A Avast apresenta uma nova ferramenta de descriptografia que ajudará os usuários de Mac infectados com o ransomware FindZip a descriptografar seus arquivos.
No final de fevereiro de 2017, um novo tipo de ransomware para Mac foi descoberto. Esse ransomware, chamado de FindZip, infecta usuários fingindo ser uma versão “craqueada” de aplicativos comerciais, como o Adobe Premiere Pro. Ao infectar um Mac, ele criptografa documentos com o mesmo esquema usado pelo ransomware para Windows, o Bart, que nós descriptografamos no ano passado.
O MalwareBytes já publicou uma análise técnica do FindZip, além de uma descrição do processo de descriptografia. No entanto, como as instruções da MalwareBytes podem ser complicadas para algumas pessoas, nós criamos um aplicativo de descriptografia mais fácil de usar.
A ferramenta de descriptografia do FindZip (ainda em inglês) está disponível em nossa página de ferramentas de descriptografia de ransomware gratuitas, junto com todas as nossas outras ferramentas de descriptografia de ransomwares.
Execução do decodificador de ransomware no Windows
Se você decidir copiar seus arquivos criptografados do seu Mac em um sistema Windows, usar o nosso decodificador deverá ser simples e você não precisará instalar nenhum outro software.
Execução do decodificador de ransomware no Mac
Como os decodificadores de ransomware lançados pela Avast são aplicativos para Windows, os usuários de Mac (e de Linux) precisam instalar uma camada de emulação para o aplicativo Windows. O decodificador foi testado com CrossOver e Wine, mas outros programas de emulação também podem funcionar.
O guia descreve como executar a ferramenta decodificadora usando o Wine para Mac. A ferramenta decodificadora foi testada no MacOS 10.10 (Yosemite) e 10.12 (Sierra).
Instalação do XQuartz
Primeiro, você precisa instalar um sistema Windows para o seu Mac. Acesse https://www.xquartz.org (ou procure “XQuartz for Mac” no Google) e baixe o arquivo de instalação DMG.
Se o arquivo baixado não abrir automaticamente, abra-o em sua pasta de Downloads.
Clique duas vezes no ícone “Quartz.pkg” e o instalador deverá abrir.
Continue clicando em “Continuar” ou “Instalar”. Você pode ser solicitado a concordar com a licença e inserir a sua senha para instalar um novo aplicativo. O processo de instalação pode levar alguns minutos. Durante a instalação, você pode ser solicitado a sair e se conectar novamente para concluir o processo:
Observação: se você pulou a instalação do XQuartz e instalou direto o Wine, ele provavelmente irá reclamar e pedir que você instale antes o XQuartz :)
Instalação do Wine
Acesse https://wiki.winehq.org/MacOS (ou procure “Wine for Mac” no Google, não só “wine” ;-) ) e siga o link para baixar os pacotes PKG. Baixe o “Installer for Wine Staging”:
Após baixar, você o encontrará em sua pasta Downloads:
Execute o instalador clicando duas vezes no ícone:
Clique em “Continuar” e selecione “Instalar para todos os usuários nesse computador”. Depois, continue clicando em “Continuar” e “Instalar”. Você pode ser solicitado a inserir sua senha, pois está instalando um novo aplicativo. Assim que a instalação terminar, clique em “Fechar”.
Você pode agora baixar o decodificador da Avast e executá-lo sem problemas.
Observação importante: Se o Wine já estiver instalado antes de ser infectado com o ransomware, toda a configuração do Wine provavelmente foi criptografada. Nesse caso, você precisa excluir a pasta \Users\<YourUserName>\.wine antes de executar o aplicativo de descriptografia.
Execução do aplicativo de descriptografia
Para executar o decodificador, baixe-o em nossa página de ferramentas de decodificação grátis da Avast (em inglês) e clique duas vezes no ícone do aplicativo:
A configuração da primeira execução será um pouco demorada.
- Se for solicitado a instalar “Mono”, clique em “Cancelar”
- Se for solicitado a instalar o Gecko, pressione “Instalar” e deixe o instalador baixá-lo e instalá-lo.
Quando a configuração inicial for concluída, o decodificador será executado e mostrará a tela “Bem-vindo”:
Na próxima janela (após clicar em “Avançar”), você pode selecionar um ou mais locais, onde os arquivos descriptografados estão. Como padrão, ele contém o nome da pasta inicial do usuário atual:
A configuração padrão normalmente funciona bem. Pressione “Avançar”. Depois, você precisa inserir um par de arquivos originais/criptografados. Você pode arrastar e soltar das pastas do Mac ou procurar pelo arquivo clicando no botão “...”.
Assim que ambos os arquivos forem inseridos, clique em “Avançar”.
Nessa tela, ocorre o processo de quebra da senha. Clique em “Iniciar” e espere até que o decodificador encontre a senha. Normalmente, leva cerca de um minuto para quebrar a senha de um arquivo criptografado pelo FindZip.
Quando o processo de quebra de senha estiver concluído, pressione “Avançar”.
Na tela final, você pode optar por não aderir à criação de cópias de backup durante o processo de descriptografia. No entanto, isso não é recomendado.
Após clicar em “descriptografar”, o aplicativo descriptografará todos os arquivos na pasta que foram inseridos na tela “Selecione os locais para descriptografar”.
Quando a descriptografia for concluída, basta clicar em “Fechar” e pronto! Seus arquivo serão descriptografados!
Agradecimentos especiais
Gostaríamos de agradecer a Peter Conrad, o autor de PkCrack, que nos concedeu permissão para usar sua biblioteca em nossos decodificadores. Além disso, um agradecimento especial também ao nosso colega, Ladislav Zezula, por preparar esse decodificador.
IOCs
c68814901d0af5de410c152e62a06a51c16ec7fe118f1e5251bbcdbb27364709
d19b903adbd0f8c119d0d8f25b194bdd24b737357a517f23ca5cdc6c75b35038