O serviço de resgate TellYouThePass é um Trojan escrito nas linguagens Java e .Net, mas em ataques mais recentes tem sido utilizada a linguagem Go.
A forma comum de invasão utilizada pelo grupo é através de anexos de correio electrónico, geralmente como ficheiros Microsoft Word.
Após o ficheiro ser descarregado, o ransomware é instalado e os preparativos para a encriptação são iniciados. Todos os programas que poderiam impedir a encriptação são desactivados e, depois disso, a encriptação é iniciada.
Depois de tornar os ficheiros inacessíveis por encriptação, a extensão ‘.locked’ é adicionada aos ficheiros. TellYouThePass destina-se a ficheiros grandes tais como: suportes, imagens, bases de dados, PDFs, documentos Word, e outros.
Após a conclusão da encriptação, um ficheiro HTML chamado ‘README.html’ é criado e aberto num navegador web.
Dentro do ficheiro é deixada uma nota de resgate, na qual os criminosos explicam que os ficheiros da vítima foram encriptados no RSA-1024 e AES-256, e que a forma de obter os ficheiros de volta é pagando o resgate.
O que não é verdade, porque, há empresas como a Digital Recovery que são capazes de recuperar ficheiros encriptados por ransomware, mesmo sem a chave de desencriptação.
Nessa nota de resgate, o endereço electrónico do grupo é deixado para a vítima contactar o grupo, esta é outra táctica utilizada pelos criminosos para pressionar a vítima a pagar o resgate.
É importante salientar que não há garantias de que a chave de desencriptação seja libertada após o pagamento do resgate, a vítima precisa de confiar apenas na palavra do criminoso. Todas as autoridades governamentais desencorajam completamente o pagamento do resgate.
Recuperar Ficheiros Encriptados por TellYouThePass Ransomware
A Digital Recovery é especializada na recuperação de dados encriptados por ransomware de qualquer comprimento e em qualquer dispositivo de armazenamento, sejam discos rígidos, SSDs, bases de dados, máquinas virtuais, armazéns, sistemas RAID e outros.
Todos os nossos processos são exclusivos e foram desenvolvidos pelos nossos especialistas. Todos eles estão de acordo com o Regulamento Geral de Protecção de Dados (GDPR).
Dispomos de tecnologia para recuperar à distância dados de qualquer parte do mundo, num ambiente totalmente controlado e seguro.
Todas as informações sobre os projectos são confidenciais, fornecemos o acordo de confidencialidade (NDA) para assegurar isto.
Em casos de alta urgência, criamos a recuperação em modo de emergência, em que os nossos laboratórios trabalham 24×7 para que a recuperação seja feita da forma mais rápida possível.
Contacte os nossos peritos e inicie já o processo de recuperação.
