Recuperação (parcial) de Arquivos em Pendrive Infectado por Ransomware Spora

Compartilho com vocês uma solução, ainda que parcial, para um problema de segurança. Trata-se da recuperação de alguns arquivos de um pendrive infectado pelo Ransomware (vírus) Spora no ambiente Windows.

[ Hits: 6.168 ]

Por: Melissa Zampronio em 17/02/2020 | Blog: https://www.linkedin.com/in/melissa-zampronio-317308112/


Introdução



Caros Linuxers!

Não sou expert em informática, mas trago uma dica sobre o Ransomware Spora que talvez seja útil aos colegas, uma vez que pesquisei bastante e não encontrei uma solução específica (nem em português, nem em inglês).

Primeiramente, Ransomware, de acordo com o site TrendMicro é:

Um tipo de malware que impede ou limita usuários de acessar o sistema, seja bloqueando a tela ou bloqueando arquivos do usuário, a menos que seja pago um resgate para isso. Modernas categorias de ransomware, coletivamente organizados como "cripto-ransomware" encriptam determinados tipos de arquivos nos sistemas infectados e forçam o usuário a pagar o resgate por meio de certos meios de pagamento online, para conseguir uma espécie de chave de descriptografação.
Tradução livre do site Ransomware - Definition - Trend Micro USA.

Bem, e foi exatamente um "vírus" assim que atacou o pendrive de um conhecido. Então, me dispus a tentar recuperar os arquivos. Eis algumas dicas para solução.

Vim compartilhar com vocês uma solução, ainda que parcial, a um problema de segurança. Trata-se da recuperação de alguns arquivos de um pendrive infectado pelo Ransomware (vírus) Spora no ambiente Windows, como indicado acima.

Alerto que a dica se aplica especificamente ao Spora, pois não testei em arquivos infectados por outras espécies. Descobri que se tratava do Spora porque fiz o upload de um dos arquivos infectados em um desse sites de "identificação" de Ransomwares (mas não tenho certeza absoluta de que é realmente o Spora). Prossigo.

A ameaça aparentemente não causa danos ao Linux e, como não uso Windows em meu computador pessoal há alguns anos, tentei resolver o problema todo usando o pinguim.

Não cheguei a ver o comportamento do vírus (vamos chamá-lo assim, para facilitar o texto, sei que não é a expressão mais adequada) no Windows, apenas no Linux Mint 19 e versões seguintes. Pois bem, ao espetar o pendrive em meu PC, já de cara deletei várias pastas ocultas (precedidas de um "." no nome) criadas pelo Spora.

No Linux, os arquivos estavam ilegíveis. Qualquer um que eu abrisse acusava erro de leitura (PDFs, fotos, vídeos) e os documentos gerados pelo MS Word abriram, com o número correto de páginas, mas com caracteres estranhos no lugar do texto normal.

Fiquei preocupada, uma vez que eu esperava poder abrir normalmente os arquivos no Linux. Obviamente, os arquivos foram criptografados e a chave de acesso só poderia ser recuperada pagando o resgate ou por outro meio que desconheço (sobretudo porque eu havia apagado os arquivos "de operação" do Spora).

Após alguns meses tentando de várias formas e mesmo depois de revirar os fóruns internet a fora, tive a ideia de usar alguns dos programas de recuperação de arquivos disponíveis para Linux Mint/Ubuntu. A solução veio do PhotoRec, aplicativo encontrado no pacote do TestDisk.

Espetei o pendrive, rodei o PhotoRec pelo terminal e segui os procedimentos necessários, como se eu quisesse recuperar arquivos corrompidos/excluídos da partição FAT32. O colega edps já explicou brilhantemente o passo-a-passo do PhotoRec neste artigo.

Link para a Wiki do PhotoRec:
Após alguns minutos (pois o pendrive tem cerca de 9 GB de arquivos), o processo estava pronto. O programa gera várias pastas com os arquivos, mas os renomeia completamente (então, não espere encontrar os arquivos pelo nome original). Contudo, desses 9 GB, apenas cerca de 1/3, ou seja, 3 GB, foram efetivamente recuperados. Para minha tristeza, o restante continua ilegível pelo sistema, sobretudo os arquivos de texto ".doc" do MS Word, o que se deve, penso, pelo fato de que não possuem a estrutura XML do formato mais recente ".docx", os quais foram recuperados em sua maioria.

Esse é o resultado final:
Linux: Recuperação (parcial) de arquivos em pendrive infectado por Ransomware (Spora)
Uma dica extra para os arquivos ".zip" ilegíveis pelo Archive Manager para GNOME, é descompatá-los com o comando unzip e tentar ver se ao menos parte dos arquivos estão intactos.

Consultei as respostas desse post: Unable to unzip a file with the ubuntu terminal - Ask Ubuntu.

Ainda, encontrei alguns arquivos ".rels", que compõem a estrutura ".docx", e para conseguir abri-los, apenas troquei a extensão de ".rels" para ".docx" (funcionou com a maioria). Retirei as ideias desse artigo e desse aqui.

Bem, como dito, não consegui recuperar todos os arquivos, mas o resultado parcial já me deixou bastante feliz, pois quase não tinha mais esperanças de sucesso!

Obrigada, VOL! :)

   

Páginas do artigo
   1. Introdução
Outros artigos deste autor
Nenhum artigo encontrado.
Leitura recomendada

Como escolher sua distribuição GNU/Linux

Convertendo novos usuários ao Linux

Guia de Instalação do Slackware

openSUSE Tumbleweed Snapshots - A Melhor Forma de Controle de Atualizações e Quebras do Sistema

OpenLDAP: Instalando um servidor de diretórios com replicação (SyncRepl)

  
Comentários
[1] Comentário enviado por valter.vieira em 18/02/2020 - 17:09h

Parabens, obrigado pela dicae o seu esforco.

Ja cadastrei nos meu favoritos.


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts