Decryptor Público: Como Achar e Validar
Resposta direta
Decryptors públicos liberados por FBI, NCA, Avast, Kaspersky e parceiros podem descriptografar ransomware sem pagamento. Mas usar errado destrói arquivos ainda recuperáveis. Este guia mostra onde encontrar, como identificar variante e como testar com segurança.
De onde vêm os decryptors públicos
Quatro fontes principais: (1) No More Ransom Project (nomoreransom.org), iniciativa policial europeia com 170+ decryptors; (2) Operações policiais — Operação Cronos liberou ~7.000 chaves LockBit em Fev/2024; (3) Empresas de antivírus — Avast, Kaspersky, Bitdefender publicam decryptors para variantes específicas; (4) Pesquisadores independentes via GitHub. Cada decryptor é específico de família E versão. Usar decryptor de LockBit em arquivo BlackCat não funciona e pode danificar.
Erros que destroem dados
- 1.Rodar decryptor direto na produção. Decryptor errado pode corromper arquivos cifrados, tornando-os irrecuperáveis até por pagamento. Sempre teste em cópia.
- 2.Baixar decryptor de fonte não-oficial. Decryptors falsos circulam em fóruns. Alguns têm payload adicional. Use APENAS sites oficiais (FBI, NCA, Avast, Kaspersky, No More Ransom).
- 3.Apagar arquivos cifrados antes de tentar decryptor. Mantenha originais até confirmar 100% que decryptor funcionou. Operação irreversível.
- 4.Ignorar variante errada por aproximação. Decryptor de Akira clássico NÃO funciona em Akira v2 ou Megazord. Versão exata importa.
Como achar e validar com segurança
- 1
Identifique a variante exata
Nome do arquivo de nota (CONTI_README.txt, akira_readme.txt, [ID].README.txt), extensão adicionada, mensagem na nota, site .onion mencionado. Submeta amostra para ID Ransomware (id-ransomware.malwarehunterteam.com) — identifica família automaticamente.
- 2
Consulte No More Ransom Project
nomoreransom.org → 'Crypto Sheriff' permite upload de arquivo cifrado + nota para match automático. Se existir decryptor, link aparece com instruções específicas.
- 3
Consulte CISA + Operation Cronos base
Para LockBit 2.0/3.0/Black: NCA/FBI publicaram base de chaves em Fev/2024. Variantes elegíveis têm chave individual identificável pelo ID da vítima.
- 4
Baixe APENAS da fonte oficial
Decryptors falsos circulam em fóruns. Avast: avast.com/ransomware-decryption-tools. Kaspersky: noransom.kaspersky.com. Não baixe de torrents, fóruns, telegrams.
- 5
Crie ambiente de teste isolado
Copie 5-10 arquivos cifrados representativos para máquina isolada da rede. Execute decryptor APENAS na cópia. NUNCA na produção.
- 6
Valide múltiplos tipos de arquivo
Teste decryptor em PDF, DOCX, imagem, banco de dados. Se todos descriptografam corretamente e abrem nas aplicações originais, prossiga em produção. Se qualquer um falha, NÃO use em produção.
Perguntas frequentes
Quais variantes têm decryptor em 2026?
Parciais: LockBit 2.0/3.0 (Operação Cronos), Akira pré-junho 2023 (Avast), Conti V3 (Avast/Kaspersky), BlackCat amostras Dez/2023 (FBI). Sem decryptor público: BlackCat pós-Mar/2024, Akira v2/Megazord, Play, Cl0p recente, ESXi-Args.
Como saber qual versão da variante eu peguei?
Profissional: análise estática do binário. Doméstico: submeta amostra ao ID Ransomware ou ao Avast Threat Lab — em horas devolvem identificação completa.
Decryptor leva quanto tempo para rodar?
Variante. LockBit/Conti: 5-30 minutos por máquina de tamanho médio. ESXi com decryptor: 1-4h por VM. CPU-intensive — não rode 10 VMs simultâneas.
E se o decryptor descriptografar só parte?
Acontece em variantes que usam chave única por arquivo. Decryptor com chave da Operação Cronos só funciona para arquivos cifrados naquela infraestrutura específica. Arquivos pós-takedown podem não ter chave.
Posso confiar 100% no resultado?
Não cegamente. Valide com hash antes/depois em arquivos críticos. Compare com versão backup quando disponível. Decryptors oficiais são bem testados, mas casos isolados de corrupção parcial existem.
Precisa de apoio para identificar variante e testar decryptor?
Base atualizada de decryptors públicos. Validação em ambiente isolado antes de produção.