vírus ransomware DOOK (.DOOK) – opções de remoção e desencriptação
Escrito por Tomas Meskauskas a (atualizado)
Que tipo de malware é o DOOK?
Enquanto analisávamos os novos envios de malware para a plataforma VirusTotal, descobrimos o programa do tipo ransomware DOOK. Faz parte da família do ransomware Dharma.
No nosso sistema de teste, o DOOK encriptou ficheiros e anexou aos seus nomes uma identificação única atribuída à vítima, os emails dos criminosos cibernéticos e uma extensão ".DOOK". Por exemplo, um ficheiro originalmente denominado "1.jpg" apareceu como "1.jpg.id-9ECFA84E.[Alexdec23@aol.com].DOOK".
Após a conclusão do processo de encriptação, as notas de resgate foram criadas/exibidas numa janela pop-up e num ficheiro de texto - "README!.txt". Com base nas mensagens nele contidas, é claro que o DOOK tem como alvo as empresas e não os utilizadores domésticos. Além disso, este ransomware usa tácticas de dupla extorsão.
Screenshot de ficheiros encriptados pelo ransomware DOOK:
Visão geral da nota de resgate
O DOOK informa a vítima de que os seus dados foram roubados e encriptados. Esta nota pede para contactar os invasores. O texto apresentado na janela pop-up fornece mais informações sobre o ataque de ransomware. A mensagem explica que os criminosos cibernéticos encriptaram e exfiltraram as bases de dados e os ficheiros pessoais da vítima
A vítima tem 24 horas para contactar os invasores, ou então o conteúdo roubado será divulgado na dark web e em fóruns de piratas. A nota sublinha que o pagamento de um resgate o mais rapidamente possível é crucial para evitar fugas de dados e recuperar os ficheiros bloqueados.
Como prova de que o restauro dos dados é viável, a mensagem oferece um teste de desencriptação gratuito. A vítima é avisada contra a utilização de software de terceiros, uma vez que isso pode resultar em perda permanente de dados. A vítima é também alertada para o facto de que procurar ajuda junto de terceiros poderá levar a um aumento das perdas financeiras.
Visão geral do ransomware DOOK
Com base na nossa vasta experiência na investigação de infecções por ransomware, podemos inferir que a desencriptação é normalmente impossível sem a interferência dos criminosos cibernéticos. As raras excepções são os casos que envolvem ransomware com falhas graves.
Além disso, apesar de satisfazerem os pedidos de resgate, as vítimas muitas vezes não recebem as chaves/software de desencriptação prometidas. Por isso, desaconselhamos vivamente, uma vez que a recuperação de dados não é garantida e o pagamento também apoia esta actividade ilegal.
Para evitar que o ransomware DOOK faça mais encriptações - deve ser eliminado do sistema operativo. Infelizmente, a remoção não irá restaurar ficheiros já afectados. A única solução é recuperá-los a partir de uma cópia de segurança (se uma foi criada anteriormente e está armazenada noutro local).
O conselho geral para garantir a segurança dos dados é manter as cópias de segurança em vários locais separados, como servidores remotos, dispositivos de armazenamento desligados e outros.
Exemplos de ransomware
Analisámos inúmeros programas do tipo ransomware; NIGHT CROW, Deep (Phobos), LostTrust e Apocalipse são apenas alguns exemplos.
O funcionamento do ransomware é praticamente o mesmo - ou seja, encripta dados e exige resgates para a desencriptação. No entanto, estes programas têm duas grandes diferenças entre si - os algoritmos encriptados que utilizam (simétricos ou assimétricos) e o tamanho do resgate.
Como é que o ransomware infectou o meu computador?
O ransomware e outro malware propagam-se principalmente através da utilização de técnicas de phishing e de engenharia social. Os programas maliciosos são normalmente disfarçados ou agregados com software/média normal.
Os ficheiros infecciosos podem ser documentos (Microsoft Office, Microsoft OneNote, PDF, etc.), arquivos (ZIP, RAR, etc.), executáveis (.exe, .run, etc.), JavaScript, etc.
Os métodos de distribuição mais utilizados incluem: descarregamentos "drive-by" (furtivos/fraudulentos), anexos ou hiperligações maliciosos em emails spam (por exemplo, e-mails, PMs/DMs, SMSs, etc.), fontes de descarregamento não confiáveis (por exemplo, freeware e sites de terceiros, redes de partilha Peer-to-Peer, etc.), fraudes online, malvertising, ferramentas ilegais de ativação de software ("cracks") e actualizações falsas.
Além disso, alguns programas maliciosos podem auto-propagar-se através de redes locais e dispositivos de armazenamento amovíveis (por exemplo, discos rígidos externos, unidades flash USB, etc.).
Nome | vírus DOOK |
Tipo de ameaça | Ransomware, vírus de encriptação, bloqueador de ficheiros |
Extensão dos ficheiros encriptados | .DOOK (os ficheiros são também anexados com um ID único e o email dos criminosos cibernéticos) |
Mensagem de pedido de resgate | Texto apresentado na janela pop-up e README!.txt |
Desencriptador grátis disponível? | Não |
Contacto do Criminoso Cibernético | Alexdec23@aol.com, Alexdec23@cock.li |
Nomes de Detecção | Avast (Win32:RansomX-gen [Ransom]), Combo Cleaner (Trojan.Ransom.Crysis.E), ESET-NOD32 (Uma Variante De Win32/Filecoder.Crysis.P), Kaspersky (Trojan-Ransom.Win32.Crusis.to), Microsoft (Ransom:Win32/Wadhrama!hoa), Lista Completa de Detecções (VirusTotal) |
Sintomas | Não é possível abrir ficheiros armazenados no seu computador, os ficheiros anteriormente funcionais têm agora uma extensão diferente (por exemplo, my.docx.locked). É apresentada uma mensagem de pedido de resgate no ambiente de trabalho. Os criminosos cibernéticos exigem o pagamento de um resgate (normalmente em bitcoins) para desbloquear os seus ficheiros. |
Métodos de distribuição | Anexos de email infectados (macros), sites de torrents, anúncios maliciosos. |
Danos | Todos os ficheiros são encriptados e não podem ser abertos sem o pagamento de um resgate. Outros trojans que roubam palavras-passe e infecções por malware podem ser instalados juntamente com uma infecção de ransomware. |
Remoção do Malware (Windows) | Para eliminar possíveis infecções por malware, verifique o seu computador com software antivírus legítimo. Os nossos investigadores de segurança recomendam a utilização do Combo Cleaner. |
{posição de carga posição24}
Como proteger-se de infecções por ransomware?
Recomendamos vivamente que a transferência seja efectuada apenas a partir de canais oficiais e verificados. Além disso, todos os programas devem ser activados e actualizados utilizando funções/ferramentas legítimas, uma vez que as ferramentas de activação ilegais ("cracking") e os actualizadores de terceiros podem conter malware.
Outra recomendação é ter cuidado ao navegar, uma vez que o conteúdo falso e malicioso online parece normalmente genuíno e inócuo. Aconselhamos que tenha cuidado com os emails e outras mensagens recebidas. Os anexos ou hiperligações encontrados em emails suspeitos não devem ser abertos, pois podem ser virulentos.
Devemos salientar a importância de ter um antivírus fidedigno instalado e mantido atualizado. O software de segurança deve ser usado para executar verificações regulares do sistema e para remover ameaças e problemas detectados. Se o seu computador já está infectado com DOOK, recomendamos executar uma verificação com Combo Cleaner para eliminar automaticamente este ransomware.
Screenshot da janela pop-up do ransomware DOOK:
Texto apresentado nesta mensagem:
We downloaded to our servers and encrypted all your databases and personal information!
If you do not write to us within 24 hours, we will start publishing and selling your data on the darknet on hacker sites and offer the information to your competitors
email us: Alexdec23@aol.com YOUR ID -
If you haven't heard back within 24 hours, write to this email:Alexdec23@cock.li
IMPORTANT INFORMATION!
Keep in mind that once your data appears on our leak site,it could be bought by your competitors at any second, so don't hesitate for a long time.The sooner you pay the ransom, the sooner your company will be safe..
Guarantee:If we don't provide you with a decryptor or delete your data after you pay,no one will pay us in the future. We value our reputation.
Guarantee key:To prove that the decryption key exists, we can test the file (not the database and backup) for free.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Don't go to recovery companies - they are essentially just middlemen.Decryption of your files with the help of third parties may cause increased price (they add their fee to our) we're the only ones who have the decryption keys.
Screenshot do ficheiro de texto do DOOK ("README!.txt"):
Texto apresentado neste ficheiro:
Your data has been stolen and encrypted!
email us
Alexdec23@aol.com or Alexdec23@cock.li
O vídeo demonstra como remover o ransomware DOOK utilizando o Combo Cleaner:
Remoção do ransomware DOOK:
Remoção automática instantânea do malware:
A remoção manual de ameaças pode ser um processo moroso e complicado que requer conhecimentos informáticos avançados. O Combo Cleaner é uma ferramenta profissional de remoção automática do malware que é recomendada para se livrar do malware. Descarregue-a clicando no botão abaixo:
▼ DESCARREGAR Combo Cleaner
O verificador gratuito faz uma verificação se o seu computador estiver infetado. Para usar a versão completa do produto, precisa de comprar uma licença para Combo Cleaner. 7 dias limitados para teste grátis disponível. O Combo Cleaner pertence e é operado por Rcs Lt, a empresa-mãe de PCRisk. Leia mais. Ao descarregar qualquer software listado no nosso website, concorda com a nossa Política de Privacidade e Termos de Uso.
{posição de carga posição31}
Perguntas frequentes (FAQ)
Como é que o meu computador foi invadido e como é que os piratas encriptaram os meus ficheiros?
Em muitos casos, são as próprias vítimas que abrem os executáveis do ransomware, uma vez que estes estão normalmente disfarçados ou incluídos em ficheiros de software/meios de comunicação normais. Este malware é predominantemente disseminado através de descarregamentos automáticos, fraudes online, emails spam, publicidade maliciosa, canais de descarregamento questionáveis (por exemplo, sites de alojamento de ficheiros gratuitos e de freeware, redes de partilha P2P, etc.), ferramentas ilegais de activação de programas ("cracking") e actualizações falsas.
Como abrir ficheiros ".DOOK"?
A utilização continuada de ficheiros requer a desencriptação. Por outras palavras, os ficheiros encriptados não podem ser abertos/utilizados a não ser que sejam desencriptados.
Onde devo procurar ferramentas de desencriptação gratuitas para o ransomware DOOK?
Se sofreu um ataque de ransomware, aconselhamos que consulte o site do projecto No More Ransom (mais informações acima).
Posso pagar-vos muito dinheiro, pode desencriptar-me os ficheiros?
Não oferecemos serviços de desencriptação. De facto, à exceção dos casos que envolvem ransomware com falhas profundas, a recuperação de ficheiros encriptados é impossível sem a interferência dos criminosos cibernéticos. Por conseguinte, os terceiros que oferecem desencriptação paga são frequentemente burlas ou serviços de intermediários entre as vítimas e os criminosos.
O Combo Cleaner vai ajudar-me a remover o ransomware DOOK?
Sim, o Combo Cleaner irá analisar o seu dispositivo e eliminar as infecções de ransomware activas. Tenha em atenção que, embora a utilização de software antivírus seja o primeiro passo na recuperação de ransomware, os programas de segurança são incapazes de desencriptar dados.
▼ Mostrar comentários