Procuro apenas profissionais com equipamentos necessarios pra fazer extração fisica de fragmentos de dados.
Recebi um arquivo malicioso compactado (.zip) com script .vbs, que foi aberto pelo WhatsApp Web em um computador Windows.
Logo após abrir o arquivo, houve invasão imediata da conta do WhatsApp, que passou a enviar mensagens automáticas com novos links infectados para diversos contatos (clientes).
Ao mesmo tempo, ainda tinha acesso ao aplicativo no celular e tentei interromper o envio, mas em seguida desinstalei o WhatsApp para conter o incidente.
Após reinstalar, o aplicativo não encontrou nenhum backup existente, nem no Google Drive nem no armazenamento local do aparelho.
**Ambiente técnico**
Aparelho: Motorola G52 (Android 13)
Armazenamento: interno, sem SD card
Backup no Google Drive: inexistente após o incidente (Drive mostra “sem backup disponível”)
Armazenamento local:
Pasta Android/media/com.whatsapp/WhatsApp não contém subpasta Databases (nem arquivos .crypt14/.crypt15)
Pastas restantes: apenas .shared e media
Tamanho atual do app: 203 mb (dados de usuário ~82 mb, app 116 mb, cache 4,7 mb)
**sintomas observados**
- desaparecimento total dos arquivos locais de backup (msgstore*.crypt14).
- Inexistência de backup no Google Drive, mesmo tendo contas vinculadas anteriormente.
- WhatsApp reinstalado informa que “não há backup disponível”.
Após o incidente, nenhum antivírus detectou arquivos remanescentes, mas há indícios de remoção deliberada dos backups locais (provável ação do malware ou sincronização posterior via conta comprometida).
Dr.Fone e ferramentas similares não localizaram nenhum backup válido.
**Suspeita técnica**
Infecção por script malicioso em VBScript (.vbs) via WhatsApp Web, que executou ações automatizadas no Windows, podendo:
- Ler cookies/session tokens do WhatsApp Web para se autenticar remotamente;
- Enviar mensagens automáticas via API não oficial;
- Acessar e apagar backups locais ou sincronizados;
- Causar limpeza de cache e diretórios do aplicativo no Android via sincronização de conta;
- Potencialmente alterar permissões ou criptografia do backup local (sobrescrita parcial).
Também é possível que, durante reinstalação, o armazenamento interno tenha sido parcialmente sobrescrito.
**Objetivo do projeto**
Contratar um profissional com experiência comprovada em:
- Recuperação de dados Android / WhatsApp (formato .crypt14 ou .crypt15);
- Análise forense / extração de imagem do dispositivo (dump completo do armazenamento interno sem sobrescrever dados);
- Tentativa de reconstrução de base de dados WhatsApp a partir de fragmentos de backup local, cache ou espaço não alocado;
- Verificação de integridade de conta e tokens associados (Google Drive, WhatsApp Web);
- Produção de relatório técnico descrevendo o que foi encontrado e o que foi recuperado (para eventual uso jurídico).
**Entregáveis esperados**
- Diagnóstico técnico inicial (possibilidade real de recuperação).
- Imagem forense do armazenamento interno (se possível).
- Extração e reconstrução de arquivos .crypt14 / .crypt15 /
msgstore.db.
- Restauração de histórico de mensagens, mídias e/ou metadados.
- Relatório técnico descritivo do processo, ferramentas utilizadas e resultados obtidos.
**Preferência de atendimento**
Presencial no Rio de Janeiro – RJ, com entrega física do aparelho (Motorola G52).
Pode considerar coleta ou retirada segura.
Avalio propostas de técnicos forenses, peritos digitais ou especialistas em recuperação Android/WhatsApp.
**Observações**
Não há interesse em soluções genéricas (reinstalar, conectar Drive etc. Já foi tentado). Preciso de profissional técnico de nível avançado, com domínio em ADB, Android Forensics, SQLite, criptografia WhatsApp, e análise de dump. Urgência alta — preciso ao menos do diagnóstico técnico inicial em até 48h após o recebimento do aparelho.
Plazo de Entrega: No definido