo MP3, JPG, etc. e arquivos de instruções do tipo “-!RecOveR!-xxxxx”. As extensões e os nomes dos arquivos mudam todos os meses.O TeslaCrypt RSA 4096 coloca um arquivo na pasta de Documentos e uma chave Run para iniciá-lo.
HKU\S-1-5-21-2310232938-1367323299-4047050468-1001\...\Run: [bssimgkyvmuw] => C:\Windows\SYSTEM32\CMD.EXE /C START "" "C:\Users\Marie-Monique\Documents\bwrdbkxohoos.exe"

CryptXXX RSA 4096

Se o Windows foi infectado com o CryptXXX RSA 4096, os documentos criptografados (codificados) terão a extensão .crypt. O CryptXXX se instala no sistema a partir de um arquivo DLL que se carrega quando o Windows é iniciado. O CryptXXX também apresenta a funcionalidade de stealer (ladrão), ou seja, ele também pode roubar as senhas contidas no computador.

Suprimir o RSA 4096

Você pode tentar a desinfecção com o Malwarebytes Anti-Malware que é bastante eficaz. Se você achar que o seu computador ainda está infectado ou se você só quiser fazer uma varredura, você pode solicitar ajuda no Fórum de vírus e segurança. É fortemente recomendado desinfetar o seu computador antes de utilizar documentos no mesmo. Infelizmente, a recuperação de documentos criptografados pelo vírus RSA 4096 é impossível, você deverá restabelecer um backup.

Depois do vírus RSA 4096

Como explicado acima, algumas famílias podem roubar senhas após a desinfecção, logo, recomendamos mudar todas as suas senhas da web.

Estes Ransomwares RSA 4096 são distribuídos por dois métodos distintos:

Por e-mails maliciosos: você abriu um arquivo zip infectado. Tome mais cuidado, você também pode se proteger contra scripts maliciosos e Trojan.Javascript ao bloquear scripts no Windows.

WebExploit: se for este método, certos softwares, incluindo plug-ins (Java, Adobe Flash) não são atualizados e o seu computador fica vulnerável. Pense em manter seus softwares atualizados.

De um modo geral, para proteger o Windows, você pode seguir a dica Protegendo o seu PC.

Veja também :
Este documento, intitulado « Virus RSA-4096 »a partir de CCM (br.ccm.net) está disponibilizado sob a licença Creative Commons. Você pode copiar, modificar cópias desta página, nas condições estipuladas pela licença, como esta nota aparece claramente.