Ameaça TellYouThePass

*Fonte da reclamação SH pode removê-la.

Criamos as informações abaixo para orientá-lo na remoção do TellYouThePass Ransomware e instruí-lo sobre como evitar infecções repetidas. Removê-lo é apenas metade da batalha. A outra parte é eliminar a vulnerabilidade CVE-2024-4577 e garantir que não haja nada no PC infectado que possa restaurar o TellYouThePass Ransomware.

Que tipo de ameaça é o TellYouThePass Ransomware?

TellYouThePass é um ransomware de “nível de commodity” que surgiu pela primeira vez em 2019. Isso foi afirmado várias vezes em meios de comunicação, mas é muito pouco consolo para as vítimas reais do malware. Em termos simples: o ransomware TellYouThePass não é muito sofisticado, mas quando termina de criptografar seus arquivos, não há diferença entre ele e outros ransomware. Você tem poucas chances de recuperar seus arquivos se não tiver backups.

Recentemente (junho de 2024) TellYouThePass Ransomware ganhou atenção renovada por explorar vulnerabilidades descobertas recentemente, como o Log4j do Apache. Mas, ao contrário de outros grupos cibercriminosos, o TellYouThePass não mantém um blog público ou repositório de dados de vítimas, o que acrescenta uma camada de imprevisibilidade às suas operações. Destina-se tanto a empresas como a particulares, com um âmbito inescrupulosamente amplo em termos de potenciais vítimas.

Download ferramenta de remoçãoremover TellYouThePass

No passado, observamos TellYouThePass Rnsomware explorando CVE-2021-44228, mas muito mais recentemente ele teve como alvo a vulnerabilidade CVE-2024-4577 recém-descoberta. A gangue de ransomware está atualmente explorando fortemente a execução remota de código explorável recentemente corrigida em PHP. Isso permite que os invasores forneçam webshells e executem suas cargas de criptografia nos sistemas de destino.

Os ataques pelos quais você provavelmente está aqui começaram em 8 de junho, apenas 48 horas depois que os mantenedores do PHP lançaram atualizações de segurança. Os invasores usaram código de exploração disponível publicamente (no Github). Isso envolvia a execução de código PHP arbitrário usando o binário mshta.exe do Windows para executar um aplicativo HTML malicioso. O grupo mostra uma clara preferência pela exploração de vulnerabilidades conhecidas em linguagens de desenvolvimento web de código aberto. Infelizmente, isso significa que o TellYouThePass Ransomware não está limitado ao Windows, mas também pode infectar usuários do Linux.

Como TellYouThePass explora CVE-2024-4577

Esta informação é mais adequada para indivíduos com experiência em tecnologia:

Várias versões do PHP anteriores à 8.3.8 apresentam uma vulnerabilidade significativa quando usadas com Apache e PHP-CGI. Se certas páginas de código forem definidas, o Windows poderá usar um comportamento “Best-Fit”, substituindo caracteres na linha de comando fornecida às funções da API Win32. Tal comportamento faz com que o CGI confunda esses caracteres com opções do PHP, o que por sua vez permite que um criminoso passe opções para o binário do PHP. Estamos colocando isso aqui como uma explicação simples caso você queira o contexto do que está acontecendo.

Se perdemos você aqui, recomendamos entrar em contato com um administrador de sistema ou apenas usar o SpyHunter conforme recomendado em nossos anúncios.

Download ferramenta de remoçãoremover TellYouThePass

TellYouThePass usa o binário mshta.exe do Windows para executar um arquivo HTA, que é um contêiner para um VBScript com uma string codificada em base64. A string é decodificada em um binário, carrega uma variante .NET do ransomware na memória do host e, nesse ponto, você já está infectado pelo TellYouThePass Ransomware. O malware envia uma solicitação HTTP para um servidor de comando e controle (C2) na forma de uma solicitação falsa de recurso CSS. A partir de então, ele funciona como um ransomware padrão – criptografa os arquivos da máquina infectada.

Depois de terminar a criptografia, TellYouThePass Ransomware coloca uma nota de resgate intitulada “READ_ME10.html” com instruções sobre como restaurar os arquivos. Infelizmente, a maioria das vítimas só percebe a infecção nesse ponto, o que é tarde demais para fazer algo a respeito. O atual pedido de resgate está definido em 0,1 BTC (cerca de US$ 6.700). Vários sites online estão atualmente infectados e podem atuar como vetores se isso persistir.

Como evitar infecções repetidas por TellYouThePass Ransomware

Existem maneiras de mitigar a exploração da falha do PHP e evitar novos ataques do TellYouThePass Ransomware (ou outro malware que siga o exemplo). Primeiro, você pode corrigir os sistemas afetados – o que parece óbvio. Mas é um passo essencial. Muitos sites não são atualizados regularmente com medo de quebrar funcionalidades no back-end ou no front-end, mas isso garantirá que o vírus não retorne.

Segundo, não execute o PHP com o modo CGI ativado. Como você pode ver no Log4j, é um desafio atualizar todos os sistemas afetados por uma falha em uma linguagem de script da web. Você pode migrar para arquiteturas mais seguras como Mod-PHP, FastCGI ou PHP-FPM. Em geral, o PHP CGI está desatualizado e problemático.

Você também pode seguir outras práticas recomendadas, mas essas são mais gerais e não estão diretamente relacionadas ao TellYouThePass Ransomware. Faça um balanço regular de todos os ativos e aplicativos em seu ambiente de trabalho. Você pode corrigir quaisquer vulnerabilidades que os afetem. Use a tecnologia de firewall da Web para impedir ataques e, já que você está aqui, recomendamos comprar um programa antimalware como primeira linha de defesa.

O que você pode fazer para mitigar os danos causados pelo TellYouThePass Ransomware?

É muito importante agir imediatamente e desligar o dispositivo infectado se você pegar o TellYouThePass Ransomware logo no início. Isole o sistema infectado imediatamente de outros dispositivos na rede ou o ransomware poderá se espalhar por eles. Isso ajuda a conter a infecção e impede a criptografia adicional de arquivos.

Em seguida, identifique o tipo de ransomware com o qual você está lidando. Sabendo que é TellYouThePass, isso significa que os arquivos serão anexados com uma extensão .LOCKED. Você pode encontrar ferramentas ou recursos de descriptografia específicos aqui, mas eles provavelmente não irão ajudá-lo. Infelizmente, não existe um método garantido para descriptografar arquivos sem pagar o resgate, mas entrar em contato com empresas de segurança cibernética pode fornecer opções.

A restauração de backup é sua melhor aposta para restaurar os arquivos, mas isso só é viável se você tiver backups. Se você os tiver, certifique-se de que estejam armazenados offline ou o TellYouThePass Ransomwaare pode se espalhar para eles. Certifique-se de limpar seus sistemas completamente antes de restaurá-los para um estado pré-ataque para evitar reinfecção.

Aprenda a remover TellYouThePass do seu computador

Passo 1. Exclua TellYouThePass via anti-malware

a) Windows 7 / Vista / XP

  1. Iniciar → Desligar → Reiniciar.win7-restart Ameaça TellYouThePass
  2. Quando o PC começar a carregar, continue pressionando F8 até que as Opções de inicialização avançadas apareçam.
  3. Selecione Modo de segurança com rede.win7-safe-mode Ameaça TellYouThePass
  4. Quando o computador carregar, baixe o antimalware usando o navegador.
  5. Use o anti-malware para se livrar do ransomware.

b) Windows 8/10

  1. Abra o menu Iniciar e pressione o logotipo Power.
  2. Segure a tecla Shift e pressione Reiniciar.win10-restart Ameaça TellYouThePass
  3. Em seguida, Solucionar problemas → Opções avançadas → Iniciar configurações.win-10-startup Ameaça TellYouThePass
  4. Vá para baixo para ativar o modo de segurança (ou modo de segurança com rede).win10-safe-mode Ameaça TellYouThePass
  5. Pressione Reiniciar.
  6. Quando o computador carregar, baixe o antimalware usando o navegador.
  7. Use o anti-malware para se livrar do ransomware.

Passo 2. Exclua TellYouThePass usando a Restauração do Sistema

a) Windows 7 / Vista / XP

  1. Iniciar → Desligar → Reiniciar.win7-restart Ameaça TellYouThePass
  2. Quando o PC começar a carregar, continue pressionando F8 até que as Opções de inicialização avançadas apareçam.
  3. Selecione Modo de segurança com prompt de comando.win7-safe-mode Ameaça TellYouThePass
  4. Na janela que aparece, digite cd restore e pressione Enter.
  5. Digite rstrui.exe e pressione Enter.win7-command-prompt Ameaça TellYouThePass
  6. Na janela que aparece, selecione um ponto de restauração e pressione Avançar. Certifique-se de que o ponto de restauração seja anterior à infecção.win7-restore Ameaça TellYouThePass
  7. Na janela de confirmação que aparece, pressione Sim.

b) Windows 8/10

  1. Abra o menu Iniciar e pressione o logotipo Power.
  2. Segure a tecla Shift e pressione Reiniciar.win10-restart Ameaça TellYouThePass
  3. Em seguida, Solucionar problemas → Opções avançadas → Prompt de comando.win-10-startup Ameaça TellYouThePass
  4. Clique em Reiniciar.
  5. Na janela que aparece, digite cd restore e pressione Enter.
  6. Digite rstrui.exe e pressione Enter.win10-command-prompt Ameaça TellYouThePass
  7. Na janela que aparece, pressione Avançar, escolha um ponto de restauração (antes da infecção) e pressione Avançar.win10-restore Ameaça TellYouThePass
  8. Na janela de confirmação que aparece, pressione Sim.

Passo 3. Recupere seus dados

a) Método 1. Usando Data Recovery Pro para recuperar arquivos

  1. Obtenha Data Recovery Pro no site oficial.
  2. Instale e abra-o.
  3. Use o programa para verificar se há arquivos criptografados.data-recovery-pro Ameaça TellYouThePass
  4. Seus arquivos são recuperáveis, o programa permitirá que você faça isso.data-recovery-pro-scan Ameaça TellYouThePass

b) Método 2. Usando versões anteriores do Windows para recuperar arquivos

Para que esse método funcione, a Restauração do sistema deve ter sido ativada antes das infecções.
  1. Clique com o botão direito no arquivo que deseja recuperar.
  2. Selecione Propriedades.win-previous-version Ameaça TellYouThePass
  3. Vá para a guia Versões anteriores, selecione a versão do arquivo desejada e clique em Restaurar.

c) Método 3. Usando Shadow Explorer para recuperar arquivos

Seu sistema operacional cria automaticamente cópias de sombra de seus arquivos para que você possa recuperá-los se o sistema travar. É possível recuperar arquivos dessa maneira após um ataque de ransomware, mas algumas ameaças conseguem excluir as cópias de sombra. Se você tiver sorte, poderá recuperar arquivos através do Shadow Explorer.
  1. Você precisa baixar o programa Shadow Explorer, que pode ser obtido no site oficial, shadowexplorer.com.
  2. Instale e abra-o.
  3. Selecione o disco onde os arquivos estão localizados, escolha a data e, quando as pastas com os arquivos aparecerem, pressione Exportar.shadowexplorer Ameaça TellYouThePass

Deixar uma resposta

O seu endereço de email não será publicado.