O que é o Maze ?
Há mais de uma versão do Maze ransomware (a versão anterior também é chamada Maze). A nova versão foi descoberta pela nao_sec. Programas do tipo ransomware criptografam dados e criam mensagens de resgate que contêm informações sobre como descriptografar arquivos; no entanto, as vítimas geralmente não podem recuperar o acesso a seus arquivos sem ferramentas desenvolvidas pelos desenvolvedores do ransomware. Esta variante do Maze não criptografa arquivos se detectar o arquivo “C: \ hutchins.txt” no sistema. Se esse não for o caso, o Maze criptografa os arquivos, renomeia-os adicionando uma extensão aleatória (por exemplo, “1.jpg” se torna “1.jpg.sA16PA”), cria o arquivo “DECRYPT-FILES.txt” e altera o papel de parede da área de trabalho.
O papel de parede modificado contém uma mensagem de resgate informando que os arquivos da vítima foram criptografados usando os algoritmos de criptografia RSA-2048 e ChaCha. Aparentemente, a única maneira de descriptografá-los é adquirir um descodificador, seguindo as instruções fornecidas no arquivo de texto “DECRYPT-FILES.txt” (mensagem de resgate). A mensagem informa que as vítimas devem pagar o resgate através de um link do site, que pode ser aberto com o navegador Tor. Outra maneira de efetuar o pagamento é usar outro site (cujo link também é fornecido na mensagem de resgate), que pode ser aberta com qualquer navegador. De qualquer forma, fica claro que as vítimas não podem descriptografar seus arquivos sem a ferramenta / chave correta. O site Tor informa que as vítimas devem pagar US $ 500 em Bitcoins usando o endereço da carteira Bitcoin fornecido. É também informado que, a menos que as vítimas paguem o resgate dentro de um determinado período (um contador decrescente é exibido na parte superior da página do Tor), o valor do resgate será duplicado. A partir do mesmo é possível descriptografar três arquivos gratuitamente. Geralmente, os criminosos cibernéticos oferecem descriptografia gratuita para ‘provar’ que possuem ferramentas / chaves capazes de descriptografar os arquivos. Apesar disso, as pessoas que desenvolvem ransomwares nunca são confiáveis. Somente eles possuem as ferramentas / chaves de descriptografia, no entanto, raramente as fornecem, mesmo que as vítimas paguem os resgates. Uma vez que não existem ferramentas gratuitas capazes de descriptografar os arquivos criptografados pelo Maze, sugere-se que as pessoas os restaurem a partir de um backup.
Captura de tela de uma mensagem incentivando os utilizadores a pagar um resgate para descriptografar seus dados comprometidos:
Este ransomware é semelhante a outros programas desse tipo, incluindo, por exemplo, Uta, MedusaLocker e Leto. Eles criptografam dados e criam / exibem mensagens que exigem resgate. As principais diferenças são geralmente o custo da ferramenta de descriptografia / chave e o algoritmo criptográfico usado para criptografar os dados. Infelizmente, é impossível descriptografar a maioria das criptografias sem o uso de ferramentas mantidas apenas pelos criminosos que criaram o ransomware, a menos que o ransomware não esteja totalmente desenvolvido, contenha bugs, falhas etc. Para evitar a perda de dados causada pelo ransomware, faça backups dos dados regularmente e armazene-os em servidores remotos ou dispositivos de armazenamento que não estejam conectados a rede.
Como o ransomware infectou meu computador
Pesquisas mostram que os criminosos cibernéticos distribuem o Maze usando o SpelevoEK (kit de exploração). Os kits de exploração são ferramentas usadas para explorar vulnerabilidades em software (geralmente desatualizado) ou para injetar código malicioso em sites vulneráveis. Outras formas de proliferar ransomwares (e outros malwares) são via e-mails, cavalos de Troia, canais não confiáveis de download de software, ferramentas de ‘cracking’ de software e atualizações falsas. Campanhas de email / spam podem ser usadas para infectar computadores por meio de arquivos anexados as mensagens de email. Normalmente, os criminosos cibernéticos anexam documentos do Microsoft Office, arquivos compactados (ZIP, RAR), arquivos executáveis (.exe e outros arquivos desse tipo), documentos PDF, arquivos JavaScript etc. Seu principal objetivo é induzir os destinatários a abrir os anexos. Se abertos, eles infectam os sistemas com malware. Outra maneira de proliferar infecções é via Trojans, que são programas maliciosos. Uma vez instalados, eles abrem backdoors para outros malwares. Dessa forma, eles causam infecções em cadeia. Exemplos de fontes de download não confiáveis são: hospedagem de arquivos, sites de download de freeware, redes ponto a ponto (P2P), como clientes de torrent, eMule e outros canais / ferramentas semelhantes. Os criminosos cibernéticos as usam para fazer upload de arquivos maliciosos disfarçados de legítimos ou inofensivos. Ao fazer o download e abrir / instalá-los, muitas pessoas instalam programas maliciosos inadvertidamente. As ferramentas de ‘cracking’ de software são usadas por pessoas (ilegalmente) para evitar pagar pela licença do software. Geralmente, estas ferramentas instalam malware em vez de ativar qualquer software instalado gratuitamente. As falsas ferramentas de atualização de software (não oficiais) causam danos ao explorar bugs / falhas de software desatualizado que já está instalado no sistema ou simplesmente instalar programas maliciosos em vez de atualizações.
Threat Summary: | |
Nome | Maze 2019 virus |
Tipo de ameaça | Ransomware, Crypto Virus, Files locker. |
Extensão do ficheiro encriptado | O ransomware acrescenta uma extensão aleatória. |
Mensagem de Resgate | DECRYPT-FILES.txt, Papel de parede do desktop e na página web Tor. |
Valor do resgate | $500/$1000 |
Contacto do Criminoso Cibernético | As victimas podem contactar os desenvolvedores do Maze via chat na página Tor |
Nomes detectados | Avast (FileRepMalware), AVG (FileRepMalware), ESET-NOD32 (Win32/Filecoder.NVY), Kaspersky (Trojan-Ransom.Win32.Gen.tno), Lista complete de detecções (VirusTotal) |
Sintomas | Não se consegue abrir os ficheiros armazenados no computador, ficheiros que anteriormente funcionavam, passam a possuir extensões diferentes(por examplo, my.docx.locked). Uma mensagem exigindo o pagamento do resgate é mostrada no desktop. Os criminosos cibernéticos exigem o pagamento de um resgate (geralmente em bitcoins) para descriptografar os ficheiros. |
Informações adicionais | Se ransomware detecta a existência do C:\hutchins.txt no sistema, não criptografa os ficheiros. |
Metodos de distribuição | SpelevoEK (exploit kit), anexos de emails infectados (macros), torrent websites, anúncios maliciosos. |
Impacto | Todos os ficheiros são criptografados e não podem ser abertos sem o pagamento do resgate. Addicionalmente podem ser instalados Trojans para roubo de senhas e malwares. |
Remoção | Para eliminar o virus Maze 2019 os pesquisadores de malwares recomendam varedura do computador com o Spyhunter. |
Como se proteger de infecções por ransomware
Não abra anexos de email apresentados em emails recebidos de endereços desconhecidos e suspeitos. Normalmente, estes são irrelevantes para os destinatários. Para induzir as pessoas a abrir anexos ou links da web, os criminosos geralmente apresentam seus e-mails como oficiais, importantes. Faça o download de os softwares de sites oficiais e confiáveis e através de links diretos. Todos os outros canais / fontes mencionados acima não devem ser confiáveis ou usados. Ferramentas não oficiais ou de terceiros que supostamente atualizam o software instalado são frequentemente usadas para proliferar malware. Portanto, eles não devem ser usados. A maneira mais segura de atualizar o software é usar as ferramentas e funções fornecidas pelos desenvolvedores oficiais de software. Se o software instalado exigir ativação, isso NÃO deve ser feito usando ferramentas de ‘cracking’. Eles são ilegais e as pessoas que os usam frequentemente acabam instalando programas maliciosos. Examine regularmente o sistema operacional com software antivírus ou anti-spyware reconhecidos e mantenha-o atualizado. Se o seu computador já estiver infectado com o Maze, recomendamos executar uma verificação com o Spyhunter para eliminar automaticamente esse ransomware.
Texto apresentado no papel de parede do Maze ransomware:
Maze Ransomware Caro *****, seus arquivos foram criptografados pelos algoritmos RSA-2048 e ChaCha A única maneira de restaurá-los é comprar o descodificador Esses algoritmos são um dos mais fortes Você pode ler sobre eles na wikipedia Se você entender a importância da situação, poderá restaurar todos os arquivos seguindo as instruções no arquivo DECRYPT-FILES.txt Você pode descriptografar arquivos gratuitamente como prova de trabalho
Sabemos que este computador é muito valioso para você Então, nós lhe daremos o preço apropriado para recuperar
Captura de tela do arquivo de texto Maze (“DECRYPT-FILES.txt”):
Texto neste arquivo:
Atenção!
—————————-
| O que aconteceu?
—————————-
Todos os seus arquivos, documentos, fotos, bancos de dados e outros dados importantes estão criptografados com segurança com algoritmos confiáveis.
Você não pode acessar os arquivos no momento. Mas não se preocupe. Você tem uma chance! É fácil recuperar em algumas etapas.
—————————-
| Como recuperar meus arquivos?
—————————-
O único método para restaurar seus arquivos é comprar uma chave privada exclusiva para você, armazenada com segurança em nossos servidores.
Para entrar em contacto connosco e adquirir a chave, você deve visitar nosso site em uma rede TOR oculta.
Existem duas maneiras gerais de chegar até nós:
1) [Recomendado] Usando rede TOR oculta.
a) Faça o download de um navegador TOR especial: hxxps: //www.torproject.org/
b) Instale o navegador TOR.
c) Abra o navegador TOR.
d) Abra nosso site no navegador TOR: hxxp: //aoacugmutagkwctu.onion/1dcb0b851e857d00
e) Siga as instruções nesta página.
2) Se você tiver algum problema ao conectar ou usar a rede TOR
a) Abra nosso site: hxxps: //mazedecrypt.top/1dcb0b851e857d00
b) Siga as instruções nesta página.
Aviso: o segundo (2) método pode ser bloqueado em alguns países. É por isso que o primeiro (1) método é recomendado.
Nesta página, você verá instruções sobre como fazer um teste de descriptografia gratuito e como pagar.
Também tem um bate-papo ao vivo com nossos operadores e equipe de suporte.
—————————-
| E as garantias?
—————————-
Entendemos seu estresse e preocupação.
Assim, você tem a oportunidade GRATUITA de testar um serviço, decodificando instantaneamente gratuitamente três arquivos no seu computador!
Se você tiver algum problema, nossa equipe de suporte amigável está sempre aqui para ajudá-lo em um bate-papo ao vivo!
—————————-
ESTE É UM BLOCO ESPECIAL COM INFORMAÇÃO PESSOAL E CONFIDENCIAL! NÃO TOQUE NECESSITAMOS DE IDENTIFICAR E AUTORIZAR VOCÊ
— COMEÇAR A CHAVE DO LABIRINTO —
–
— CHAVE FINAL DO LABIRINTO —
Captura de tela do site Maze Tor:
Texto nesta página:
´`Maze Ransomware O que aconteceu? Se você ver esta página, significa que você tem sorte, porque nós lhe oferecemos a chance de recuperar seus dados.
Faça o upload da sua nota de resgate usando o formulário abaixo e comece a recuperar seus dados. Se a nota de resgate for reconhecida por nosso analisador, você será autorizado com sucesso e receberá mais instruções. Faça o upload da sua nota de resgate DECRYPT-FILES.txt Garantias? Podemos recuperar seus arquivos, pois nosso ransomware foi cuidadosamente projetado para manter a integridade de seus dados criptografados. Não tenha medo e comece a se recuperar! Corporações antivírus? Se você está esperando uma solução gratuita, devemos desapontá-lo. Nosso ransomware usa uma forte combinação de algoritmos. Isso levará décadas para ser resolvido. Comece a trabalhar conosco. Preço? Entendemos que o cliente nem sempre pode pagar o resgate. Temos descontos e, às vezes, você pode recuperar seus arquivos trabalhando conosco. Maze Ransomware 2019? Porque sempre damos uma segunda chance! Para recuperar seus arquivos, você deve pagar o resgate. Seu preço de resgate atual 500 $ (USD) Você deve se apressar porque o preço do resgate dobrará após o contador no canto superior direito desta página chegar a zero. Se você não pagar até esse momento, o preço aumentará x2 (duplicado); portanto, se fosse 500 USD, passará a 1000 USD. Você pode enviar o dinheiro em partes , o preço será recalculado em cada transação bem-sucedida. A transação será concluída após 3 confirmações da rede. Para pagar o resgate, você deve comprar bitcoin e enviar exatamente esse valor de btc 0,0619667 BTC para o endereço: 1DyvaNiX6gtL4S8hADTD7XJrKXf6zWWZum Para ver como comprar os bitcoins, clique em Comprar bitcoins no menu da guia na parte superior da página. Estamos fornecendo três decodificações de teste, para provar que podemos recuperar seus arquivos. Clique em Descriptografar teste no menu na parte superior da página para descriptografar 3 arquivos gratuitamente. Atenção! Estamos descriptografando apenas os arquivos de imagem gratuitamente, pois eles não têm nenhum valor significativo para você.
Aparência do site Tor (GIF)
Captura de tela dos arquivos criptografados pelo Maze (extensão aleatória):
Atualização 18 de dezembro de 2019 – Os desenvolvedores do Maze 2019 ransomware começaram recentemente a usar um novo método para ameaçar vítimas e incentivá-las a pagar resgates. O que os bandidos fazem é roubar uma certa quantidade de dados com a intenção de torná-los públicos se a vítima se recusar a pagar. Eles desenvolveram um site público para armazenar os dados roubados de várias vítimas. Embora os desenvolvedores usem essa tática principalmente contra vários negócios e empresas (como é mais provável que paguem do que usuários comuns), não há garantia de que a situação não acabará mudando. Neste momento atual, o site mencionado acima contém 8 entradas diferentes.
Remoção do ransomware Maze:
Remoção automática instantânea do vírus Maze 2019:
A remoção manual de ameaças pode ser um processo demorado e complicado que requer conhecimentos avançados de informática. O Spyhunter é uma ferramenta profissional de remoção automática de malware, recomendada para se livrar do vírus Maze 2019. Faça o download clicando no botão abaixo:
https://www.pcrisk.com/download-spyhunter-5
Ao fazer o download de qualquer software listado neste site, você concorda com nossa Política de Privacidade e Termos de Uso. O scanner gratuito verifica se o seu computador está infectado. Para remover malware, você precisa comprar a versão completa do Spyhunter.
Menu rápido:
O que Maze?
PASSO 1. Remoção do vírus do Maze usando o modo de segurança com rede.
PASSO 2. Remoção do Maze ransomware usando a Restauração do sistema.
Passo 1
Usuários do Windows XP e Windows 7: Inicie o computador no Modo de Segurança. Clique em Iniciar, clique em Desligar, clique em Reiniciar, clique em OK. Durante o processo de inicialização do computador, pressione a tecla F8 do teclado várias vezes até ver o menu Opção Avançada do Windows e selecione Modo de Segurança com Rede na lista.
Vídeo mostrando como iniciar o Windows 7 no “Modo de segurança com rede”:
Usuários do Windows 8: Inicie o Windows 8 no modo de segurança com rede – Vá para a tela inicial do Windows 8, digite Avançado, nos resultados da pesquisa, selecione Configurações. Clique em Opções avançadas de inicialização, na janela aberta “Configurações gerais do PC”, selecione Inicialização avançada. Clique no botão “Reiniciar agora”. Seu computador agora será reiniciado no “menu Opções de inicialização avançadas”. Clique no botão “Solucionar problemas” e, em seguida, clique no botão “Opções avançadas”. Na tela de opções avançadas, clique em “Configurações de inicialização”. Clique no botão “Reiniciar”. Seu PC será reiniciado na tela Configurações de inicialização. Pressione F5 para inicializar no modo de segurança com rede.
Vídeo mostrando como iniciar o Windows 8 no “Modo de segurança com rede”:
Usuários do Windows 10: clique no logotipo do Windows e selecione o ícone Energia. No menu aberto, clique em “Reiniciar” enquanto mantém pressionado o botão “Shift” no teclado. Na janela “escolha uma opção”, clique em “Solucionar problemas”, depois selecione “Opções avançadas”. No menu de opções avançadas, selecione “Configurações de inicialização” e clique no botão “Reiniciar”. Na janela seguinte, você deve clicar no botão “F5” no seu teclado. Isso reiniciará o sistema operacional no modo de segurança com a rede.
Vídeo mostrando como iniciar o Windows 10 no “Modo de segurança com rede”:
Passo 2
Faça login na conta infectada com o vírus Maze. Inicie o seu navegador da Internet e baixe um programa anti-spyware legítimo. Atualize o software anti-spyware e inicie uma verificação completa do sistema. Remova todas as entradas detectadas.
Se você não conseguir iniciar o computador no Modo de Segurança com Rede, tente executar uma Restauração do Sistema.
Vídeo mostrando como remover vírus de ransomware usando o “Modo de segurança com prompt comando” e “Restauração do sistema”:
1. Durante o processo de inicialização do computador, pressione a tecla F8 do teclado várias vezes até que o menu Opções avançadas do Windows seja exibido e selecione Modo de segurança com prompt de comando na lista e pressione ENTER.
2. Quando o modo Prompt de Comando carregar, digite a seguinte linha: cd restore e pressione ENTER.
3. Em seguida, digite esta linha: rstrui.exe e pressione ENTER.
4. Na janela aberta, clique em “Next”.
5. Selecione um dos pontos de restauração disponíveis e clique em “Next” (isso restaurará o sistema do seu computador para uma data e hora anteriores, antes que o vírus Maze ransomware se infiltre no seu PC).
6. Na janela aberta, clique em “Yes”.
7. Após restaurar o computador para uma data anterior, baixe e verifique o seu PC com o software de remoção de malware recomendado para eliminar os arquivos de razeomware restantes do Maze.
Para restaurar arquivos individuais criptografados por este ransomware, tente usar o recurso Versões anteriores do Windows. Este método só é eficaz se a função Restauração do Sistema estiver ativada em um sistema operacional infectado. Observe que algumas variantes do Maze são conhecidas por remover cópias de volume de sombra dos arquivos; portanto, esse método pode não funcionar em todos os computadores.
Para restaurar um arquivo, clique com o botão direito do mouse sobre ele, vá em Propriedades e selecione a guia Versões Anteriores. Se o arquivo relevante tiver um ponto de restauração, selecione-o e clique no botão “Restaurar”.
Se você não conseguir iniciar o computador no modo de segurança com rede (ou com o prompt de comando), inicialize o computador usando um disco de recuperação. Algumas variantes do ransomware desabilitam o Modo de Segurança, dificultando a remoção. Para esta etapa, você precisa acessar outro computador.
Para recuperar o controle dos arquivos criptografados pelo Maze, você também pode tentar usar um programa chamado Shadow Explorer. Mais informações sobre como usar este programa estão disponíveis aqui.
Para proteger seu computador contra ransomware de criptografia de arquivos como esse, use programas antivírus e anti-spyware respeitáveis. Como método de proteção extra, você pode usar programas chamados HitmanPro.Alert e EasySync CryptoMonitor, que implantam artificialmente objetos de política de grupo no registro para bloquear programas não autorizados, como o Maze ransomware. Observe que a Atualização para criadores de queda do Windows 10 inclui um recurso “Acesso controlado a pastas” que bloqueia tentativas de ransomware para criptografar seus arquivos. Por padrão, esse recurso protege automaticamente os arquivos armazenados nas pastas Documentos, Imagens, Vídeos, Música, Favoritos e Área de Trabalho.
Os usuários do Windows 10 devem instalar esta atualização para proteger seus dados contra ataques de ransomware. Aqui estão mais informações sobre como obter essa atualização e adicionar uma camada de proteção adicional contra infecções por ransomware.
HitmanPro.Alert CryptoGuard – detecta a criptografia de arquivos e neutraliza todas as tentativas sem a necessidade de intervenção do usuário:
O Malwarebytes Anti-Ransomware Beta usa tecnologia proativa avançada que monitora a atividade de ransomware e a finaliza imediatamente – antes de acessar os arquivos dos usuários:
A melhor maneira de evitar danos causados por infecções por ransomware é manter backups regulares atualizados. Mais informações sobre soluções de backup online e software de recuperação de dados https://www.pcrisk.com/how-to-remove-spyware/data-backup-and-recovery
Outras ferramentas conhecidas para remover o ransomware Maze:
Fonte: https://www.pcrisk.com/removal-guides/16145-maze-2019-ransomware.
Comentários