Avast disponibiliza ferramenta gratuita para desbloquear ficheiros cifrados pelo ransomware FunkSec
A Avast apresentou um utilitário que permite restaurar documentos encriptados pelo ransomware FunkSec. A solução, sem custos para os utilizadores, foi desenvolvida em parceria com forças policiais e integra a iniciativa No More Ransom, criada para reduzir o impacto de ataques de extorsão digital.
Ferramenta resulta de cooperação internacional
O descodificador foi publicado depois de investigadores da Gen Digital, empresa-mãe da Avast, declararem o grupo FunkSec inativo. A empresa refere que o software já pode ser descarregado e executado em computadores afetados, bastando que os ficheiros apresentem a extensão .funksec. Qualquer vítima, particular ou organização, consegue iniciar o processo de recuperação sem necessidade de conhecimentos avançados.
Segundo dados compilados pela Gen Digital, o FunkSec somou 113 vítimas confirmadas entre dezembro de 2024 e março de 2025. A lista inclui bases de dados de empresas e entidades governamentais de países como Egito, Estados Unidos e Índia. A Avast salienta que a ferramenta foi criada com o contributo de várias autoridades policiais, reforçando o caráter colaborativo do projeto.
Detalhes técnicos do ataque FunkSec
O malware foi escrito em Rust, linguagem adotada por cibercriminosos pela rapidez e pelos mecanismos de segurança nativos. Originalmente, o grupo limitava-se à exfiltração de dados e chantagem, mas passou a cifrar os ficheiros das vítimas para aumentar a pressão por pagamentos.
Para a encriptação, o FunkSec recorreu ao algoritmo ChaCha20 e ao código de autenticação Poly1305 MAC. Cada documento é dividido em blocos de 128 bytes, aos quais são adicionados 48 bytes de metadados, resultando num aumento médio de 37 % do tamanho final. Este método garante aos atacantes a capacidade de decifrar rapidamente a informação caso recebam o resgate.
Os operadores do ransomware recorreram ainda a ferramentas de inteligência artificial para aprimorar campanhas de phishing, embora apenas cerca de 20 % dos ataques analisados envolvam IA diretamente.
Linha temporal do FunkSec
• 4 de dezembro de 2024 – Primeiras vítimas listadas no site de fugas do grupo.
• 15 de dezembro de 2024 – Código inicial submetido ao serviço VirusTotal.
• 31 de dezembro de 2024 – Primeira amostra completa do ransomware enviada ao mesmo repositório.
• 15 de março de 2025 – Última vítima conhecida antes da desativação do grupo.
• 31 de julho de 2025 – Lançamento do descodificador da Avast.
Passos para recuperar os ficheiros
Depois de transferir o executável, o procedimento recomendado é o seguinte:
- Abrir a aplicação e selecionar Next.
- Indicar a pasta que contém os ficheiros cifrados e avançar.
- Ativar a opção Backup encrypted files para criar cópias de segurança.
- Carregar em Decrypt e aguardar a conclusão.
Concluído o processo, os documentos ficam acessíveis no estado original. A criação automática de cópias impede perdas adicionais caso algo não decorra como previsto.
Impacto na cibersegurança
A disponibilização de descodificadores gratuitos desencoraja o pagamento de resgates e fragiliza o modelo financeiro dos grupos de ransomware. A Avast sublinha que a iniciativa No More Ransom já libertou inúmeras vítimas da dependência de extorsionistas, fornecendo meios técnicos de recuperação sem custos.
Os especialistas recomendam, ainda assim, a implementação de cópias de segurança regulares e a atualização constante de sistemas de segurança, uma vez que novas variantes de malware continuam a surgir.

Imagem: tecmundo.com.br