Vírus RGUY ✔️ (.rguy file ransomware) — DESCRIÇÃO + DELETE

Written by Brendan Smith

O vírus Rguy é uma família DJVU de infecções do tipo ransomware.1 O ransomware criptografa arquivos pessoais importantes (vídeo, fotos, documentos). Os arquivos infectados podem ser rastreados pela extensão “.rguy” específica. Neste guia, tentarei ajudá-lo a remover o ransomware Rguy gratuitamente. Como bônus, vou ajudá-lo a descriptografar e restaurar seus arquivos criptografados.

Vírus Rguy

☝️ Rguy pode ser identificado corretamente como uma infecção do tipo ransomware STOP/DJVU.
Rguy Ransomware

🤔 O Rguy ransomware é malware originado da família de ransomware Djvu/STOP. Seu objetivo principal é criptografar arquivos que são importantes para você. Depois disso, o vírus Rguy ransomware pede a suas vítimas uma taxa de resgate ($ 490 – $ 980) em BitCoin.

O ransomware Rguy é um tipo específico de vírus que criptografa seus documentos e o força a pagar para restaurá-los. A família Djvu/STOP ransomware foi revelada e descoberta pela primeira vez pelo analista de vírus Michael Gillespie2.

O vírus Rguy é basicamente semelhante a outro da mesma família: Eyrv, Vlff, Iios. Ele criptografou todos os tipos de arquivo populares. Portanto, os usuários não podem usar os próprios documentos ou fotos. Esta versão do ransomware adiciona a própria extensão “.rguy” a todos os arquivos criptografados. Por exemplo, o arquivo “video.avi” será alterado para “video.avi.rguy”. Assim que a criptografia é realizada com sucesso, o vírus cria um arquivo específico “_readme.txt” e o coloca em todas as pastas que contêm os arquivos modificados.

Análise do GridinSoft Anti-Malware
É melhor prevenir do que remediar e se arrepender!
Quando falamos sobre a intrusão de programas desconhecidos no funcionamento do seu computador, o provérbio "Prevenido está armado" descreve a situação da forma mais precisa possível. O Gridinsoft Anti-Malware é exatamente a ferramenta que é sempre útil ter em sua arsenal: rápido, eficiente, atualizado. É apropriado usá-lo como ajuda de emergência ao menor sinal de infecção.
Teste de 6 dias do Gridinsoft Anti-Malware disponível.
Contrato de Licença | Política de Privacidade | 10% Off Coupon
Inscreva-se no nosso canal do Telegram para ser o primeiro a saber sobre novidades e nossos materiais exclusivos sobre segurança da informação.
Família ransomware3DJVU/STOP4 ransomware
Extensão.rguy
Nota de ransomware_readme.txt
ResgateDe $490 a $980 (em Bitcoins)
Contatosupport@sysmail.ch, helprestoremanager@airmail.cc
Detecção5MSIL/Spy.Agent.DSV, TrojanSpy:Win32/Delgent, Trojan.Ransom.Magniber
Sintomas
  • Criptografou a maioria dos seus arquivos (fotos, vídeos, documentos) e adicionou uma extensão “.rguy específica;
  • Pode excluir cópias de Volume Shadow para tornar as tentativas da vítima de restaurar dados impossíveis;
  • Adiciona uma lista de domínios ao arquivo HOSTS para bloquear o acesso a certos sites relacionados à segurança;
  • Instala um cavalo de Tróia que rouba senhas no sistema, como Azorult Spyware;

Este texto solicitando pagamento é para recuperar os arquivos por meio da chave de descriptografia:

Rguy message

O alerta assustador exigindo que os usuários paguem o resgate para descriptografar os dados codificados contém esses avisos frustrantes

O algoritmo de criptografia usado pela família DJVU é AES-256. Então, se seus arquivos foram criptografados com uma chave de descriptografia específica, que é totalmente distinta e não há outras cópias. A triste realidade é que é impossível restaurar as informações sem a chave exclusiva disponível.

Caso o ransomware funcione no modo online, é impossível para você obter acesso à chave AES-256. Ele é armazenado em um servidor distante de propriedade dos criminosos que distribuem o vírus Rguy.

Para receber a chave de descriptografia, o pagamento deve ser de $ 980. Para obter os detalhes do pagamento, as vítimas são incentivadas pela mensagem a contatar as fraudes por e-mail (helpmanager@mail.ch), ou via Telegram.

ATTENTION!

Don't worry, you can return all your files!

All your files like photos, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.

What guarantees you have?

You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.

You can get and look video overview decrypt tool:

https://we.tl/t-WJa63R98Ku

Price of private key and decrypt software is $980.
Discount 50% available if you contact us first 72 hours, that's price for you is $490.

Please note that you'll never restore your data without payment.

Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours.

To get this software you need write on our e-mail:

support@sysmail.ch

Reserve e-mail address to contact us:

helprestoremanager@airmail.cc

Your personal ID:
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

A imagem abaixo dá uma visão clara de como os arquivos com extensão “.rguy” se parecem:

Não pague pelo Rguy Ransomware.

Por favor, tente usar os backups disponíveis ou a ferramenta Decrypter

_O arquivo readme.txt também indica que os proprietários dos computadores devem entrar em contato com os representantes da Rguy durante 72 horas a partir do momento em que os arquivos foram criptografados. Com a condição de entrarem em contato em até 72 horas, os usuários terão um desconto de 50%. Assim, o valor do resgate será minimizado para US $ 490). No entanto, evite pagar o resgate!

Aconselho fortemente que você não entre em contato com essas fraudes e não pague. Uma das soluções de trabalho mais reais para recuperar os dados perdidos – apenas usando os backups disponíveis ou use o Decrypter ferramenta.

A peculiaridade de todos esses vírus aplicam um conjunto semelhante de ações para gerar a chave de descriptografia exclusiva para recuperar os dados cifrados.

Assim, a menos que o ransomware ainda esteja em estágio de desenvolvimento ou possua algumas falhas difíceis de rastrear, recuperar manualmente os dados criptografados é algo que você não pode realizar. A única solução para evitar a perda de seus dados valiosos é fazer backups regulares de seus arquivos essenciais.

Observe que mesmo que você mantenha esses backups regularmente, eles devem ser colocados em um local específico sem vagar, sem estar conectado à sua estação de trabalho principal.

Por exemplo, o backup pode ser mantido na unidade flash USB ou algum armazenamento externo em disco rígido alternativo. Opcionalmente, você pode consultar a ajuda de armazenamento de informações online (nuvem).

Nem é preciso mencionar que, quando você mantém seus dados de backup em seu dispositivo comum, eles podem ser criptografados da mesma forma, assim como outros dados.

Por esse motivo, localizar o backup em seu PC principal certamente não é uma ideia inteligente.

Como fui infectado?

Rguy possui vários métodos para incorporar em seu sistema. Mas realmente não importa que método tenha lugar no seu caso.
Atenção! Infecções por vírus Rguy

Crackithub[.]com, kmspico10[.]com, crackhomes[.]com, piratepc[.]net — sites que distribuem Rguy Ransomware. Este vírus pode infectar qualquer PC baixado de seus sites.

Outros sites semelhantes:

xxxxs://crackithub[.]com/adobe-acrobat-pro/
xxxxs://crackithub[.]com/easyworship-7-crack/
xxxxs://kmspico10[.]com/
xxxxs://kmspico10[.]com/office-2019-activator-kmspico/
xxxxs://piratepc[.]net/category/activators/
xxxxs://piratepc[.]net/startisback-full-cracked/

Rguy infection attack

Ataque Rguy após uma tentativa bem-sucedida de phishing.

No entanto, estes são os vazamentos comuns através dos quais pode ser injetado em seu PC:

  • instalação oculta junto com outros aplicativos, especialmente os utilitários que funcionam como freeware ou shareware;
  • link duvidoso em e-mails de spam que leva ao instalador Rguy;
  • recursos de hospedagem gratuita online;
  • usando recursos ilegais ponto a ponto (P2P) para baixar software pirata.

Houve casos em que o vírus Rguy foi disfarçado como uma ferramenta legítima, por exemplo, nas mensagens que exigiam iniciar algum software indesejado ou atualizações do navegador. Normalmente, é assim que algumas fraudes online visam forçá-lo a instalar o ransomware Rguy manualmente, fazendo com que você participe diretamente desse processo.

Certamente, o falso alerta de atualização não indicará que você vai realmente injetar o ransomware Rguy. Esta instalação será ocultada sob algum alerta mencionando que supostamente você deve atualizar o Adobe Flash Player ou algum outro programa duvidoso.

Claro, os aplicativos crackeados também representam o dano. O uso de P2P é ilegal e pode resultar na injeção de malware grave, incluindo o ransomware Rguy.

Resumindo, o que você pode fazer para evitar a injeção do ransomware Rguy em seu dispositivo? Mesmo que não haja 100% de garantia para evitar que seu PC seja danificado, há algumas dicas que quero dar a você para evitar a penetração do Rguy. Você deve ter cuidado ao instalar software livre hoje.

Certifique-se de sempre ler o que os instaladores oferecem além do programa gratuito principal. Fique longe de abrir anexos de e-mail duvidosos. Não abra arquivos de endereços desconhecidos. Obviamente, seu programa de segurança atual deve estar sempre atualizado.

O malware não fala abertamente sobre si mesmo. Não será mencionado na lista de programas disponíveis. No entanto, ele será mascarado por algum processo malicioso em execução regularmente em segundo plano, a partir do momento em que você iniciar o computador.

Como remover o vírus Rguy?

Além de codificar os arquivos da vítima, a infecção Rguy também começou a instalar o Azorult Spyware no sistema para roubar credenciais de conta, carteiras de criptomoedas, arquivos de desktop e muito mais.6
Razões pelas quais eu recomendaria GridinSoft7

Não há melhor maneira de reconhecer, remover e prevenir ransomware do que usar um software anti-malware da GridinSoft8.

Baixar ferramenta de remoção.

Você pode baixar o GridinSoft Anti-Malware clicando no botão abaixo:

Execute o arquivo de instalação.

Quando o download do arquivo de instalação terminar, clique duas vezes no arquivo setup-antimalware-fix.exe para instalar o GridinSoft Anti-Malware em seu sistema.

Run Setup.exe

Um Controle de conta de usuário perguntando se você permite que o GridinSoft Anti-Malware faça alterações em seu dispositivo. Portanto, você deve clicar em “Sim” para continuar com a instalação.

GridinSoft Anti-Malware Setup

Pressione o botão “Instalar”.

GridinSoft Anti-Malware Install

Depois de instalado, o Anti-Malware será executado automaticamente.

GridinSoft Anti-Malware Splash-Screen

Aguarde a conclusão da verificação do Anti-Malware.

O GridinSoft Anti-Malware iniciará automaticamente a varredura do seu computador em busca de infecções Rguy e outros programas maliciosos. Esse processo pode levar de 20 a 30 minutos, então sugiro que você verifique periodicamente o status do processo de digitalização.

GridinSoft Anti-Malware Scanning

Clique em “Limpar agora”.

Quando a verificação for concluída, você verá a lista de infecções que o GridinSoft Anti-Malware detectou. Para removê-los, clique no botão “Limpar agora” no canto direito.

GridinSoft Anti-Malware Scan Result

Trojan Killer para instâncias especiais

Em alguns casos, o ransomware Rguy pode bloquear a execução de arquivos de configuração de diferentes programas anti-malware. Nessa situação, você precisa utilizar a unidade removível com uma ferramenta antivírus pré-instalada.

Existe realmente um pequeno número de ferramentas de segurança que podem ser configuradas nas unidades USB e os antivírus que podem fazer isso na maioria dos casos requerem a obtenção de uma licença bastante cara. Para esta instância, posso recomendar que você use outra solução de GridinSoft – Trojan Killer Portable. Tem um modo de teste gratuito de 14 dias que oferece todos os recursos da versão paga9. Este termo será definitivamente 100% suficiente para eliminar o ransomware Rguy.

Como descriptografar arquivos .rguy?

Solução de restauração para grandes “ arquivos .rguy

Tente remover a extensão .rguy em alguns arquivos GRANDES e abri-los. O ransomware Rguy leu e não criptografou o arquivo ou apresentou um bug e não adicionou o marcador de arquivo. Se seus arquivos forem muito grandes (2 GB +), o último é o mais provável. Por favor, deixe-me saber nos comentários se isso funcionará para você.

As extensões mais recentes foram lançadas no final de agosto de 2019, depois que os criminosos fizeram alterações. Isso inclui Kqgs, Xcbg, etc.

Como resultado das alterações feitas pelos criminosos, STOPDecrypter não é mais compatível. Ele foi removido e substituído pelo Emsisoft Decryptor para STOP Djvu Ransomware desenvolvido pela Emsisoft e Michael Gillespie.

Você pode baixar a ferramenta de descriptografia gratuita aqui: Descriptografador para STOP Djvu.

Baixe e execute a ferramenta de descriptografia.

Comece a baixar a ferramenta de descriptografia.

Certifique-se de iniciar o utilitário de descriptografia como administrador. Você precisa concordar com os termos de licença que serão apresentados. Para isso, clique no botão “Sim“:

Emsisoft Decryptor - license terms

Assim que você aceitar os termos da licença, a interface do usuário do descriptografador principal será exibida:

Emsisoft Decryptor - user interface

Selecione as pastas para descriptografar.

Com base nas configurações padrão, o descriptografador preencherá automaticamente os locais disponíveis para descriptografar as unidades disponíveis atualmente (as conectadas), incluindo as unidades de rede. Locais extras (opcionais) podem ser selecionados com a ajuda do botão “Adicionar”.

Os descriptografadores normalmente sugerem várias opções, considerando a família de malware específica. As opções atuais possíveis são apresentadas na guia Opções e podem ser ativadas ou desativadas lá. Você pode localizar uma lista detalhada das opções atualmente ativas abaixo.

Clique no botão “Descriptografar”.

Assim que adicionar todos os locais desejados para descriptografia na lista, clique no botão “Descriptografar” para iniciar o procedimento de descriptografia.

Observe que a tela principal pode levar você a uma visualização de status, permitindo que você saiba sobre o processo ativo e as estatísticas de descriptografia de seus dados:

Emsisoft Decryptor - the decryption statistics

O descriptografador irá notificá-lo assim que o procedimento de descriptografia for concluído. Se você precisa do relatório para seus papéis pessoais, pode salvá-lo selecionando o botão “Salvar registro”. Observe que também é possível copiá-lo diretamente para a área de transferência e colá-lo em e-mails ou mensagens aqui, se necessário.

O Emsisoft Decryptor pode exibir mensagens diferentes após uma tentativa fracassada de restaurar seus arquivos .rguy:

✓ Error: Unable to decrypt file with ID: [your ID]
Não há uma chave de descriptografia correspondente no banco de dados do descriptografador Emsisoft.
✓ No key for New Variant online ID: [your ID]
Notice: this ID appears to be an online ID, decryption is impossible
Seus arquivos originais foram criptografados com uma chave online. Assim, ninguém mais tem o mesmo par de chaves de criptografia/descriptografia. A recuperação de arquivos .rguy sem pagar os criminosos é impossível. 🙁
✓ Result: No key for new variant offline ID: [example ID]
This ID appears to be an offline ID. Decryption may be possible in the future.
Uma chave offline foi usada, mas os arquivos não puderam ser restaurados (a chave de descriptografia offline ainda não está disponível). Mas, receber esta mensagem é uma boa notícia para você, porque talvez seja possível restaurar seus arquivos .rguy no futuro. 🙂
Pode levar algumas semanas ou meses até que a chave de descriptografia seja encontrada e carregada no descriptografador. Siga as atualizações relacionadas às versões decodificáveis do DJVU aqui.
✓ Remote name could not be resolved
É uma indicação de um problema de DNS em seu PC. Nossa primeira recomendação é redefinir seu arquivo HOSTS de volta ao padrão.

Como restaurar arquivos .rguy?

Em alguns casos, o ransomware Rguy não é a desgraça para seus arquivos …

O próximo recurso do mecanismo de criptografia do Rguy ransomware: ele criptografa cada arquivo byte a byte e salva uma cópia do arquivo, excluindo (e não substituindo !) O arquivo original. Conseqüentemente, as informações do local do arquivo no disco físico são perdidas, mas o arquivo original não é excluído do disco físico. A célula, ou o setor onde este arquivo foi armazenado, ainda pode conter este arquivo, mas ele não é listado pelo sistema de arquivos e pode ser substituído por dados que foram carregados neste disco após a exclusão. Assim, é possível recuperar seus arquivos usando um software especial.

Recuperando seus arquivos com PhotoRec

PhotoRec é um programa de código aberto, originalmente criado para a recuperação de arquivos em discos danificados ou para a recuperação de arquivos caso sejam excluídos. Porém, com o passar do tempo, este programa conseguiu recuperar os arquivos de 400 extensões diferentes. Portanto, ele pode ser usado para recuperação de dados após o ataque de ransomware.

A princípio, você precisa baixar este aplicativo. É 100% gratuito, mas o desenvolvedor afirma que não há garantia de que seus arquivos serão recuperados. PhotoRec é distribuído em um pacote com outro utilitário do mesmo desenvolvedor – TestDisk. O arquivo baixado terá o nome TestDisk, mas não se preocupe. Os arquivos PhotoRec estão lá dentro.

Para abrir o PhotoRec, você precisa localizar e abrir o arquivo “qphotorec_win.exe”. Nenhuma instalação é necessária – este programa tem todos os arquivos necessários dentro do arquivo, portanto, você pode colocá-lo em sua unidade USB e tentar ajudar seu amigo/pais/qualquer pessoa que foi atacada por DJVU/STOP ransomware.

PhotoRec file in the folder

Após o lançamento, você verá a tela mostrando a lista completa de seus espaços em disco. No entanto, essa informação é provavelmente inútil, porque o menu necessário é colocado um pouco mais alto. Clique nesta barra e escolha o disco que foi atacado pelo ransomware.

Choose the disc in PhotoRec

Depois de escolher o disco, você precisa escolher a pasta de destino para os arquivos recuperados. Este menu está localizado na parte inferior da janela PhotoRec. A melhor opção é exportá-los em uma unidade USB ou qualquer outro tipo de disco removível.

Choosing the destination folder of recovery

Em seguida, você precisa especificar os formatos de arquivo. Essa opção também está localizada na parte inferior. Como foi mencionado, o PhotoRec pode recuperar arquivos de cerca de 400 formatos diferentes.

Choose the file format

Finalmente, você pode iniciar a recuperação de arquivos pressionando o botão “Pesquisar”. Você verá a tela onde os resultados da verificação e recuperação são mostrados.

Recovery process

O guia em vídeo de recuperação de arquivos Rguy você pode encontrar aqui

Frequently Asked Questions

🤔 Como posso abrir arquivos “ .rguy “?

De jeito nenhum. Esses arquivos são criptografados pelo Rguy ransomware. O conteúdo dos arquivos .rguy não está disponível até que sejam descriptografados.

🤔 Os arquivos Rguy contêm informações importantes. Como posso descriptografá-los com urgência?

Se os seus dados permanecerem nos arquivos .rguy forem muito valiosos, provavelmente você fez uma cópia de backup.
Caso contrário, você pode tentar restaurá-los por meio da função do sistema – Ponto de restauração.
Todos os outros métodos requerem paciência.

🤔 Você aconselhou o uso do GridinSoft Anti-Malware para remover o Rguy. Isso significa que o programa excluirá meus arquivos criptografados?

Claro que não. Seus arquivos criptografados não representam uma ameaça para o computador. O que aconteceu já aconteceu.

Você precisa do GridinSoft Anti-Malware para remover infecções ativas do sistema. O vírus que criptografou seus arquivos provavelmente ainda está ativo e executa periodicamente um teste para criptografar ainda mais arquivos. Além disso, esses vírus instalam keyloggers e backdoors para outras ações maliciosas (por exemplo, roubo de senhas, cartões de crédito) com freqüência.

🤔 O vírus Rguy bloqueou o PC infectado: Não consigo obter o código de ativação.

Nessa situação, você precisa preparar o stick de memória com um Trojan Killer pré-instalado.

🤔 O Decryptor não descriptografou todos os meus arquivos ou nem todos foram descriptografados. O que devo fazer?

Tenha paciência. Você está infectado com a nova versão do ransomware Rguy e as chaves de descriptografia ainda não foram lançadas. Acompanhe as novidades em nosso site.

Manteremos você informado quando novas chaves Rguy ou novos programas de descriptografia aparecerem.

🤔 O que posso fazer agora?

O ransomware Rguy criptografa apenas os primeiros 150 KB de arquivos . Portanto, os arquivos MP3 são bastante grandes, alguns reprodutores de mídia (Winamp, por exemplo) podem reproduzir os arquivos, mas – os primeiros 3-5 segundos (a parte criptografada) estarão ausentes.

Você pode tentar encontrar uma cópia de um arquivo original que foi criptografado:

  • Arquivos que você baixou da Internet que foram criptografados e você pode baixar novamente para obter o original.
  • Imagens que você compartilhou com familiares e amigos que eles podem simplesmente enviar de volta para você.
  • Fotos que você carregou em mídias sociais ou serviços em nuvem, como Carbonite, OneDrive, iDrive, Google Drive, etc)
  • Anexos em e-mails que você enviou ou recebeu e salvou.
  • Arquivos em um computador antigo, unidade flash, unidade externa, cartão de memória da câmera ou iPhone onde você transferiu dados para o computador infectado.

Além disso, você pode entrar em contato com os seguintes sites governamentais de fraude e golpes para relatar este ataque:

Para relatar o ataque, você pode entrar em contato com a diretoria executiva local. Por exemplo, se você mora nos EUA, pode conversar com Escritório de campo local do FBI, IC3 ou Serviço Secreto.

Guia de Vídeo

É o meu vídeo tutorial favorito: Como usar o GridinSoft Anti-Malware e o Emsisoft Decryptor para corrigir infecções de ransomware.

Se o guia não ajudar você a remover o vírus Rguy, faça download do GridinSoft Anti-Malware que eu recomendei. Além disso, você sempre pode me perguntar nos comentários para obter ajuda. Boa sorte!

Preciso de sua ajuda para compartilhar este artigo.

É sua vez de ajudar outras pessoas. Escrevi este guia para ajudar usuários como você. Você pode usar os botões abaixo para compartilhar isso em sua mídia social favorita, Facebook, Twitter ou Reddit.
Brendan Smith
Sending
User Review
3.83 (6 votes)
Comments Rating 0 (0 reviews)

References

  1. Infecção do tipo ransomware: https://gridinsoft.com/ransomware
  2. Twitter: https://twitter.com/demonslay335
  3. Meus arquivos são criptografados por ransomware, o que devo fazer agora?
  4. Sobre DJVU (STOP) Ransomware.
  5. Enciclopédia de ameaças.
  6. Vulnerabilidade de senhas do Windows (Mimikatz HackTool): https://howtofix.guide/mimikatz-hacktool/
  7. GridinSoft Anti-Malware Review do site HowToFix: https://howtofix.guide/gridinsoft-anti-malware/
  8. More information about GridinSoft products: https://gridinsoft.com/comparison
  9. Revisão do Trojan Killer: https://howtofix.guide/trojan-killer/

Inglês Alemão Japonês Espanhol Francês Turco Chinês (Tradicional) Coreano Indonésio Hindi Italiano

About the author

Brendan Smith

I'm Brendan Smith, a passionate journalist, researcher, and web content developer. With a keen interest in computer technology and security, I specialize in delivering high-quality content that educates and empowers readers in navigating the digital landscape.

With a focus on computer technology and security, I am committed to sharing my knowledge and insights to help individuals and organizations protect themselves in the digital age. My expertise in cybersecurity principles, data privacy, and best practices allows me to provide practical tips and advice that readers can implement to enhance their online security.

Leave a Reply

Sending