Suportamos browsers e não dinossauros. Atualize o seu browser se quiser ver o conteúdo desta página corretamente.

Ferramentas gratuitas de desencriptação de ransomware

Foi afetado por ransomware? Não pague o resgate!

TRANSFERIR FERRAMENTAS DE DESENCRIPTAÇÃO

Escolher o tipo de ransomware

As nossas ferramentas gratuitas de desencriptação de ransomwarepodem ajudar a desencriptar ficheiros encriptados com os seguintes tipos de ransomware. Basta clicar num nome para ver os indícios de infeção e obter a nossa reparação gratuita.

Quer ajudar a impedir futuras infeções causadas por ransomware?
Transferir o Avast Free Antivirus

AES_NI

O AES_NI é um tipo de ransomware que apareceu pela primeira vez em dezembro de 2016. Desde então observámos diversas variantes, com diferentes extensões de ficheiros. O ransomware utiliza AES-256 em conjunto com RSA-2048 para encriptar ficheiros.

Alterações de nomes de ficheiros:

O ransomware acrescenta uma das seguintes extensões aos ficheiros encriptados:
.aes_ni
.aes256
.aes_ni_0day

Em cada pasta com pelo menos um ficheiro encriptado, é possível encontrar o ficheiro “!!! READ THIS - IMPORTANT !!!.txt”. Além disso, o ransomware cria um ficheiro de chave com um nome semelhante a: [PC_NAME]#9C43A95AC27D3A131D3E8A95F2163088-Bravo NEW-20175267812-78.key.aes_ni_0day na pasta C:\ProgramData.

Mensagem de resgate:

O ficheiro “!!! READ THIS - IMPORTANT !!!.txt” contém a seguinte nota de resgate:

Alcatraz Locker

O Alcatraz Locker é um tipo de ransomware que foi observado pela primeira vez em meados de novembro de 2016. Este ransomware utiliza encriptação AES 256 em conjunto com codificação Base64 para encriptar os ficheiros do utilizador.

Alterações de nomes de ficheiros:

Os ficheiros encriptados têm a extensão “.Alcatraz”.

Mensagem de resgate:

Após a encriptação dos ficheiros, aparece uma mensagem semelhante (localizada num ficheiro “ransomed.html” no ambiente de trabalho do utilizador):

Se o Alcatraz Locker tiver encriptado os seus ficheiros, clique aqui para transferir a nossa reparação gratuita:

Apocalypse

O Apocalypse é um tipo de ransomware que foi detetado pela primeira vez em junho de 2016. Os indícios de infeção são os seguintes:

Alterações de nomes de ficheiros:

O Apocalypse acrescenta .encrypted, .FuckYourData, .locked, .Encryptedfile ou .SecureCrypted à parte final dos nomes dos ficheiros. (ex.: Tese.doc = Tese.doc.locked)

Mensagem de resgate:

Abrir um ficheiro com a extensão .How_To_Decrypt.txt, .README.Txt, .Contact_Here_To_Recover_Your_Files.txt, .How_to_Recover_Data.txt ou .Where_my_files.txt (ex.: Tese.doc.How_To_Decrypt.txt) faz aparecer uma variação desta mensagem:



AtomSilo e LockFile

AtomSilo e LockFile são dois tipos de ransomware analisados por Jiří Vinopal. Têm um esquema de encriptação muito semelhante, pelo que este desencriptador abrange as duas variantes. As vítimas podem desencriptar os seus ficheiros gratuitamente.

Alterações de nomes de ficheiros:

É possível reconhecer os ficheiros encriptados através de uma das seguintes extensões:
.ATOMSILO
.lockfile

Em cada pasta com pelo menos um ficheiro encriptado, existe também um ficheiro de nota de resgate com o nome README-FILE-%NomeComputador%-%Número%.hta ou LOCKFILE-README-%NomeComputador%-%Número%.hta, por exemplo:

  • README-FILE-JOHN_PC-1634717562.hta
  • LOCKFILE-README-JOHN_PC-1635095048.hta

Babuk

O Babuk é um ransomware russo. Em setembro de 2021, o código-fonte foi divulgado com algumas das chaves de desencriptação. As vítimas podem desencriptar os seus ficheiros gratuitamente.

Alterações de nomes de ficheiros:

Ao encriptar um ficheiro, o Babuk acrescenta uma das seguintes extensões ao nome do ficheiro:
.babuk
.babyk
.doydo

Em cada pasta com pelo menos um ficheiro encriptado, é possível encontrar o ficheiro Help Restore Your Files.txt com o seguinte conteúdo:

BadBlock

O BadBlock é um tipo de ransomware que foi detetado pela primeira vez em maio de 2016. Os indícios de infeção são os seguintes:

Alterações de nomes de ficheiros:

O BadBlock não muda o nome dos ficheiros.

Mensagem de resgate:

Depois de encriptar os ficheiros, o BadBlock apresenta uma das seguintes mensagens (a partir de um ficheiro com o nome Help Decrypt.html):

Se o BadBlock tiver encriptado os seus ficheiros, clique aqui para transferir a nossa reparação gratuita:



Bart

O Bart é um tipo de ransomware que foi detetado pela primeira vez nos finais de junho de 2016. Os indícios de infeção são os seguintes:

Alterações de nomes de ficheiros:

O Bart acrescenta .bart.zip à parte final dos nomes dos ficheiros. (ex.: Tese.doc = Tese.docx.bart.zip) Trata-se de arquivos ZIP encriptados que contêm os ficheiros originais.

Mensagem de resgate:

Depois de encriptar os ficheiros, o Bart muda o fundo do ambiente de trabalho para uma imagem semelhante à que é mostrada abaixo. O texto incluído na imagem também pode ser utilizado para ajudar a identificar o Bart e o conteúdo é guardado no ambiente de trabalho em ficheiros com o nome recover.bmp e recover.txt.

Se o Bart tiver encriptado os seus ficheiros, clique aqui para transferir a nossa reparação gratuita:

Agradecimento: queremos agradecer a Peter Conrad, autor do PkCrack, que nos deu autorização para utilizar a sua biblioteca na nossa ferramenta de desencriptação do Bart.

BigBobRoss

O BigBobRoss encripta os ficheiros do utilizador através de encriptação AES128. É acrescentada a nova extensão “.obfuscated” à parte final dos nomes dos ficheiros encriptados.

Alterações de nomes de ficheiros:

O ransomware acrescenta a seguinte extensão: .obfuscated

foobar.doc -> foobar.doc.obfuscated
document.dat -> document.dat.obfuscated
document.xls -> document.xls.obfuscated
foobar.bmp -> foobar.bmp.obfuscated

Mensagem de resgate:

O ransomware também cria um ficheiro de texto com o nome “Read Me.txt” em cada pasta. O conteúdo do ficheiro encontra-se abaixo.

BTCWare

O BTCWare é um tipo de ransomware que apareceu pela primeira vez em março de 2017. Desde então observámos cinco variantes, que podem ser diferenciadas pela extensão do ficheiro encriptado. O ransomware utiliza dois métodos de encriptação diferentes: RC4 e AES 192.

Alterações de nomes de ficheiros:

Os nomes dos ficheiros encriptados terão o seguinte formato:
foobar.docx.[sql772@aol.com].theva
foobar.docx.[no.xop@protonmail.ch].cryptobyte
foobar.bmp.[no.btc@protonmail.ch].cryptowin
foobar.bmp.[no.btcw@protonmail.ch].btcware
foobar.docx.onyon

Além disso, é possível encontrar no PC um dos seguintes ficheiros:
Key.dat em %USERPROFILE%\Ambiente de trabalho

1.bmp em %USERPROFILE%\AppData\Roaming
#_README_#.inf ou !#_DECRYPT_#!.inf em cada pasta com pelo menos um ficheiro encriptado.

Mensagem de resgate:

Depois de encriptar os ficheiros, o ransomware muda o fundo do ambiente de trabalho para o seguinte:

Também poderá ver uma das seguintes notas de resgate:

Crypt888

O Crypt888 (também conhecido como Mircop) é um tipo de ransomware que foi detetado pela primeira vez em junho de 2016. Os indícios de infeção são os seguintes:

Alterações de nomes de ficheiros:

O Crypt888 acrescenta Lock. à parte inicial dos nomes dos ficheiros. (ex.: Tese.doc = Lock.Tese.doc)

Mensagem de resgate:

Depois de encriptar os ficheiros, o Crypt888 muda o fundo do ambiente de trabalho para um dos seguintes:

Se o Crypt888 tiver encriptado os seus ficheiros, clique aqui para transferir a nossa reparação gratuita:

CryptoMix (Offline)

O CryptoMix (também conhecido como CryptFile2 ou Zeta) é um tipo de ransomware que foi detetado pela primeira vez em março de 2016. No início de 2017 surgiu uma nova variante do CryptoMix, chamada CryptoShield. Ambas as variantes encriptam ficheiros utilizando encriptação AES 256 com uma chave de encriptação única que é transferida de um servidor remoto. No entanto, se o servidor não estiver disponível ou se o utilizador não estiver ligado à Internet, o ransomware encripta os ficheiros com uma chave fixa (“chave offline”).

Importante: a ferramenta de desencriptação fornecida suporta apenas ficheiros encriptados com uma “chave offline”. Nos casos em que a chave offline não tenha sido utilizada para encriptar ficheiros, a nossa ferramenta não conseguirá restaurar os ficheiros e não será feita qualquer modificação nos mesmos.
Atualização em 21-07-2017: o desencriptador foi atualizado para funcionar também com a variante Mole.

Alterações de nomes de ficheiros:

Os ficheiros encriptados terão uma das seguintes extensões: .CRYPTOSHIELD, .rdmk, .lesli, .scl, .code, .rmd, .rscl ou .MOLE.

Mensagem de resgate:

Os ficheiros que se seguem poderão ser encontrados no PC após a encriptação de ficheiros:

Se o CryptoMix tiver encriptado os seus ficheiros, clique aqui para transferir a nossa reparação gratuita:

CrySiS

O CrySiS (JohnyCryptor, Virus-Encode, Aura, Dharma) é um tipo de ransomware que tem sido observado desde setembro de 2015. Utiliza AES-256 em conjunto com encriptação assimétrica RSA-1024.

Alterações de nomes de ficheiros:

Os ficheiros encriptados têm várias extensões diferentes, incluindo:
.johnycryptor@hackermail.com.xtbl,
.ecovector2@aol.com.xtbl,
.systemdown@india.com.xtbl,
.Vegclass@aol.com.xtbl,
.{milarepa.lotos@aol.com}.CrySiS,
.{Greg_blood@india.com}.xtbl,
.{savepanda@india.com}.xtbl,
.{arzamass7@163.com}.xtbl,
.{3angle@india.com}.dharma,
.{tombit@india.com}.dharma,
.wallet

Mensagem de resgate:

Após a encriptação dos ficheiros, aparece uma das seguintes mensagens (ver abaixo). A mensagem encontra-se em “Decryption instructions.txt”, “Decryptions instructions.txt”, “README.txt”, “Readme to restore your files.txt” ou “HOW TO DECRYPT YOUR DATA.txt” no ambiente de trabalho do utilizador. Além disso, o ransomware muda o fundo do ambiente de trabalho para uma das imagens abaixo.

Se o CrySiS tiver encriptado os seus ficheiros, clique aqui para transferir a nossa reparação gratuita:

EncrypTile

O EncrypTile é um ransomware que observámos pela primeira vez em novembro de 2016. Após meio ano de desenvolvimento, detetámos uma nova versão final deste ransomware. Utiliza encriptação AES-128, recorrendo a uma chave que é constante para um determinado PC e utilizador.

Alterações de nomes de ficheiros:

O ransomware acrescenta a palavra “encrypTile” ao nome de um ficheiro:

foobar.doc -> foobar.docEncrypTile.doc

foobar3 -> foobar3EncrypTile

O ransomware também cria quatro ficheiros novos no ambiente de trabalho do utilizador. Os nomes desses ficheiros são traduzidos; apresentamos aqui as versões em inglês:

Mensagem de resgate:
Como executar o desencriptador

Quando está em execução, o ransomware impede ativamente o utilizador de executar ferramentas que possam removê-lo. Consulte a publicação no blogue para obter instruções mais detalhadas sobre o modo de executar o desencriptador caso o ransomware esteja em execução no seu PC.

FindZip

O FindZip é um tipo de ransomware que foi observado nos finais de fevereiro de 2017. Este ransomware dissemina-se em Mac OS X (versão 10.11 ou mais recente). A encriptação baseia-se na criação de ficheiros ZIP – cada ficheiro encriptado é um arquivo ZIP que contém o documento original.

Alterações de nomes de ficheiros:

Os ficheiros encriptados terão a extensão .crypt.

Mensagem de resgate:

Após a encriptação dos ficheiros, são criados vários ficheiros no ambiente de trabalho do utilizador, com os seguintes nomes variados: DECRYPT.txt, HOW_TO_DECRYPT.txt, README.txt. São todos idênticos e contêm a seguinte mensagem de texto:

Nota especial: visto que os desencriptadores AVAST são aplicações do Windows, é necessário instalar uma camada de emulação em Mac (WINE, CrossOver). Para obter mais informações, leia a nossa publicação no blogue.

Se o FindZip tiver encriptado os seus ficheiros, clique aqui para transferir a nossa reparação gratuita:

Fonix

O ransomware Fonix esteve ativo desde junho de 2020. Criado em C++, utiliza um esquema de encriptação de três chaves (chave-mestra RSA-4096, chave de sessão RSA-2048 e chave de ficheiro de 256 bits para encriptação SALSA/ChaCha). Em fevereiro de 2021, os criadores do ransomware encerraram a atividade e publicaram a chave-mestra RSA que pode ser utilizada para desencriptar ficheiros gratuitamente.

Alterações de nomes de ficheiros:

Os ficheiros encriptados terão uma das seguintes extensões:
.FONIX,
.XINOF

Mensagem de resgate:

Depois de encriptar ficheiros no computador afetado, o ransomware mostra o seguinte ecrã:

Se o Fonix tiver encriptado os seus ficheiros, clique aqui para transferir a nossa reparação gratuita:

GandCrab

O GandCrab foi um dos tipos mais predominantes de ransomware em 2018. Em 17 de outubro de 2018, os programadores do GandCrab disponibilizaram 997 chaves destinadas a vítimas localizadas na Síria. Além disso, em julho de 2018, o FBI disponibilizou chaves-mestras de desencriptação para as versões 4-5.2. Esta versão do desencriptador utiliza todas essas chaves e pode desencriptar ficheiros gratuitamente.

Alterações de nomes de ficheiros:

O ransomware acrescenta várias extensões possíveis:
.GDCB,
.CRAB,
.KRAB,
.%RandomLetters%
foobar.doc -> foobar.doc.GDCB
document.dat -> document.dat.CRAB
document.xls -> document.xls.KRAB
foobar.bmp -> foobar.bmp.gcnbo (as letras são aleatórias)

Mensagem de resgate:

O ransomware também cria um ficheiro de texto com o nome “GDCB-DECRYPT.txt”, “CRAB-DECRYPT.txt”, “KRAB_DECRYPT.txt”, “%RandomLetters%-DECRYPT.txt” ou “%RandomLetters%-MANUAL.txt” em cada pasta. O conteúdo do ficheiro encontra-se abaixo.

Versões posteriores do ransomware podem também colocar a seguinte imagem no ambiente de trabalho do utilizador:

Globe

O Globe é um tipo de ransomware que tem sido observado desde agosto de 2016. Baseado numa variação, utiliza o método de encriptação RC4 ou Blowfish. Os indícios de infeção são os seguintes:

Alterações de nomes de ficheiros:

O Globe acrescenta uma das seguintes extensões ao nome do ficheiro: “.ACRYPT”, “.GSupport[0-9]”, “.blackblock”, “.dll555”, “.duhust”, “.exploit”, “.frozen”, “.globe”, “.gsupport”, “.kyra”, “.purged”, “.raid[0-9]”, “.siri-down@india.com”, “.xtbl”, “.zendrz”, “.zendr[0-9]” ou “.hnyear”. Além disso, algumas versões deste ransomware também encriptam o nome do ficheiro.

Mensagem de resgate:

Após a encriptação dos ficheiros, aparece uma mensagem semelhante (localizada num ficheiro “How to restore files.hta” ou “Read Me Please.hta”):

Se o Globe tiver encriptado os seus ficheiros, clique aqui para transferir a nossa reparação gratuita:

HermeticRansom

HermeticRansom é ransomware que foi utilizado no início da invasão russa à Ucrânia. Está escrito na linguagem Go e encripta ficheiros com a cifra simétrica AES GCM. A vítima deste ataque de ransomware pode desencriptar os seus ficheiros gratuitamente.

Alterações de nomes de ficheiros:

Os ficheiros encriptados podem ser reconhecidos pela extensão do ficheiro .[vote2024forjb@protonmail.com].encryptedJB. Também é deixado um ficheiro com o nome read_me.html no ambiente de trabalho do utilizador (ver a imagem abaixo).

HiddenTear

O HiddenTear é um dos primeiros códigos de ransomware de código aberto alojados no GitHub e remonta a agosto de 2015. Desde essa data, foram produzidas centenas de variantes do HiddenTear por burlões a partir do código-fonte original. O HiddenTear utiliza encriptação AES.

Alterações de nomes de ficheiros:

Os ficheiros encriptados terão uma das seguintes extensões (embora não se limite a estas extensões): .locked, .34xxx, .bloccato, .BUGSECCCC, .Hollycrypt, .lock, .saeid, .unlockit, .razy, .mecpt, .monstro, .lok, .암호화됨, .8lock8, .fucked, .flyper, .kratos, .krypted, .CAZZO, .doomed.

Mensagem de resgate:

Após a encriptação dos ficheiros, aparece um ficheiro de texto (READ_IT.txt, MSG_FROM_SITULA.txt, DECRYPT_YOUR_FILES.HTML) no ambiente de trabalho do utilizador. Algumas variantes também poderão mostrar uma mensagem de resgate:

Se o HiddenTear tiver encriptado os seus ficheiros, clique aqui para transferir a nossa reparação gratuita:

Jigsaw

O Jigsaw é um tipo de ransomware que existe desde março de 2016. O nome é baseado na personagem de cinema “The Jigsaw Killer”. Diversas variantes deste ransomware utilizam a imagem do Jigsaw Killer no ecrã de resgate.

Alterações de nomes de ficheiros:

Os ficheiros encriptados terão uma das seguintes extensões: .kkk, .btc, .gws, .J, .encrypted, .porno, .payransom, .pornoransom, .epic, .xyz, .versiegelt, .encrypted, .payb, .pays, .payms, .paymds, .paymts, .paymst, .payrms, .payrmts, .paymrts, .paybtcs, .fun, .hush, .uk-dealer@sigaint.org ou .gefickt.

Mensagem de resgate:

Após a encriptação dos ficheiros, aparece um dos ecrãs abaixo:

Se o Jigsaw tiver encriptado os seus ficheiros, clique aqui para transferir a nossa reparação gratuita:

LambdaLocker

O LambdaLocker é um tipo de ransomware que observámos pela primeira vez em maio de 2017. Foi escrito na linguagem de programação Python e a variante que predomina atualmente é decifrável.

Alterações de nomes de ficheiros:

O ransomware acrescenta a extensão “.MyChemicalRomance4EVER” após o nome do ficheiro:
foobar.doc -> foobar.doc.MyChemicalRomance4EVER
document.dat -> document.dat.MyChemicalRomance4EVER


O ransomware também cria um ficheiro de texto com o nome “UNLOCK_guiDE.txt” no ambiente de trabalho do utilizador. O conteúdo do ficheiro encontra-se abaixo.

Legion

O Legion é um tipo de ransomware que foi detetado pela primeira vez em junho de 2016. Os indícios de infeção são os seguintes:

Alterações de nomes de ficheiros:

O Legion acrescenta uma variação de ._23-06-2016-20-27-23_$f_tactics@aol.com$.legion ou .$centurion_legion@aol.com$.cbf à parte final dos nomes dos ficheiros. (ex.: Tese.doc = Tese.doc._23-06-2016-20-27-23_$f_tactics@aol.com$.legion)

Mensagem de resgate:

Depois de encriptar os ficheiros, o Legion muda o fundo do ambiente de trabalho e apresenta uma janela pop-up da seguinte forma:

Se o Legion tiver encriptado os seus ficheiros, clique aqui para transferir a nossa reparação gratuita:

NoobCrypt

O NoobCrypt é um tipo de ransomware que tem sido observado desde finais de julho de 2016. Este ransomware utiliza o método de encriptação AES 256 para encriptar os ficheiros do utilizador.

Alterações de nomes de ficheiros:

O NoobCrypt não altera o nome do ficheiro. Contudo, não é possível abrir os ficheiros encriptados com a aplicação associada.

Mensagem de resgate:

Após a encriptação dos ficheiros, aparece uma mensagem semelhante (localizada num ficheiro “ransomed.html” no ambiente de trabalho do utilizador):

Se o NoobCrypt tiver encriptado os seus ficheiros, clique aqui para transferir a nossa reparação gratuita:

Prometheus

O ransomware Prometheus está escrito em .NET (C#) e encripta ficheiros através de Chacha20 ou AES-256. A chave de encriptação do ficheiro é subsequentemente encriptada com RSA-2048 e guardada no final do ficheiro. Algumas variantes do ransomware podem ser desencriptadas gratuitamente.

Alterações de nomes de ficheiros:

É possível reconhecer os ficheiros encriptados através de uma das seguintes extensões do ficheiro:

  • .[cmd_bad@keemail.me].VIPxxx
  • .[cmd_bad@keemail.me].crypt
  • .[cmd_bad@keemail.me].CRYSTAL
  • .[KingKong2@tuta.io].crypt
  • .reofgv
  • .y9sx7x
  • .[black_privat@tuta.io].CRYSTAL
  • .BRINKS_PWNED
  • .9ten0p
  • .uo8bpy
  • .iml
  • .locked
  • .unlock
  • .secure[milleni5000@qq.com]
  • .secure
  • .61gutq
  • .hard

Também é deixado um ficheiro com a nota de resgate no ambiente de trabalho do utilizador, com um destes nomes:

  • HOW_TO_DECYPHER_FILES.txt
  • UNLOCK_FILES_INFO.txt
  • Инструкция.txt

TargetCompany

O TargetCompany é um ransomware que encripta ficheiros do utilizador com a cifra Chacha20. A vítima deste ataque de ransomware já pode desencriptar os seus ficheiros gratuitamente.

Alterações de nomes de ficheiros:

É possível reconhecer os ficheiros encriptados através de uma das seguintes extensões:
.mallox
.exploit
.architek
.brg
.carone

Em cada pasta com pelo menos um ficheiro encriptado, existe também um ficheiro de nota de resgate com o nome RECOVERY INFORMATION.txt (ver a imagem abaixo).



Stampado

O Stampado é um tipo de ransomware escrito por meio da ferramenta de scripts AutoIt. Já existe desde agosto de 2016. É vendido na “dark web” e estão sempre a aparecer novas variantes. Uma das versões chama-se Philadelphia.

Alterações de nomes de ficheiros:

O Stampado acrescenta a extensão .locked aos ficheiros encriptados. Algumas variantes também encriptam o nome de ficheiro em si, o que significa que o nome de ficheiro encriptado poderá aparecer como document.docx.locked ou 85451F3CCCE348256B549378804965CD8564065FC3F8.locked.

Mensagem de resgate:

Após a conclusão da encriptação, aparece o seguinte ecrã:

Se o Stampado tiver encriptado os seus ficheiros, clique aqui para transferir a nossa reparação gratuita:

SZFLocker

O SZFLocker é um tipo de ransomware que foi detetado pela primeira vez em maio de 2016. Os indícios de infeção são os seguintes:

Alterações de nomes de ficheiros:

O SZFLocker acrescenta .szf à parte final dos nomes dos ficheiros. (ex.: Tese.doc = Tese.doc.szf)

Mensagem de resgate:

Quando tenta abrir um ficheiro encriptado, o SZFLocker apresenta a seguinte mensagem (em polaco):

Se o SZFLocker tiver encriptado os seus ficheiros, clique aqui para transferir a nossa reparação gratuita:

TeslaCrypt

O TeslaCrypt é um tipo de ransomware que foi detetado pela primeira vez em fevereiro de 2015. Os indícios de infeção são os seguintes:

Alterações de nomes de ficheiros:

A versão mais recente do TeslaCrypt não muda o nome dos ficheiros.

Mensagem de resgate:

Depois de encriptar os ficheiros, o TeslaCrypt apresenta uma variação da seguinte mensagem:

Se o TeslaCrypt tiver encriptado os seus ficheiros, clique aqui para transferir a nossa reparação gratuita:

Troldesh / Shade

O Troldesh (também conhecido como Shade ou Encoder.858) é um tipo de ransomware observado desde 2016. Nos finais de abril de 2020, os criadores do ransomware encerraram a atividade e publicaram chaves de desencriptação que podem ser utilizadas para desencriptar ficheiros gratuitamente.
Mais informações: https://www.bleepingcomputer.com/news/security/shade-ransomware-shuts-down-releases-750k-decryption-keys/

Alterações de nomes de ficheiros:

Os ficheiros encriptados terão uma das seguintes extensões:
• xtbl
• ytbl
• breaking_bad
• heisenberg
• better_call_saul
• los_pollos
• da_vinci_code
• magic_software_syndicate
• windows10
• windows8
• no_more_ransom
• tyson
• crypted000007
• crypted000078
• rsa3072
• decrypt_it
• dexter
• miami_california

Mensagem de resgate:

Após a encriptação dos ficheiros, são criados vários ficheiros no ambiente de trabalho do utilizador, com nomes de README1.txt a README10.txt. Contêm o seguinte texto em idiomas diferentes:

O fundo do ambiente de trabalho do utilizador também muda e fica semelhante à imagem abaixo:

Se o Troldesh tiver encriptado os seus ficheiros, clique aqui para transferir a nossa reparação gratuita:

XData

O XData é um tipo de ransomware derivado do AES_NI e, tal como o WannaCry, utiliza a vulnerabilidade Eternal Blue para se disseminar e infetar outras máquinas.

Alterações de nomes de ficheiros:

O ransomware acrescenta a extensão “.~xdata~” aos ficheiros encriptados.

Em cada pasta com pelo menos um ficheiro encriptado, é possível encontrar o ficheiro “HOW_CAN_I_DECRYPT_MY_FILES.txt”. Além disso, o ransomware cria um ficheiro de chave com um nome semelhante a:

[PC_NAME]#9C43A95AC27D3A131D3E8A95F2163088-Bravo NEW-20175267812-78.key.~xdata~ nas seguintes pastas:

• C:\

• C:\ProgramData

• Ambiente de trabalho

Mensagem de resgate:

O ficheiro “HOW_CAN_I_DECRYPT_MY_FILES.txt” contém a seguinte nota de resgate:

Se o Troldesh tiver encriptado os seus ficheiros, clique aqui para transferir a nossa reparação gratuita:

Fechar

Quase terminado!

Conclua a instalação ao fazer clique no ficheiro transferido e siga as instruções.

A iniciar a transferência...
Nota: se a transferência não tiver começado automaticamente, clique aqui.
Clique neste ficheiro para começar a instalar o Avast.