FacebookTwitterLinkedIn

vírus ransomware Mac LockBit (.lockbit) – opções de remoção e desencriptação

Também Conhecido Como: vírus LockBit
Nível de Estragos: Grave

O que é o ransomware LockBit?

LockBit é o nome de um ransomware que visa sistemas operativos Mac (SOs). Está associado ao bando de ransomware LockBit - os criadores de LockBit, LockBit 2.0, LockBit 3.0, e várias outras variantes. O referido malware visa o Windows, Linux, e os servidores VMware ESXi.

Na altura da redacção, o LockBit (Mac) é o primeiro ransomware conhecido para MacOS desenvolvido por um grande bando de criminosos cibernéticos. No entanto, a amostra que pesquisámos ainda está em desenvolvimento e foi lançada para testes.

Normalmente, o ransomware funciona ao encriptar os ficheiros das vítimas a fim de exigir o pagamento da desencriptação. Esta versão da LockBit é altamente improvável de realizar o seu objectivo. Em primeiro lugar, a sua assinatura inválida é detectada como não confiável pelos sistemas operativos, e o software de resgate tende a colidir com a execução manual. Embora, deve ser mencionado que as potenciais variantes futuras podem ser capazes de encriptar com sucesso dispositivos Mac.

Ficheiros encriptados pelo ransomware LockBit

Visão geral do ransomware LockBit

A variante pesquisada da LockBit tem como alvo os dispositivos que funcionam com Apple Silicon, mas também pode ser lançada em versões mais antigas. De acordo com a análise realizada por Objective-See, a LockBit's utiliza o código da versão Linux compilada para Mac. Contém também artefactos das variantes do Windows do ransomware, que são totalmente irrelevantes para os sistemas operativos Mac.

Com base neste programa malicioso sendo o primeiro Mac de um grande bando de ransomware e o seu design defeituoso - é evidente que esta versão LockBit foi lançada para efeitos de teste.

Mesmo a nota de resgate ("!!!-Restore-My-Files-!!!.txt") criado por uma execução bem sucedida deste malware - contém texto genérico que seria apropriado para o ransomware de empresas alvo e capaz de exfiltrar dados (para fins de dupla extorsão), o que esta variante é incapaz de fazer.

Este ransomware representa actualmente pouca ou nenhuma ameaça para os utilizadores de Mac. Os sistemas operativos Mac detectam a assinatura inválida do malware e exibem avisos ou são simplesmente incapazes de abrir o ficheiro infeccioso.

Poderia ser possível aos utilizadores executar manualmente o ficheiro e assim desencadear o processo de encriptação da LockBit, o que resultaria na encriptação de dados e anexar os nomes dos ficheiros afectados com uma exensão ".lockbit" (por exemplo, "1.jpg" deveria aparecer como "1.jpg.lockbit", "3.png" como "3.png.lockbit", etc.). No entanto, durante a nossa análise e nos esforços de pesquisa empreendidos por outros analistas, o ransomware normalmente falhou devido ao seu código defeituoso.

Portanto, embora pudesse encriptar dados com sucesso - é pouco provável que seja esse o caso na sua actual iteração. Embora as graves falhas desta variante possam ser corrigidas em futuras versões, o que significa que as versões posteriores poderiam ser capazes de encriptar os dispositivos das vítimas.

Um ransomware bem concebido é altamente perigoso. Os ficheiros encriptados por tal malware não podem ser desencriptados sem a interferência dos invasores. No entanto, o cumprimento dos pedidos de resgate é fortemente desaconselhável, uma vez que a recuperação de dados não é garantida (os criminosos cibernéticos muitas vezes não enviam as chaves/software de desencriptação), e o pagamento também apoia esta actividade ilegal.

O conselho geral para garantir a segurança dos dados é manter as cópias de segurança em múltiplos locais diferentes (por exemplo, servidores remotos, dispositivos de armazenamento desconectados, etc.).

Resumo da Ameaça:
Nome vírus LockBit
Tipo de Ameaça Malware Mac, vírus Mac, Ransomware, Vírus Cripto, Bloqueador de ficheiros
Extensão de Ficheiros Encriptados .lockbit
Mensagem Exigente de Resgate !!!-Restore-My-Files-!!!.txt
Desencriptador Gratuito Disponível? Não (verifique projecto do site No More Ransom)
Contato do Criminoso Cibernético Sites da rede Tor
Nomes de Detecção Avast (Multi:Filecoder-X [Ransom]), Ikarus (Win32.Outbreak), Kaspersky (HEUR:Trojan-Ransom.OSX.Agent.gen), TrendMicro ( Ransom.MacOS.LOCKBIT.YXDDPZ), ZoneAlarm by Check Point (HEUR:Trojan-Ransom.OSX.Agent.gen), Lista de Detecções Completa (VirusTotal)
Sintomas Não é possível abrir ficheiros armazenados no seu computador, ficheiros anteriormente funcionais têm agora uma extensão diferente (por exemplo, my.docx.locked). Uma mensagem de pedido de resgate é exibida em sua área de trabalho. Os criminosos cibernéticos exigem o pagamento de um resgate (geralmente em bitcoins) para desbloquear os seus ficheiros.
Métodos de Distribuição Anexos de email infectados, sites de torrent, anúncios maliciosos.
Nome Todos os ficheiros foram encriptados e não podem ser abertos sem pagamento de resgate. Os trojans adicionais que roubam palavras-passe e infecções por malware podem ser instalados juntamente com uma infecção por ransomware.
Remoção do Malware (Windows)

Para eliminar possíveis infecções por malware, verifique o seu computador com software antivírus legítimo. Os nossos investigadores de segurança recomendam a utilização do Combo Cleaner.
▼ Descarregar Combo Cleaner
O verificador gratuito verifica se o seu computador está infectado. Para usar a versão completa do produto, precisa de comprar uma licença para Combo Cleaner. 7 dias limitados para teste grátis disponível. O Combo Cleaner pertence e é operado por Rcs Lt, a empresa-mãe de PCRisk. Leia mais.

Exemplos de malware para Mac

Analisámos inúmeros programas maliciosos que visam os SOs Mac; MacStealerGIMMICKDazzleSpySysJoker – são apenas alguns exemplos, e EvilQuest é um ransomware específico para Mac.

O malware pode ter uma grande variedade de objectivos, que vão desde a encriptação de ficheiros ao roubo de dados. Embora o ransomware funcione praticamente ao mesmo tempo (ou seja, codifica dados e exige pagamento), estes programas têm duas diferenças significativas entre si. Podem utilizar algoritmos encriptados diferentes (simétricos ou assimétricos) e exigir resgates de vários tamanhos.

Contudo, independentemente de como o software malicioso funciona - a sua presença num sistema põe em perigo a integridade do dispositivo e a segurança do utilizador. Por conseguinte, todas as ameaças devem ser eliminadas imediatamente após a sua detecção.

Como é que o ransomware infectou o meu computador?

O malware é principalmente distribuído utilizando tácticas de phishing e engenharia social. É geralmente disfarçado ou agregado a programas/meios de comunicação regulares. Os ficheiros virulentos podem estar em vários formatos e infectar dispositivos ao serem abertos.

Os métodos de proliferação mais utilizados incluem: descarregamentos drive-by (furtivos/deceptivos), anexos maliciosos ou ligações em emails/mensagens de spam, fraudes online, fontes de descarregamento duvidosas (por exemplo, sites gratuitos e alojamentos de ficheiros gratuitos, redes de partilha entre pares, etc.), software pirateado e ferramentas de activação de programas ilegais ("cracking"), e actualizações falsas.

Como proteger-se de infecções por ransomware?

Recomendamos veementemente que tenha cuidado enquanto navega, uma vez que o conteúdo online fraudulento e malicioso parece geralmente legítimo e inofensivo. A mesma vigilância deve ser estendida aos emails recebidos e a outras mensagens. Os anexos ou links encontrados em correio suspeito/irrelevante não devem ser abertos, uma vez que podem ser infecciosos.

Além disso, todos os descarregamentos devem ser efectuados a partir dos canais oficiais e verificados. É tão importante activar e actualizar software utilizando funções/ferramentas genuínas, como as adquiridas de fontes de terceiros podem conter malware.

Devemos salientar que ter um anti-vírus respeitável instalado e mantido actualizado é essencial para a segurança do dispositivo/utilizador. Os programas de segurança devem ser utilizados para executar verificações regulares do sistema e para remover as ameaças detectadas. Se o seu computador já estiver infectado com LockBit, recomendamos a execução de uma verificação com Combo Cleaner para eliminar automaticamente este ransomware.

Screenshot da nota de resgate do ransomware LockBit ("!!!-Restore-My-Files-!!!.txt"):

Nota de resgate do ransomware LockBit (!!!-Restore-My-Files-!!!.txt)

Texto apresentado nesta mensagem:

~~~ LockBit 3.0 the world's fastest and most stable ransomware from 2019~~~
>>>>> Your data is stolen and encrypted.
If you don't pay the ransom, the data will be published on our TOR darknet sites. Keep in mind that once your data appears on our leak site, it could be bought by your competitors at any second, so don't hesitate for a long time. The sooner you pay the ransom, the sooner your company will be safe.


Tor Browser Links:
-
Links for normal browser:
-
...
>>>> Very important! For those who have cyber insurance against ransomware attacks.
Insurance companies require you to keep your insurance information secret, this is to never pay the maximum amount specified in the contract or to pay nothing at all, disrupting negotiations. The insurance company will try to derail negotiations in any way they can so that they can later argue that you will be denied coverage because your insurance does not cover the ransom amount. For example your company is insured for 10 million dollars, while negotiating with your insurance agent about the ransom he will offer us the lowest possible amount, for example 100 thousand dollars, we will refuse the paltry amount and ask for example the amount of 15 million dollars, the insurance agent will never offer us the top threshold of your insurance of 10 million dollars. He will do anything to derail negotiations and refuse to pay us out completely and leave you alone with your problem. If you told us anonymously that your company was insured for $10 million and other important details regarding insurance coverage, we
>>>>> If you do not pay the ransom, we will attack your company again in the future.

Remoção automática instantânea do malware: A remoção manual de ameaças pode ser um processo moroso e complicado que requer conhecimentos informáticos avançados. O Combo Cleaner é uma ferramenta profissional de remoção automática do malware que é recomendada para se livrar do malware. Descarregue-a clicando no botão abaixo:
▼ DESCARREGAR Combo Cleaner O verificador gratuito faz uma verificação se o seu computador estiver infetado. Para usar a versão completa do produto, precisa de comprar uma licença para Combo Cleaner. 7 dias limitados para teste grátis disponível. O Combo Cleaner pertence e é operado por Rcs Lt, a empresa-mãe de PCRisk. Leia mais. Ao descarregar qualquer software listado no nosso website, concorda com a nossa Política de Privacidade e Termos de Uso.

Menu rápido:

Remoção das aplicações potencialmente indesejadas:

Remova as aplicações potencialmente indesejadas da pasta "Aplicações":

Remoção manual das aplicações Mac maliciosas

Clique no ícone Finder. Na janela do Finder, seleccione "Aplicações". Na pasta aplicações, procure por "MPlayerX", "NicePlayer", ou outras aplicações suspeitas e arraste-as para a Reciclagem. Após remover a(s) aplicação(s) potencialmente indesejada(s) que causam anúncios online, verifique o seu por Mac qualquer componente indesejado restante.

Remova os ficheiros e pastas relacionados a vírus lockbit:

Ir a Finder na pasta de comandos

Clique no ícone do Finder, no menu de barras. Escolha Ir, e clique em Ir para Pasta...

step1Verifique por ficheiros gerados por adware na pasta /Library/LaunchAgents:

remoção do adware da pasta launch agents passo 1

Na pasta Ir para...barra, tipo: /Library/LaunchAgents

remoção do adware da pasta launch agents passo 2Na pasta "LaunchAgents", procure por ficheiros adicionados recentemente suspeitos e mova-os para a Reciclagem. Exemplos de ficheiros gerados pelo adware - “installmac.AppRemoval.plist”, “myppes.download.plist”, “mykotlerino.ltvbit.plist”, “kuklorest.update.plist”, etc. Comumente o adware instala vários ficheiros no mesmo string.

step2Verifique para adware gerado por ficheiros na pasta /Library/Application Support:

remoção do adware da aplicação support folder passo 1

Na pasta Ir para...barra, tipo: /Library/Application Support

remoção do adware da aplicação support folder passo 2Na pasta "Application Support", procure qualquer pasta suspeita recém-adicionada. Por exemplo, "MPlayerX" ou tese "NicePlayer" e mova as pastas para a Reciclagem.

step3Verifique por ficheiros gerados por adware na pasta ~/Library/LaunchAgents:

remoção do adware da pasta ~launch agents passo 1


Na barra Ir para Pasta, escreva: ~/Library/LaunchAgents

remoção do adware da pasta ~launch agents passo 2

Na pasta "LaunchAgents", procure por ficheiros adicionados recentemente suspeitos e mova-os para a Reciclagem. Exemplos de ficheiros gerados pelo adware - “installmac.AppRemoval.plist”, “myppes.download.plist”, “mykotlerino.ltvbit.plist”, “kuklorest.update.plist”, etc. Comumente o adware instala vários ficheiros no mesmo string.

step4Verifique por ficheiros gerados por adware na pasta /Library/LaunchDaemons:

remoção do adware da pasta launch daemons passo 1Na pasta Ir para...barra, tipo: /Library/LaunchDaemons

remoção do adware da pasta launch daemons passo 2

Na pasta "LaunchDaemons", procure qualquer ficheiro suspeito recém-adicionado. Por exemplo “com.aoudad.net-preferences.plist”, “com.myppes.net-preferences.plist”, "com.kuklorest.net-preferences.plist”, “com.avickUpd.plist”, etc., e mova-os para a Reciclagem.

step 5 Verifique o seu Mac com o Combo Cleaner:

Se seguiu todas as etapas na ordem correta, o Mac deve estar livre de infecções. Para ter certeza de que seu sistema não está infectado, execute uma verificação com o Combo Cleaner Antivirus. Descarregue-o AQUI. Depois de descarregar o ficheiro, clique duas vezes no instalador combocleaner.dmg, na janela aberta, arraste e solte o ícone Combo Cleaner no topo do ícone Applications. Agora abra a sua barra de lançamento e clique no ícone Combo Cleaner. Aguarde até que o Combo Cleaner atualize seu banco de dados de definições de vírus e clique no botão "Start Combo Scan".

scan-with-combo-cleaner-1

O Combo Cleaner irá analisar o seu Mac em pesquisa de infecções por malware. Se a verificação antivírus exibir "nenhuma ameaça encontrada", isso significa que pode continuar com o guia de remoção, caso contrário, é recomendável remover todas as infecções encontradas antes de continuar.

scan-with-combo-cleaner-2

Depois de remover os ficheiros e pastas gerados pelo adware, continue a remover extensões fraudulentas dos seus navegadores de Internet.

Remoção do vírus lockbit dos navegadores de Internet:

safari browser iconRemova extensões fraudulentas do Safari:

Remova vírus lockbit as extensões relacionada ao Safari:

preferências do navegador Safari

Abra o navegador Safari, a partir do menu de barra, selecione "Safari" e clique em "Preferências ...".

janela de extensões Safari

Na janela de preferências, selecione "Extensões" e procure por qualquer extensão suspeita recém-instalada. Quando localizada clique no botão "Desinstalar" ao lado dela/delas. Note que pode desinstalar seguramente todas as extensões do seu navegador Safari - não são cruciais para o funcionamento normal do navegador.

  • Se continuar a ter problemas com redirecionamentos de navegador e anúncios indesejados - Restaure o Safari.

firefox browser iconRemova os plugins fraudulentos do Mozilla Firefox:

Remova vírus lockbit add-ons relacionados ao Mozilla Firefox:

Acedendo aos add-ons de Mozilla Firefox

Abra o navegador Mozilla Firefox. No canto superior direito do ecrã, clique no botão "Abrir Menu" (três linhas horizontais). No menu aberto, escolha "Add-ons".

Remova os add-ons fraudulentos do Mozilla Firefox

Escolha o separador "Extensões" e procure os complementos suspeitos recém-instalados. Quando localizado clique no botão "Desinstalar" ao lado dele/deles. Note que pode desinstalar seguramente todas as extensões do seu navegador Mozilla Firefox - não são cruciais para o funcionamento normal do navegador.

Se continuar a ter problemas com redirecionamentos de navegador e anúncios indesejados - Restaure o Mozilla Firefox.

chrome-browser-iconRemova as extensões fraudulentas do Google Chrome:

Remova vírus lockbit add-ons relacionados ao Google Chrome:

removendo as extensões fraudulentas do Google Chrome passo 1

Abra o Google Chrome e clique no botão "menu Chrome" (três linhas horizontais), localizado no canto superior direito da janela do navegador. A partir do menu flutuante, escolha "Mais Ferramentas" e selecione "Extensões".

removendo as extensões fraudulentas do Google Chrome passo 2

Escolha a janela "Extensões" e procure os add-ons suspeitos recém-instalados. Quando localizado clique no botão "Reciclagem" ao lado dele/deles. Note que pode desinstalar seguramente todas as extensões do seu navegador Google Chrome - não são cruciais para o funcionamento normal do navegador.

Se continuar a ter problemas com redirecionamentos de navegador e anúncios indesejados - Restaure o Google Chrome.

Perguntas Frequentes (FAQ)

Como é que o meu computador foi invadido e como os piratas encriptaram os meus ficheiros?

As próprias vítimas executam frequentemente executáveis (abertos) de ransomware, uma vez que estes ficheiros podem ser disfarçados ou agregados a conteúdo comum. Programas do tipo "ransomware" são principalmente distribuídos através de descarregamentos drive-by, emails/mensagens de spam, fraudes online, canais de descarregamento não confiáveis (por exemplo, sites gratuitos e de terceiros, redes de partilha P2P, etc.), ferramentas de activação de software ilegal ("cracks"), e actualizações falsas.

Como abrir os ficheiros ".lockbit"?

Se os seus ficheiros tiverem sido encriptados com sucesso através de ransomware - então só poderão ser abertos/utilizados após terem sido desencriptados.

Onde devo procurar ferramentas de desencriptação gratuitas para o ransomware LockBit?

No caso de um ataque de ransomware, aconselhamos a verificar o site do projecto No More Ransom.

Posso pagar muito dinheiro, podem desencriptar os ficheiros para mim?

Não oferecemos tais serviços. De facto, para além dos casos que envolvem um ransomware profundamente imperfeito, a desencriptação é impossível sem a interferência dos criminosos cibernéticos. Assim, terceiros que ofereçam a desencriptação paga são frequentemente fraudes ou serviços de intermediário entre vítimas e criminosos.

O Combo Cleaner vai ajudar-me a remover o ransomware LockBit?

Sim, o Combo Cleaner analisará o seu dispositivo e eliminará as infecções detectadas pelo ransomware. Deve ser mencionado que embora a utilização de um programa anti-vírus seja o primeiro passo na recuperação do ransomware, o software de segurança é incapaz de desencriptar ficheiros.

▼ Mostrar comentários

Sobre o autor:

Tomas Meskauskas

Sou um apaixonado por segurança e tecnologia de computadores. Tenho experiência de mais de 10 anos a trabalhar em diversas empresas relacionadas à resolução de problemas técnicas e segurança na Internet. Tenho trabalhado como autor e editor para PCrisk desde 2010. Siga-me no Twitter e no LinkedIn para manter-se informado sobre as mais recentes ameaças à segurança on-line. Saiba mais sobre o autor.

O portal de segurança PCrisk é criado por forças unidas de pesquisadores de segurança para ajudar a educar os utilizadores de computador sobre as mais recentes ameaças de segurança online. Mais informações sobre os autores e pesquisadores que estão a trabalhar na PCrisk na nossa página de contato.

Os nossos guias de remoção de malware são gratuitos. Contudo, se quiser continuar a ajudar-nos, pode-nos enviar uma ajuda, sob a forma de doação.

Sobre nós

O PCrisk é um portal de cibersegurança, que informa os utilizadores da Internet sobre as últimas ameaças digitais. O nosso conteúdo é fornecido por especialistas em segurança e investigadores profissionais de malware. Leia mais sobre nós.

Instruções de remoção em outras línguas
Code QR
vírus LockBit Code QR
Digitalize o código QR para ter um guia de remoção de acesso fácil de vírus LockBit no seu dispositivo móvel.
Nós recomendamos:

Livre-se hoje das infecções por malware Windows:

▼ REMOVER AGORA
Descarregar Combo Cleaner

Plataforma: Windows

Classificação do editor para Combo Cleaner:
ClassificaçãoExcelente!

[Início da Página]

O verificador gratuito faz uma verificação se o seu computador estiver infetado. Para usar a versão completa do produto, precisa de comprar uma licença para Combo Cleaner. 7 dias limitados para teste grátis disponível. O Combo Cleaner pertence e é operado por Rcs Lt, a empresa-mãe de PCRisk. Leia mais.