Ransomware Qeza (Arquivos .qeza)

Infectar o sistema com o ransomware Qeza pode ter consequências muito perigosas. Este vírus faz várias alterações nas configurações do seu sistema, tornando-o muito mais difícil de usar. Além das alterações nas configurações, o malware também criptografa seus arquivos, tornando impossível abri-los de qualquer maneira.

O algoritmo de criptografia usado pelo ransomware Qeza é o Salsa20. Isso é comum a todos os ransomwares STOP/Djvu (Qeza pertence a essa "família"). Ferramentas de descriptografia permitem recuperar seus arquivos sem pagamento, mas isso também depende de circunstâncias aleatórias. Se seus arquivos forem criptografados com a chave offline, você tem uma grande chance de recuperá-los. No entanto, a chave de criptografia online geralmente significa que a descriptografia é impossível.

A melhor maneira de lidar com ataques de ransomware é evitá-los. Normalmente, o ransomware Qeza é distribuído junto com programas obtidos em sites duvidosos. Embora esses aplicativos sejam gratuitos, eles devem ser comprados no site oficial. Outros programas são projetados para atividades ilegais - como trapaça, por exemplo, ou ativação do Windows. Ao tornar o programa utilizável sem pagamento, os hackers têm liberdade para adicionar qualquer malware a esse programa - dependendo de quem pagou mais.

Processo de criptografia

O ransomware Qeza usa o algoritmo de criptografia AES-256. Este não é o método mais forte, mas ainda fornece uma quantidade avassaladora de chaves de descriptografia possíveis. Para quebrar o número de chaves de 78 dígitos, você precisaria de 3,5 unvigintilhões de anos (1*10^65), mesmo que use o computador mais poderoso do mercado. Computadores quânticos podem apresentar resultados um pouco melhores, mas ainda é muito lento para recuperar seus arquivos enquanto você estiver vivo.

O algoritmo exato de criptografia é o seguinte: o malware verifica cada pasta em busca de arquivos que possa criptografar. Então, quando encontra o alvo, faz uma cópia do arquivo, remove o original, criptografa a cópia e a deixa em vez do original removido. Essa operação é feita para evitar a situação em que você já abriu o arquivo, para que o ransomware não possa lê-lo devido às restrições do Windows. Para cada cópia criptografada, o vírus adiciona a extensão específica - ".qeza". Em seguida, o ransomware cria um arquivo _readme.txt na pasta em que o arquivo criptografado está localizado e passa para a próxima pasta.

Esse método de criptografia pode ser explorado para a recuperação de arquivos. Como o arquivo original é excluído, você pode tentar recuperá-lo usando ferramentas de recuperação de arquivo. Quanto menos tempo passar, maior será a chance de recuperar seus arquivos, portanto, é importante agir rapidamente!

Outro momento específico que pode ajudá-lo a usar os arquivos mesmo após a criptografia é o fato de que o ransomware Qeza criptografa apenas os primeiros 150KB de cada arquivo. Portanto, você pode tentar executar um arquivo grande, como vídeo ou música, sem a criptografia. Recursos semelhantes também funcionam com outras famílias de ransomware - Dharma, Conti e Makop criptografam os mesmos 150KB.

Nota de resgate: _readme.txt

A nota de resgate é a mesma para toda a família de ransomware. Na verdade, é um dos principais sinais de qual família o determinado ransomware pertence. Aqui está a nota típica para a família STOP/Djvu:

Links externos:

🔗 HowToFix.Guide: Como descriptografar arquivos .qeza?

Indicadores de Comprometimento (IOC)

Nome do Arquivo	MD5	Tamanho do Arquivo
📜 SAMPLE.EXE	8b86e6ff5e7e1d05ec35f1af5027b3eb	1273856
📜 SAMPLE.EXE	029f0e789f5b8d0b3f519b5bb9102754	739840
📜 SAMPLE.EXE	a9156a0bd435bb316530070ea542feff	7126766