O Ponto de Restauração recupera os arquivos de sistema e um instantâneo do que havia instalado no computador.Agnoscetico escreveu: ↑Dom, 19 Maio 2024 - 00:12 am1) Caso se tenha feita "Ponto de restauração", os arquivos criptografados voltam a última versão antes da criptografia?
O ransomware não se interessa muito pelos arquivos de sistema, a não ser aqueles relacionados ao antivírus e ameaças a ele próprio.
Como Cinzu falou, ele pode até eliminar esses Pontos. Mas não é o foco dele.
O que ele quer, de verdade, são os arquivos de dados, planilhas, documentos, fotos, vídeos, etc.
Esses são os que representam os ativos da chantagem que ele vai propor.
Outra coisa.
Ele toma o cuidado para, ao mexer nos arquivos de sistema, não deixar o computador imprestável.
Ele deverá danificar apenas ameaças para a sua segurança e existência. Não vai desestabilizar o sistema ou inviabilizar o boot.
Até porque a vítima vai precisar do computador para efetuar o resgate.
Resposta:
Ponto de Restauração não vai ajudar.
Sim, aqui há algum tipo de proteção. As pastas protegidas pelo sistema operacional permitem acesso apenas ao seu dono e aos usuários que lhe foram atribuídas permissões.Agnoscetico escreveu: ↑Dom, 19 Maio 2024 - 00:12 am2) Ocultar pastas usando aqueles programas que ocultam pastas até mesmo pro sistema (só sendo acessível se for pelo endereço da pasta, não sendo visíveis nem desativando a ocultação de pastas), protegem essas pastas de serem alvo do ransomware? Pensei se o ransomware seria ou não capaz de encontrar pastas ocultas até pro sistema.
O vírus não tem essas permissões e não terá como entrar nessas pastas para criptografar arquivos.
Resposta:
Pastas protegidas (redundância necessária) protegem os arquivos nela contidos.
Não.Agnoscetico escreveu: ↑Dom, 19 Maio 2024 - 00:12 am3) Programas como aqueles de restaurar arquivos danificados, como, por exemplo "TogetherShare Data Recovery" ( https://www.togethershare.com ) , "EaseUS Data Recovery Wizard" ( https://br.easeus.com/ppc/data-recovery-wizard.html ) , "Recoverit Data Recovery" ( https://recoverit.wondershare.net/ad/data-recovery.html ) , etc, serve pra decodificar ou restaurar um arquivo criptogradao por ransomware pro estado original?
A explicação é o tipo de dano que sofreu o arquivo.
Esses programas de recuperação de dados trabalham na estrutura interna de cada um ou no Sistema de Arquivo do disco.
Alguns arquivos, por falha na cópia ou corrupção da superfície do disco, podem ficar danificados na sua estrutura interna ou na sua localização no disco.
Dano interno diz respeito à estrura do arquivo.
Por exemplo, a grande maioria dos tipos de formato possuem uma organização própria na sua apresentação.
O cabeçalho começa no endereço tal, os dados de acesso em outro endereço, o fluxo de dados (para áudios e vídeos) em outra parte, etc.
São características próprias de cada formato, para que o reprodutor associado (um player de vídeo ou os executáveis do Office) saibam onde encontrar as coisas e exibam o arquivo corretamente. Se a estrutura ficar bagunçada, o player ou o Word não vão poder abrir o arquivo.
Dano de localização é aquele em que parte do arquivo está num determinado setor do disco e o seu restante em outro. E essa informação não está devidamente registrada na Tabela de Partição ou equivalente a ela, de acordo com o Sistema de Arquivo em uso.
Isso faz com que o arquivo possua trechos órfãos e pedaços incompletos, comprometendo a sua integridade e inviabilizando assim a sua reprodução.
Esses programas de recuperação trabalham nesses dois quesitos.
Ele tentam reconstruir a estrutura interna e também casos de localização e recuperação de Tabelas Mestras de arquivo.
Na verdade, um único programa de recuperação não trata dos dois problemas ao mesmo tempo.
Há programas específicos que tratam o primeiro problema que eu descrevi, e outros programas que tratam do segundo problema.
Esses que você citou como exemplo tratam apenas dos problemas de localização.
Prcurando rapidamente, achei esse abaixo, que recupera vídeos MP4 e outros formatos.
Repair Corrupt - Truncated - Unreadable - Damaged Mp4 Mov M4v 3gp Prores Mxf Video Files
Mas o que vai ser feita é apenas uma "arrumação" no layout do arquivo, tentando colocá-lo de volta à sua estrutura "oficial" e, assim, possa ser reproduzido.
Há outros dedicados a recuperação de fotos, planilhas, etc.
Já um arquivo que sofreu ataque por ransomware tem o seu conteúdo criptografado, que não causa dano nem à sua estrutura e nem à sua localização.
Ele está íntegro, completo, perfeito.
Com o pequeno detalhe de que foi aplicada uma "senha" nele.
A criptografia do ransomware trabalha da mesma forma que o PGP e o blockchain, das criptomoedas.
Ela é do tipo assimétrica, que exige duas chaves, uma privada e outra pública.
Elas são diferentes, por isso o nome "assimétrica".
Um arquivo ZIP com senha é uma criptografia que só tem um lado: a senha.
Já no ransomware, é necessária a combinação das duas chaves para abrir o "segredo".
Esses casos em que a chave do vírus é offline são usados para que se use força bruta no arquivo para se tentar descobrir a senha e os parâmetros da chave.
Os fabricantes de antivírus trabalham em cima dessas chaves offline para tentar quebrá-las. Por isso que eles dizem que "atualmente, não tem como abrir, mas talvez futuramente tenha". Ou seja, eles deixam computadores potentes realizando mil combinações para tentar abrir a chave com força bruta.
Por outro lado, a chave online não permite isso, pois o malfeitor pode mudá-la a qualquer momento, impossibilitando a quebra.
Resposta:
Não, esses programas não vão ajudar na recuperação dos dados atacados por ransomware.
Mas existe uma cura completa para ataques de ransomware.
E ela se chama Backup sempre atualizado.