Ferramentas gratuitas de desencriptação de ransomware

Foi afetado por ransomware? Não pague o resgate!

As nossas ferramentas gratuitas de desencriptação de ransomware podem ajudar a desencriptar ficheiros encriptados com os seguintes tipos de ransomware. Basta clicar num nome para ver os indícios de infeção e obter a nossa reparação gratuita.

Quer ajudar a impedir futuras infeções causadas por ransomware?

Transfira o Avast Free Antivirus.

Alcatraz Locker

O Alcatraz Locker é um tipo de ransomware que foi observado pela primeira vez em meados de novembro de 2016. Este ransomware utiliza encriptação AES 256 em conjunto com codificação Base64 para encriptar os ficheiros do utilizador.

Alterações de nomes de ficheiros:

Os ficheiros encriptados têm a extensão “.Alcatraz”.

Mensagem de resgate:

Após a encriptação dos ficheiros, aparece uma mensagem semelhante (localizada num ficheiro “ransomed.html” no ambiente de trabalho do utilizador):

+

Se o Alcatraz Locker tiver encriptado os seus ficheiros, clique aqui para transferir a nossa reparação gratuita:

Transferir reparação de Alcatraz Locker

Apocalypse

O Apocalypse é um tipo de ransomware que foi detetado pela primeira vez em junho de 2016. Os indícios de infeção são os seguintes:

Alterações de nomes de ficheiros:

O Apocalypse acrescenta .encrypted, .FuckYourData, .locked, .Encryptedfile ou .SecureCrypted à parte final dos nomes dos ficheiros. (ex.: Tese.doc = Tese.doc.locked)

Mensagem de resgate:

Abrir um ficheiro com a extensão .How_To_Decrypt.txt, .README.Txt, .Contact_Here_To_Recover_Your_Files.txt, .How_to_Recover_Data.txt ou .Where_my_files.txt (ex.: Tese.doc.How_To_Decrypt.txt) faz aparecer uma variação desta mensagem:

Transferir reparação de Apocalypse Transferir reparação de ApocalypseVM

BadBlock

O BadBlock é um tipo de ransomware que foi detetado pela primeira vez em maio de 2016. Os indícios de infeção são os seguintes:

Alterações de nomes de ficheiros:

O BadBlock não muda o nome dos ficheiros.

Mensagem de resgate:

Depois de encriptar os ficheiros, o BadBlock apresenta uma das seguintes mensagens (a partir de um ficheiro com o nome Help Decrypt.html):

+ +

Se o BadBlock tiver encriptado os seus ficheiros, clique aqui para transferir a nossa reparação gratuita:

Transferir reparação de BadBlock para Windows de 32 bits Transferir reparação de BadBlock para Windows de 64 bits

Bart

O Bart é um tipo de ransomware que foi detetado pela primeira vez nos finais de junho de 2016. Os indícios de infeção são os seguintes:

Alterações de nomes de ficheiros:

O Bart acrescenta .bart.zip à parte final dos nomes dos ficheiros. (ex.: Tese.doc = Tese.docx.bart.zip) Trata-se de arquivos ZIP encriptados que contêm os ficheiros originais.

Mensagem de resgate:

Depois de encriptar os ficheiros, o Bart muda o fundo do ambiente de trabalho para uma imagem semelhante à que é mostrada abaixo. O texto incluído na imagem também pode ser utilizado para ajudar a identificar o Bart e o conteúdo é guardado no ambiente de trabalho em ficheiros com o nome recover.bmp e recover.txt.

+

Se o Bart tiver encriptado os seus ficheiros, clique aqui para transferir a nossa reparação gratuita:

Agradecimento: queremos agradecer a Peter Conrad, autor do PkCrack, que nos deu autorização para utilizar a sua biblioteca na nossa ferramenta de desencriptação do Bart.

Transferir reparação de Bart

Crypt888

O Crypt888 (também conhecido como Mircop) é um tipo de ransomware que foi detetado pela primeira vez em junho de 2016. Os indícios de infeção são os seguintes:

Alterações de nomes de ficheiros:

O Crypt888 acrescenta Lock. à parte inicial dos nomes dos ficheiros. (ex.: Tese.doc = Lock.Tese.doc)

Mensagem de resgate:

Depois de encriptar os ficheiros, o Crypt888 muda o fundo do ambiente de trabalho para um dos seguintes:

+ + + + + + +

Se o Crypt888 tiver encriptado os seus ficheiros, clique aqui para transferir a nossa reparação gratuita:

Transferir reparação de Crypt888

CryptoMix (Offline)

O CryptoMix (também conhecido como CryptFile2 ou Zeta) é um tipo de ransomware que foi detetado pela primeira vez em março de 2016. No início de 2017 surgiu uma nova variante do CryptoMix, chamada CryptoShield. Ambas as variantes encriptam ficheiros utilizando encriptação AES 256 com uma chave de encriptação única que é transferida de um servidor remoto. No entanto, se o servidor não estiver disponível ou se o utilizador não estiver ligado à Internet, o ransomware encripta os ficheiros com uma chave fixa (“chave offline”).

Importante: a ferramenta de desencriptação fornecida suporta apenas ficheiros encriptados com uma “chave offline”. Nos casos em que a chave offline não tenha sido utilizada para encriptar ficheiros, a nossa ferramenta não conseguirá restaurar os ficheiros e não será feita qualquer modificação nos mesmos.

Alterações de nomes de ficheiros:

Os ficheiros encriptados terão uma das seguintes extensões: .CRYPTOSHIELD, .rdmk, .lesli, .scl, .code, .rmd ou .rscl.

Mensagem de resgate:

Os ficheiros que se seguem poderão ser encontrados no PC após a encriptação de ficheiros:

+ + + +

Se o CryptoMix tiver encriptado os seus ficheiros, clique aqui para transferir a nossa reparação gratuita:

Transferir reparação de CryptoMix

CrySiS

O CrySiS (JohnyCryptor, Virus-Encode ou Aura) é um tipo de ransomware que tem sido observado desde setembro de 2015. Utiliza AES 256 em conjunto com encriptação assimétrica RSA1024.

Alterações de nomes de ficheiros:

Os ficheiros encriptados têm várias extensões diferentes, incluindo:
.johnycryptor@hackermail.com.xtbl,
.ecovector2@aol.com.xtbl,
.systemdown@india.com.xtbl,
.Vegclass@aol.com.xtbl,
.{milarepa.lotos@aol.com}.CrySiS,
.{Greg_blood@india.com}.xtbl,
.{savepanda@india.com}.xtbl,
.{arzamass7@163.com}.xtbl

Mensagem de resgate:

Após a encriptação dos ficheiros, aparece uma das seguintes mensagens (ver abaixo). A mensagem encontra-se em “Decryption instructions.txt”, “Decryptions instructions.txt” ou “*README.txt” no ambiente de trabalho do utilizador.

+ + + + + + + +

Se o CrySiS tiver encriptado os seus ficheiros, clique aqui para transferir a nossa reparação gratuita:

Transferir reparação de CrySiS

Globe

O Globe é um tipo de ransomware que tem sido observado desde agosto de 2016. Baseado numa variação, utiliza o método de encriptação RC4 ou Blowfish. Os indícios de infeção são os seguintes:

Alterações de nomes de ficheiros:

O Globe acrescenta uma das seguintes extensões ao nome do ficheiro: “.ACRYPT”, “.GSupport[0-9]”, “.blackblock”, “.dll555”, “.duhust”, “.exploit”, “.frozen”, “.globe”, “.gsupport”, “.kyra”, “.purged”, “.raid[0-9]”, “.siri-down@india.com”, “.xtbl”, “.zendrz”, “.zendr[0-9]” ou “.hnyear”. Além disso, algumas versões deste ransomware também encriptam o nome do ficheiro.

Mensagem de resgate:

Após a encriptação dos ficheiros, aparece uma mensagem semelhante (localizada num ficheiro “How to restore files.hta” ou “Read Me Please.hta”):

+ + +

Se o Globe tiver encriptado os seus ficheiros, clique aqui para transferir a nossa reparação gratuita:

Transferir reparação de Globe

HiddenTear

O HiddenTear é um dos primeiros códigos de ransomware de código aberto alojados no GitHub e remonta a agosto de 2015. Desde essa data, foram produzidas centenas de variantes do HiddenTear por burlões a partir do código-fonte original. O HiddenTear utiliza encriptação AES.

Alterações de nomes de ficheiros:

Os ficheiros encriptados terão uma das seguintes extensões (embora não se limite a estas extensões): .locked, .34xxx, .bloccato, .BUGSECCCC, .Hollycrypt, .lock, .saeid, .unlockit, .razy, .mecpt, .monstro, .lok, .암호화됨, .8lock8, .fucked, .flyper, .kratos, .krypted, .CAZZO, .doomed.

Mensagem de resgate:

Após a encriptação dos ficheiros, aparece um ficheiro de texto (READ_IT.txt, MSG_FROM_SITULA.txt, DECRYPT_YOUR_FILES.HTML) no ambiente de trabalho do utilizador. Algumas variantes também poderão mostrar uma mensagem de resgate:

+ + + +

Se o HiddenTear tiver encriptado os seus ficheiros, clique aqui para transferir a nossa reparação gratuita:

Transferir reparação de HiddenTear

Jigsaw

O Jigsaw é um tipo de ransomware que existe desde março de 2016. O nome é baseado na personagem de cinema “The Jigsaw Killer”. Diversas variantes deste ransomware utilizam a imagem do Jigsaw Killer no ecrã de resgate.

Alterações de nomes de ficheiros:

Os ficheiros encriptados terão uma das seguintes extensões: .kkk, .btc, .gws, .J, .encrypted, .porno, .payransom, .pornoransom, .epic, .xyz, .versiegelt, .encrypted, .payb, .pays, .payms, .paymds, .paymts, .paymst, .payrms, .payrmts, .paymrts, .paybtcs, .fun, .hush, .uk-dealer@sigaint.org ou .gefickt.

Mensagem de resgate:

Após a encriptação dos ficheiros, aparece um dos ecrãs abaixo:

+ + + + + +

Se o Jigsaw tiver encriptado os seus ficheiros, clique aqui para transferir a nossa reparação gratuita:

Transferir reparação de Jigsaw

Legion

O Legion é um tipo de ransomware que foi detetado pela primeira vez em junho de 2016. Os indícios de infeção são os seguintes:

Alterações de nomes de ficheiros:

O Legion acrescenta uma variação de ._23-06-2016-20-27-23_$f_tactics@aol.com$.legion ou .$centurion_legion@aol.com$.cbf à parte final dos nomes dos ficheiros. (ex.: Tese.doc = Tese.doc._23-06-2016-20-27-23_$f_tactics@aol.com$.legion)

Mensagem de resgate:

Depois de encriptar os ficheiros, o Legion muda o fundo do ambiente de trabalho e apresenta uma janela pop-up da seguinte forma:

+

Se o Legion tiver encriptado os seus ficheiros, clique aqui para transferir a nossa reparação gratuita:

Transferir reparação de Legion

NoobCrypt

O NoobCrypt é um tipo de ransomware que tem sido observado desde finais de julho de 2016. Este ransomware utiliza o método de encriptação AES 256 para encriptar os ficheiros do utilizador.

Alterações de nomes de ficheiros:

O NoobCrypt não altera o nome do ficheiro. Contudo, não é possível abrir os ficheiros encriptados com a aplicação associada.

Mensagem de resgate:

Após a encriptação dos ficheiros, aparece uma mensagem semelhante (localizada num ficheiro “ransomed.html” no ambiente de trabalho do utilizador):

+ +

Se o NoobCrypt tiver encriptado os seus ficheiros, clique aqui para transferir a nossa reparação gratuita:

Transferir reparação de NoobCrypt

Stampado

O Stampado é um tipo de ransomware escrito por meio da ferramenta de scripts AutoIt. Já existe desde agosto de 2016. É vendido na “dark web” e estão sempre a aparecer novas variantes. Uma das versões chama-se Philadelphia.

Alterações de nomes de ficheiros:

O Stampado acrescenta a extensão .locked aos ficheiros encriptados. Algumas variantes também encriptam o nome de ficheiro em si, o que significa que o nome de ficheiro encriptado poderá aparecer como document.docx.locked ou 85451F3CCCE348256B549378804965CD8564065FC3F8.locked.

Mensagem de resgate:

Após a conclusão da encriptação, aparece o seguinte ecrã:

+ +

Se o Stampado tiver encriptado os seus ficheiros, clique aqui para transferir a nossa reparação gratuita:

Transferir reparação de Stampado

SZFLocker

O SZFLocker é um tipo de ransomware que foi detetado pela primeira vez em maio de 2016. Os indícios de infeção são os seguintes:

Alterações de nomes de ficheiros:

O SZFLocker acrescenta .szf à parte final dos nomes dos ficheiros. (ex.: Tese.doc = Tese.doc.szf)

Mensagem de resgate:

Quando tenta abrir um ficheiro encriptado, o SZFLocker apresenta a seguinte mensagem (em polaco):

+

Se o SZFLocker tiver encriptado os seus ficheiros, clique aqui para transferir a nossa reparação gratuita:

Transferir reparação de SZFLocker

TeslaCrypt

O TeslaCrypt é um tipo de ransomware que foi detetado pela primeira vez em fevereiro de 2015. Os indícios de infeção são os seguintes:

Alterações de nomes de ficheiros:

A versão mais recente do TeslaCrypt não muda o nome dos ficheiros.

Mensagem de resgate:

Depois de encriptar os ficheiros, o TeslaCrypt apresenta uma variação da seguinte mensagem:

+

Se o TeslaCrypt tiver encriptado os seus ficheiros, clique aqui para transferir a nossa reparação gratuita:

Transferir reparação de TeslaCrypt

Logótipo do browser Chrome

Avast recomenda utilizar
o browser GRATUITO Chrome™.