This article aims to demonstrate the use of Computer Forensics for recovering cryptographic keys from files encrypted by ransomware through the identification, extraction, and binary analysis of memory dumps. In the scenario addressed, it was verified that encrypted files could be recovered by analyzing the characteristics and behavior of the ransomware, enabling the identification and extraction of its cryptographic key through analysis of data contained in memory. The proposed methodological approach can also be analogously applied to similar cases in which recovery of environments compromised by this type of malware is required.
ABNT. NBR 27037: Diretrizes para identificação, coleta, aquisição e preservação de evidência digital. Rio de Janeiro, 2011.
ACCESSDATA CORP. FTK User Guide. Lindon, Utah, EUA: AccessData, 2010.
AQUILINA, J.; CASEY, E.; MALIN, C. Malware Forensics: Investigating and Analyzing Malicious Code. EUA: Syngress, 2008.
DEPARTAMENTO DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES DO GABINETE DE SEGURANÇA INSTITUCIONAL DA PRESIDÊNCIA DA REPÚBLICA. Diretrizes para o registro de eventos, coleta e preservação de evidências de incidentes de segurança em redes. Brasília, 2014.
TANENBAUM, Andrew. S. Sistemas Operacionais Modernos. 4a. ed., São Paulo: Prentice-Hall, 2015.
VILAR, Gustavo Pinto; GUSMÃO, Luiz Eduardo. Identificação, isolamento, coleta e preservação do vestígio cibernético. In: VELHO, Jesus Antonio (org.). Tratado de Computação Forense. 1ª. ed. Campinas: Millennium, 2016. p. 25-32.
VELHO, J. A.; COSTA, K. A.; DAMASCENO, C. T.M. Locais de Crimes - dos Vestígios à Dinâmica Criminosa. Campinas: Millennium, 2013.
VELHO, J. A.; GEISER, G. C.; ESPÍNDULA, A. Ciências Forenses – Uma introdução às principais áreas da Criminalística Moderna. 4a. ed. Campinas: Millennium, 2021.
Graduado em Tecnologia em Processamento de Dados pela Universidade da Amazônia - Unama (2003), especialista em Suporte a Redes de Computadores e Tecnologias Internet pela Universidade Federal do Pará - UFPA (2007), especialista em Ciências Forenses (Ênfase em Computação Forense) pelo Centro Universitário do Estado do Pará - CESUPA (2011). Atualmente ocupa o cargo de Técnico Científico em TI, na função de Analista Pleno em Arquitetura de Infraestrutura de TI, na Secretaria Executiva de Tecnologia da Informação do Banco da Amazônia. É Professor das disciplinas de Arquitetura de Computadores e de Segurança de Sistemas nos cursos superiores de Tecnologia em Análise e Desenvolvimento de Sistemas e de Tecnologia em Redes de Computadores da Faculdade de Castanhal (FCAT). É Professor do Módulo de Informática Forense no curso de Especialização em Ciências Forenses do Centro Universitário do Estado do Pará (CESUPA). Foi Professor-Tutor a Distância das disciplinas de Redes de Computadores, Sistemas Operacionais, Organização e Arquitetura de Computadores no curso de Tecnologia em Análise e Desenvolvimento de Sistemas (TADS) da Universidade Aberta do Brasil (UAB) no Instituto Federal de Educação, Ciência e Tecnologia do Pará (IFPA). Além de atuar como Perito Forense Computacional Judicial (Assistente Técnico), também é Auditor de TI e Pentester com as seguintes certificações: CEH - Certified Ethical Hacker, CHFI - Certified Hacking Forensic Investigator, DSEH - Data Security Ethical Hacker, DSFE - Data Security Forensics Examiner, DSO - Data Security Officer e ISO/IEC 27002 Foundation.
