Seu PC foi infectado? Agora vai ter que formatar para acessar de novo o banco!

Descobri isso ontem. Uma funcionária de um cliente se deixou enganar por uma mensagem de atualização obrigatória falsa e se infectou com um malware. Em seguida perdeu acesso ao Itaú, Caixa e BB. Os três usam a maldita solução de segurança da GAS/Diebold. Até aí, normal e esperado.

Dei um boot por um LiveCD, guardei todo o conteúdo do HDD em um diretório e fiz nova instalação do Windows. Me surpreendi quando ao acessar a Caixa, recebi a mensagem:

X5 – Computador / dispositivo bloqueado. Favor entrar em contato com o suporte tecnológico.

Note que a mensagem não diz “conta” ou “usuário”. Ela menciona especificamente o hardware. Como, numa instalação nova, a Caixa reconhece o dispositivo? Eu sei que isso é perfeitamente possível, no mínimo tendo armazenado o endereço MAC ou em outro tipo de “fingerprint” do hardware, mas aí a Caixa teria que se basear na “palavra” do cliente (eu juro que formatei!) porque o hardware não muda mesmo depois de formatar. Desconfiei que a maldita solução de segurança ou estivesse escondendo algo na partição ou armazenando em um servidor externo o serial do volume, que é recriado a cada formatação.  Então como estávamos na hora do almoço e não conseguimos falar com o pessoal da Caixa, aproveitei o tempo para mover os dados do cliente para outra partição e fazer o que raramente faço: formatar. Fui mais drástico ainda: removi a partição de 100MB que o Windows cria automaticamente e a partição onde estava o drive C:

Após nova instalação do Windows, o acesso à Caixa funcionou na primeira tentativa.

Se a solução de segurança estiver mesmo se baseando em um serial, nem mesmo ter feito uma imagem de backup da partição com Trueimage ou similar  será suficiente para aplacar a ira dos deuses da Diebold. Somente um sacrifício na forma de uma formatação será capaz de resolver o problema. Sim, eu já disse isso antes!

E não foi só a Caixa que percebeu que eu não havia formatado. Antes de formatar, o Itaú estava pedindo um recadastramento do computador que envolvia uma declaração assinada pelo dono da conta e entregue pessoalmente ao gerente do banco (procedimento que a funcionária disse ser comum). Nem sequer imprimimos o formulário e após a formatação a conta foi acessada sem precisar de nada disso. Não chegamos a confirmar o BB, porque o usuário também estava bloqueado ainda, mas suspeito que o problema seria similar.

Minha recomendação: Comece a recomendar a seus clientes o uso exclusivo de máquinas virtuais para acesso a bancos.

Quando eu puder vou fazer imagens dos HDDs de alguns clientes empresariais só para testar depois de um bloqueio se recarregar uma imagem seria o bastante.

 

41 comentários
  • Matuto - 128 Comentários

    Dois clientes meus passaram por alguma coisa parecida no BB. Uma delas informou que o pessoal do helpdesk mandou ela formatar o HD. Ainda estou aguardando ela retornar a ligação e me dizer como foi resolvido o problema. Eu achava que apagando as pastas do WARSAW e limpando o registro do Windows resolveria, mas nem cheguei a testar isso.

  • Jefferson - 6.464 Comentários

    Só me ocorreu agora procurar saber se é possível mudar o serial do volume sem formatar. Claro que é! :dashhead1:

    Da próxima vez que eu me deparar com esse problema, depois que eu apagar o gbplugin/warsaw manualmente vou mudar o serial do volume e ver o que acontece.

    • Eduardo - 6 Comentários

      Só mudar o serial do volume não deu certo. Acabei de testar. O que resta é mudar o ID de instalação do Windows como o Daniel falou mais abaixo. Mas eu não encontrei um programa que faça isso.

      • Jefferson - 6.464 Comentários

        Não sei o que é esse “ID de instalação do Windows” mas não creio que esteja relacionado com o problema. Se você ler com atenção meu post, verá que eu fiz uma instalação inteiramente nova do Windows, sem formatar, e o banco rejeitou o acesso. Formatar e fazer a instalação nova foi aprovado. Isso sugere que o que quer que seja que o programa de segurança está olhando, está no disco e não na instalação do Windows.

  • Jesusleno - 18 Comentários

    Eu trabalho na CAIXA e também passo frequentemente por esses problemas junto aos meus clientes, inclusive já aconteceu com o micro que eu trabalho dentro da agência e foi preciso formatar (subir uma nova imagem, como eles chamam), sem isso nada feito!

    Se você puder ser mais específico onde fica as pastas e os termos do registro que devo apagar, posso tentar a solução de trocar o número do volume, para ver se dar certo ter novamente o acesso sem a formatação.

  • Daniel - 3 Comentários

    Existe um programa que muda a serial do volume e outro que muda a ID de instalação do windows. Costumo resolver assim.

    • Eduardo - 6 Comentários

      Não encontrei um programa que faça a alteração do ID de instalação do Windows. Você pode indicar algum?

      • Matuto - 128 Comentários

        Eu testei uma vez o VolumeID v2.1.

        O link é esse:
        https://docs.microsoft.com/pt-br/sysinternals/downloads/volumeid

        Ele funciona pelo Prompt de Comando. Tu faz o procedimento e reinicia o Windows, daí quando ele entrar novamente o Volume da Unidade vai estar com o novo valor que tu colocou.

        • Jefferson - 6.464 Comentários

          Salvo engano, esse “Volume ID” é o mesmo “serial do volume” do qual estamos falando. Está relacionado com a formatação do disco e não com a instalação do Windows.

          Mas o que realmente importa é: você teve sucesso usando esse programa para driblar o bloqueio do banco?

          • Eduardo - 6 Comentários

            Eu testei e não resolveu….
            Desinstalei o Warsaw, mudei o serial do Volume C: com esse aplicativo, reiniciei o computador, conferi se tinha mudado e tentei novamente o acesso ao BB, mas continua bloqueado.
            Vou tentar novamente alterando o serial dos outros volumes também. O de recuperação e aquele outro que fica logo no começo do disco.
            Tem alguma outra informação relacionada ao HD que poderíamos mudar?

            • Eduardo - 6 Comentários

              Consegui resolver no meu.
              Removi a pasta c:\Programdata\Temp
              Aparentemente o Warsaw cria um ID para o computador, armazena lá e quando desinstalamos essa pasta é mantida.

              • Jefferson - 6.464 Comentários

                Hummm… quer dizer que basta mudar o serial do volume e remover a pasta para desbloquear o acesso? Obrigado pelo feedback!

              • Paulo Henrique - 1 Comentário

                Deu certo a sugestão do Eduardo. Excluir a pasta temp.

                Grato,

              • Fhilipe Rotta - 1 Comentário

                Funcionou perfeitamente com a dica do Eduardo, fiz o procedimento em uma estação aqui do serviço e deu certo
                Agradeço ao Eduardo, Jefferson e ao Paulo Henrique, sem essa dica teria que formatar a máquina

              • Fernando - 1 Comentário

                Removi o Warsaw, troquei o serial do volume, removi a pasta C:\ProgramData\Temp e nada feito. Mas mudou o erro, era “X5 – Computador/dispositivo bloqueado” agora é “Dispositivo bloqueado.”

              • Sergio - 1 Comentário

                Excelente dica!
                No meu caso, apenas desinstalei o Warsaw e apaguei a pasta C:\ProgramData\Temp, além de limpar dados do navegador. Voltou a funcionar BB e Caixa!!!
                Já tinha trocado MacAddress etc. Mas voltei o MacAddress original. Nem precisei recadastrar o computador, os bancos entenderam que eu formatei o computador e voltaram a me aceitar.
                Agradeço mais uma vez.

              • camilo - 1 Comentário

                Boa tarde, gostaria de agradecer a todos pelas dicas, em especial ao Eduardo,
                pois foi com a sua que conseguir resolver este problema que já se arrastava desde o ano passado, valeu.

                • Filipe - 1 Comentário

                  Consegui resolver fazendo o procedimento de excluir os dados de historico do navegador, desinstalando os dispositivos de segurança e ecluindo as pastas dos programas e a TEMP. funcionou como o Euardo falou!

                  Obrigado a todos!

                  • Roberto - 1 Comentário

                    Você usa o Windows 10? Tentei fazer o mesmo procedimento, porém o problema persiste…

                    • Eduardo - 6 Comentários

                      Robeto, eu uso o Windows 10.

                    • Fernando Freitas - 1 Comentário

                      Obrigado Eduardo, mas pelo jeito o sistema voltou a detectar quando o computador não é formatado. Já fiz de tudo nos últimos dias: alterei hostname da máquina, mudei o grupo de trabalho, alterei o endereço MAC da placa de rede, removi todas as pastas Warsaw e Diebold (incluindo os diretórios ‘Temp’), alterei o volumeid de todas as partições, limpei o histórico/cookies dos navegadores, e mesmo assim o banco continua informando que o dispositivo está bloqueado. Infelizmente vou continuar sem acesso ao internet banking (também utilizo o Windows 10 como sistema operacional) :(

                • Eduardo - 6 Comentários

                  Imagina Camilo! Que bom que conseguiu.

  • Dalton - 1 Comentário

    Eu sou cliente da sucateada Caixa Econômica Federal e já tive este maldito problema várias vezes apesar de ter o BitDefender Total comprado e legal na máquina. Eu cansado disso, fiz clones dos HDs aqui com Easeus, free e muito bom , aliás. Quando refiz o clone em cima do HD Windows10 que a miserável da CEF não admitia, também não funcionou. Gostei da ideia do Drive Virtual, agora vou fazer assim. Acho chato, pesado e com imagem ruim, mas deve resolver.

  • Ivan - 1 Comentário

    Desconfio que o BB está bloqueando máquinas virtuais. Ao menos no caso da minha conta e também da minha esposa, tendo instalado linux mint 64bit em uma maquina virtual para cada. Só dor de cabeça!

  • Guilherme - 1 Comentário

    Tive recentemente problema também em meu computador de acesso bloqueado no Banco do Brasil, desinstalei o warsaw, removi os dados da pasta c:\Programdata\Temp e alterei o Volume ID e deu certo. É uma palhaçada o que esse modulo de proteção ineficiente faz! É pior que virus! Já tive inúmeros problemas e aplicativos que simplesmente não inicializam por conta da Diebold, quem puder passe longe disso! A algumas semanas, depois de uma atualização do warsaw, todos os downloads que tentava realizar demorava cerca de 10s para abrir a janela de salvar, demoraram duas semanas até lançarem a atualização de correção e o pior é que temos que aceitar tudo isso de mãos amarradas!!!

  • Cristiano Nunes - 1 Comentário

    No Linux (Ubuntu), para resolver o problema eu segui os passos:

    1) Desinstalar o Warsaw:
    sudo apt purge warsaw

    2) Remover os diretórios temporários do Warsaw:
    sudo rm -rf /tmp/.wsdl/
    sudo rm -rf /tmp/upd/
    sudo rm -rf /dev/shm/wi*

    3) Alterar o hostname da máquina:
    Editar e alterar o hostname nos arquivos: “/etc/hostname” e “/etc/hosts”
    sudo hostname [nome_do_novo_hostname]

    4) Instalar novamente o Warsaw::
    sudo dpkg -i warsaw_setup64.deb

  • alberto - 1 Comentário

    funcionou hoje para mim somente apagando a pasta. obrigado

  • Thiago Mattos - 1 Comentário

    Boa tarde, estive com o mesmo problema e consegui resolver sem a necessidade de formatação.

    Procedimentos:
    Desinstalar os módulos de segurança existentes
    Acessar: http://www.caixa.gov.br/site/paginas/downloads.aspx

    No link acima tem 3 programas, baixe-os e instale em ordem.

    So isso, na minha instalação o segundo programa deu erro, mas mesmo assim voltou a funcionar o Internet Banking. Qualquer duvida podem chamar por e-mail

  • Paulo Aguiar - 1 Comentário

    Tenho uma máquina que roda Win 7 64 e tive essa mesma decepção que todos estão relatando por aqui. Fiz o procedimento abaixo e voltei a utilizar meu PC sem ter que formatá-lo

    1º – Painel de controle / Programas e Recursos / desinstalar programa “Warsaw”. Após o sistema vais pedir para reiniciar o computador, mas deixa pra fazer isso após o último passo.

    2º – Digite no campo de pesquisa de programas e pastas a palavra “Regedit”. Ela vai mostrar o aplicativo de editor de registro.

    3º – Abra o editor de registro e siga o caminha abaixo:

    HKEY_LOCAL_MACHINE / SOFTWARE / Diebold.
    Apagar a pasta “Diebold” inteira

    4º – Ainda no editor de registro, siga o caminho

    HKEY_LOCAL_MACHINE / SOFTWARE / SYSTEM / CurrentControlSet / services / wsddntf.
    Apagar a pasta “wsddntf” inteira. Após, fecha o editor de registro, e continue:

    5º – Abra “disco local C”, na barra de ferramenteas, clique em “ferramentas” e depois “opções de pasta”, “Modo de exibição”; procure por “pastas e arquivos ocultos e marque na caixa de diálogos “Mostrar arquivos, pastas e unidades ocultas”.

    6º – Abra “disco local C” e abra a pasta “arquivos de programas” e apague a pasta “Diebold” inteira

    7º – Ainda no “disco Local C”, vá na pasta Arquivo de Programas (x86) e apague a pasta “Diebold” lá também. (a pasta “Diebold” estará oculta, razão pela qual é indicado o 5º passo acima).

    8º – Feche tudo que estiver aberto no computador e reinicie a máquina.

    9º – Após reiniciado, abra o navegador, entre no site do BB. Rodar o aplicativo de diagnostico e pode entrar em sua conta novamente e sem ter que formatar seu computador.
    No meu computador voltou a funcionar. Espero ter contribuído!

    • Nelson - 1 Comentário

      Boa tarde,

      Depois de muitas tentativas a que resolveu para min foi seguindo estas orientações do Paulo Aguiar!

      Agradeço

      Abraço

  • Laercio Camargo - 1 Comentário

    Excelente !! deu certo .. obrigado !

  • Marcelo Neuri Haag - 102 Comentários

    Criamos uma VM aqui no Servidor da empresa só para usar os bancos: foi a melhor coisa que poderíamos ter feito! E com isso também ganhamos a opção de acessar (via VPN) as contas da empresa remotamente! :yahoo:

Deixe um comentário para Jefferson Cancelar resposta

Você pode usar estas tags HTML

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

  

  

  

:) :( ;) O_o B) :lol: :huh: :S :D :-P 8-O :yahoo: :rtfm: :dashhead1: :clapping: more »