Sv Community El Salvador
Soporte y Tecnología => OS => Mensaje iniciado por: Uchija Itachi en enero 19, 2015, 02:03:02 pm
-
Buenas amigos,
Resulta que el dia de ahora me han llamado para ver una maquina y resulta q tiene este virus/Malware/ransomware el cual ha encriptado gran parte de los archivos(Doc, txt, Jpg,..).
Alguno de ustedes ha tenido una experiencia para solucionar este problema?
-
Talves te sirva :dntknow:
http://www.forospyware.com/t396703.html (http://www.forospyware.com/t396703.html)
Ese ramsomware es uno de los virus mas yuca que hay x_x
-
observer creo que tuvo ese virus y no pudo solventar, le exigian bitcoins...
-
y como se contagio la maquina :O
-
y como se contagio la maquina :O
Eso es raro generalmente esos virus de encriptamiendo son directos, osea yo quiero fregar a alguien y se lo envio para que me pague por "devolver" su informacion.
Seria de ver de donde le vino :roll:
-
Eso es raro generalmente esos virus de encriptamiendo son directos, osea yo quiero fregar a alguien y se lo envio para que me pague por "devolver" su informacion.
Cassette, simplemente llega por descuido del usuario.
Lo único que se puede hacer por el momento es prevenir la perdida de los archivos haciendo respaldos regulares, pues se viene la evolución: Cryptolocker 2.0 y sus posibles variantes.
-
Pues les comento q trate de llevar la maquina a un estado de restauracion anterior y neles, lo mismo, osea que doy por perdidos los archivos?
Ningun antivirus me puede prevenir?
-
Basta un usuario desprevenido o que seas "beta tester" del virus para que pase desapercibido por tu AV, así que no queda otra que respaldar.
-
Basta un usuario desprevenido o que seas "beta tester" del virus para que pase desapercibido por tu AV, así que no queda otra que respaldar.
Juela, mira y vos pudiste recuperar los archivos?
-
Usa un live cd de linux, tal vez asi podas recuperar la info.
-
Pues les comento q trate de llevar la maquina a un estado de restauracion anterior y neles, lo mismo, osea que doy por perdidos los archivos?
Ningun antivirus me puede prevenir?
por si no lo has visto, el siguiente link te puede servir: http://www.bleepingcomputer.com/virus-removal/ctb-locker-ransomware-information
-
Usa un live cd de linux, tal vez asi podas recuperar la info.
Siguen encriptados los archivos :cry:
-
Ingresa al equipo afectado (a modo prueba de fallos preferiblemente). Copia y perga este ruta en el explorador de Windows, esta abrirá la carpeta temp directamente %localappdata%\temp Borra todo lo hay dentro de la carpeta, adjunto imagen, el virus tiene una cara y el nombre es un monto de letras sin sentido o números, en caso de no dejarlos eliminarla ejecutar el administrador de tareas, buscar el nombre del archivo y detenerlo con esto se seria borrar eliminar, reiniciar la maquina y con eso de momento se debería de deterner el encriptado, los archivos ya encriptados no se pueden recuperar. Avisame si te sirvió
-
No es por nada pero ya probaste tooooooodas estas herramientas (https://www.google.com.sv/webhp?sourceid=chrome-instant&ion=1&espv=2&ie=UTF-8#q=recuperar%20archivos%20encriptados%20por%20virus%20policia) ??
Ahi mencionan varias de AV y otras :thumbsup:
-
El problema no es la infección, eso lo controlas en menos de 30min. Los archivos encriptados salvo que haya quedado una copia del certificado de seguridad que usaron, NO los vas a poder leer nuevamente, hasta que salga alguna solución... ya llevo más de 1 año esperando.
-
Ingresa al equipo afectado (a modo prueba de fallos preferiblemente). Copia y perga este ruta en el explorador de Windows, esta abrirá la carpeta temp directamente %localappdata%\temp Borra todo lo hay dentro de la carpeta, adjunto imagen, el virus tiene una cara y el nombre es un monto de letras sin sentido o números, en caso de no dejarlos eliminarla ejecutar el administrador de tareas, buscar el nombre del archivo y detenerlo con esto se seria borrar eliminar, reiniciar la maquina y con eso de momento se debería de deterner el encriptado, los archivos ya encriptados no se pueden recuperar. Avisame si te sirvió
Gracias viejo, pero eso fue lo primero q hice, se supone q el encriptado ya se detuvo pero los archivos q ya fueron encriptados no puedo hacer nada.
No es por nada pero ya probaste tooooooodas estas herramientas (https://www.google.com.sv/webhp?sourceid=chrome-instant&ion=1&espv=2&ie=UTF-8#q=recuperar%20archivos%20encriptados%20por%20virus%20policia) ??
Ahi mencionan varias de AV y otras :thumbsup:
No se si ya las probe todas pero eliminar el virus no es el problema, fue lo primero q hice., pero ninguna de las que he usado me ha dado resultado.
El problema no es la infección, eso lo controlas en menos de 30min. Los archivos encriptados salvo que haya quedado una copia del certificado de seguridad que usaron, NO los vas a poder leer nuevamente, hasta que salga alguna solución... ya llevo más de 1 año esperando.
Puya que regada.
Para terminar de fregar el OS es el XP, en el 7 tiene por lo menos cada archivo una opcion para ver si podes regresar el archivo a su estado anterior.
-
Ahi hablan de que el programa te elimina el archivo Original y coloca el archivo que encripto.
Ya probaste la recuperación de archivos Eliminados?
-
Ahi hablan de que el programa te elimina el archivo Original y coloca el archivo que encripto.
Ya probaste la recuperación de archivos Eliminados?
Ahorita voy a probar, ya a este punto, voy a probar todo.
-
Gracias viejo, pero eso fue lo primero q hice, se supone q el encriptado ya se detuvo pero los archivos q ya fueron encriptados no puedo hacer nada.
No se si ya las probe todas pero eliminar el virus no es el problema, fue lo primero q hice., pero ninguna de las que he usado me ha dado resultado.
Puya que regada.
Para terminar de fregar el OS es el XP, en el 7 tiene por lo menos cada archivo una opcion para ver si podes regresar el archivo a su estado anterior.
Pues mirá. En resumen: Estás jodido.
El ransomware ese lo que hace es que cifra (una parte) del archivo normalmente el header y deja el resto del archivo intacto. Si eliminaste el virus pues desde ahí la regaste porque si había alguna posiblidad de encontrar la llave de cifrado podría estar en el ejecutable y/o la memoria del ejecutable. Aunque si utiliza cifrado fuerte haciendo uso de la llave pública del extorsionador no sería posible recuperar el contenido (solo quien tenga la llave privada podría descifrarlo).
Ahora.... no todo está necesariamente perdido.
Si tenes habilitado el shadow copy en windows podés intentar recuperar versiones anteriores del archivo cifrado. Si no la unica que te queda es utilizar alguna herramienta de recuperación de archivos como recuva o photorec para intentar recuperar documentos.
Aquí en la oficina nos pasó igual con una máquina. Tuvimos que dar los archivos como perdidos encontramos una herramienta que intentaba extraer la llave si contabas con una copia cifrada y una sin cifrar pero al parecer el que nos atacó utilizaba cifrado asimétrico con llave pública y no fué posible desencriptarlos.
-
Pues mirá. En resumen: Estás jodido.
El ransomware ese lo que hace es que cifra (una parte) del archivo normalmente el header y deja el resto del archivo intacto. Si eliminaste el virus pues desde ahí la regaste porque si había alguna posiblidad de encontrar la llave de cifrado podría estar en el ejecutable y/o la memoria del ejecutable. Aunque si utiliza cifrado fuerte haciendo uso de la llave pública del extorsionador no sería posible recuperar el contenido (solo quien tenga la llave privada podría descifrarlo).
Ahora.... no todo está necesariamente perdido.
Si tenes habilitado el shadow copy en windows podés intentar recuperar versiones anteriores del archivo cifrado. Si no la unica que te queda es utilizar alguna herramienta de recuperación de archivos como recuva o photorec para intentar recuperar documentos.
Aquí en la oficina nos pasó igual con una máquina. Tuvimos que dar los archivos como perdidos encontramos una herramienta que intentaba extraer la llave si contabas con una copia cifrada y una sin cifrar pero al parecer el que nos atacó utilizaba cifrado asimétrico con llave pública y no fué posible desencriptarlos.
Si eso estaba viendo, guarde la llave publica por cualquier cosa, ahorita estoy pasando el Recuve para ver que puedo encontrar.
-
Y cuanto pedian por devolver los archivos ??
-
Bueno ya pase el recuva me alegre al ver q encontro varios archivos como eliminados, los recupere y siempre encriptados :(
-
Se supone que piden alrededor de $120 en Bitcoins a través de Tor, y no se pueden tardar más de 96 horas, o la clave privada se pierde en el servidor remoto. Al usuario solo le deja una clave pública.
Como sabemos un encriptado robusto de clave pública/privada como este no se puede descifrar sin tener ambas claves originales.
El programa deja desencriptar hasta 5 archivos al azar, lo que significa que posiblemente hay alguna clave privada que el programa usa para eso, pero nadie ha podido recuperar o interceptar una, y que es única para cada máquina.
Alterar la infección hace que recuperar los archivos se vuelva imposible. Para alguien que tenga los recursos sería bueno tratar de seguir las instrucciones para ver si es posible recuperar los archivos realmente y si pueden determinar cómo se calculan las claves, pero eso puede depender de cosas tan aleatorias e irrepetibles como el estado de la memoria en el momento de la primera infección, además de los algoritmos avanzados de encriptación.
En otras palabras, las únicas soluciones por ahora son mejorar la seguridad del sistema operativo (no correr en modo administrador), tener respaldos de solo lectura (DVD, discos desconectados de la máquina afectada) o arriesgarse grandemente a pagar antes de 72 o 96 horas.
Dentro de ese riesgo uno siempre podría encontrar que solo los 5 archivos "al azar" eran desencriptables y que el resto estaban realmente sobreescritos corrompidos permanentemente y que no existe ninguna clave pública o privada:
http://www.bleepingcomputer.com/virus-removal/ctb-locker-ransomware-information (http://www.bleepingcomputer.com/virus-removal/ctb-locker-ransomware-information)
$120 creo q es una suma aceptable a comparación de lo q me piden
(http://tapatalk.imageshack.com/v2/15/01/21/b75185953dd28a5ae2dd5df3a3737a74.jpg)
-
pero vengo y pregunto es la primera vez que veo una infeccion de este tipo tuve la oportunidad hace meses me mandaron archivos encriptados me imagino que por esto era pero no quice preguntar porque no me quice meter de lleno a esto.
Estos ataques intensionales van con dedicatoria a la empresa o individuo en particular y como se empieza a ver la infección
-
no necesariamente van dedicados, un usuario se pudo meter a una pagina infectada o descargo algo, y lo instalo el mismo...
-
ha habido un repunte de este tipo de infecciones, porque conozco dos cheros que han tenido ese problema en esta semana... tan llorando :(
-
pero vengo y pregunto es la primera vez que veo una infeccion de este tipo tuve la oportunidad hace meses me mandaron archivos encriptados me imagino que por esto era pero no quice preguntar porque no me quice meter de lleno a esto.
Estos ataques intensionales van con dedicatoria a la empresa o individuo en particular y como se empieza a ver la infección
asi es y si lo instalaron que fue :O como dicen un repunte hay que estar alertas S: cosa seria eso
-
asi es y si lo instalaron que fue :O como dicen un repunte hay que estar alertas S: cosa seria eso
si pero a donde entraron por donde se infectaron, sera que estas personas que trabajan y ahi en lugar de trabajo los despidan por este tipo de infeccion
-
si pero a donde entraron por donde se infectaron, sera que estas personas que trabajan y ahi en lugar de trabajo los despidan por este tipo de infeccion
Pues en nuestro caso la persona de la maquina infectada lo unico es que accedía páginas de música online. Si hay algun 0-day exploit con flash (que no sería el primero) y alguna de las páginas tenía algun flash malicioso ese podría haber sido el vector de entrada, porque no encontramos que estuviera haciendo nada particularmente diferente a su trabajo normal.
La otra razón es que el antivirus no estaba actualizado. Yo traté de infectar una máquina virtual con el ejecutable que encontramos que cifró el archivo pero siempre fallaba al ejecutarse, supongo que ha de depender de algúna vulnerabilidad de algun update o de algún programa o bliblioteca de terceros que tiene algún tipo de vulnerabilidad porque por más que traté no logré nisiquiera que se ejecutara el virus en la virtual.
Lo que si logré identificar es que el ransomware iba sobre un caballo de troya los otros antivirus lo detectan como malware-generico y no lo dejan funcionar, me imagino que hecho con alguna herramienta para construir ese tipo de ejecutables.
-
Pues en nuestro caso la persona de la maquina infectada lo unico es que accedía páginas de música online. Si hay algun 0-day exploit con flash (que no sería el primero) y alguna de las páginas tenía algun flash malicioso ese podría haber sido el vector de entrada, porque no encontramos que estuviera haciendo nada particularmente diferente a su trabajo normal.
La otra razón es que el antivirus no estaba actualizado. Yo traté de infectar una máquina virtual con el ejecutable que encontramos que cifró el archivo pero siempre fallaba al ejecutarse, supongo que ha de depender de algúna vulnerabilidad de algun update o de algún programa o bliblioteca de terceros que tiene algún tipo de vulnerabilidad porque por más que traté no logré nisiquiera que se ejecutara el virus en la virtual.
Lo que si logré identificar es que el ransomware iba sobre un caballo de troya los otros antivirus lo detectan como malware-generico y no lo dejan funcionar, me imagino que hecho con alguna herramienta para construir ese tipo de ejecutables.
si me llama la atencion estos detalles porque si se ve interesante jugar en la virtual con este tipo de virus pero raro la ejecucion quizas lo que podria hacer es clonar un pc y montarla en una vitual para ver como va que sea igual a la infectado o lo mas parecidad cai en las oficnas todas andan igual y casi en todas las empresas no hay antivirus actulizados
-
Pues en nuestro caso la persona de la maquina infectada lo unico es que accedía páginas de música online. Si hay algun 0-day exploit con flash (que no sería el primero) y alguna de las páginas tenía algun flash malicioso ese podría haber sido el vector de entrada, porque no encontramos que estuviera haciendo nada particularmente diferente a su trabajo normal.
La otra razón es que el antivirus no estaba actualizado. Yo traté de infectar una máquina virtual con el ejecutable que encontramos que cifró el archivo pero siempre fallaba al ejecutarse, supongo que ha de depender de algúna vulnerabilidad de algun update o de algún programa o bliblioteca de terceros que tiene algún tipo de vulnerabilidad porque por más que traté no logré nisiquiera que se ejecutara el virus en la virtual.
Lo que si logré identificar es que el ransomware iba sobre un caballo de troya los otros antivirus lo detectan como malware-generico y no lo dejan funcionar, me imagino que hecho con alguna herramienta para construir ese tipo de ejecutables.
si seguro el ejecutable ese no funciono en la otra por q faltaba el programa que lo instalo y no encontraba algo :sad:
-
Sumandome a las dudas anteriores, si ya se detuvo el proceso de encriptacion, puede seguir propagandose a otras pc's??, y de ser asi podria ser via uSB o a traves de carpetas compartidas en red o por adjuntos en correos, será necesario formatear el disco por seguridad?????
-
Es momento de actualizar el 'Flash player', para qué esperar:
http://helpx.adobe.com/security/products/flash-player/apsa15-01.html
(http://helpx.adobe.com/security/products/flash-player/apsa15-01.html)
Adobe Security Bulletin
Security Advisory for Adobe Flash Player
Release date: January 22, 2015
Last updated: January 24, 2015
Vulnerability identifier: APSA15-01
CVE number: CVE-2015-0311
Platform: All Platforms
Summary
A critical vulnerability (CVE-2015-0311) exists in Adobe Flash Player 16.0.0.287 and earlier versions for Windows and Macintosh. Successful exploitation could cause a crash and potentially allow an attacker to take control of the affected system. We are aware of reports that this vulnerability is being actively exploited in the wild via drive-by-download attacks against systems running Internet Explorer and Firefox on Windows 8.1 and below.
UPDATE (January 24): Users who have enabled auto-update for the Flash Player desktop runtime will be receiving version 16.0.0.296 beginning on January 24. This version includes a fix for CVE-2015-0311. Adobe expects to have an update available for manual download during the week of January 26, and we are working with our distribution partners to make the update available in Google Chrome and Internet Explorer 10 and 11. For more information on updating Flash Player please refer to this post.
Affected software versions
Adobe Flash Player 16.0.0.287 and earlier versions for Windows and Macintosh
Adobe Flash Player 13.0.0.262 and earlier 13.x versions
Adobe Flash Player 11.2.202.438 and earlier versions for Linux
To verify the version of Adobe Flash Player installed on your system, access the About Flash Player page, or right-click on content running in Flash Player and select "About Adobe (or Macromedia) Flash Player" from the menu. If you use multiple browsers, perform the check for each browser you have installed on your system.
Severity ratings
Adobe categorizes this as a critical vulnerability.
Revisions
January 24, 2015: Updated to include Flash Player version delivered via auto-update.
January 24, 2015: Updated to reflect reports that Windows 8.1 is also affected by CVE-2015-0311.
-
Les informations les plus utiles sur CTB-locker - http://www.bleepingcomputer.com/virus-removal/ctb-locker-ransomware-information (http://www.bleepingcomputer.com/virus-removal/ctb-locker-ransomware-information)
pas utiles - http://soft2secure.com/knowledgebase/ctb-locker (http://soft2secure.com/knowledgebase/ctb-locker)
-
Les informations les plus utiles sur CTB-locker - http://www.bleepingcomputer.com/virus-removal/ctb-locker-ransomware-information (http://www.bleepingcomputer.com/virus-removal/ctb-locker-ransomware-information)
pas utiles - http://soft2secure.com/knowledgebase/ctb-locker (http://soft2secure.com/knowledgebase/ctb-locker)
De los expertos del foro quien puede comprobar esto? me da curiosas que quien hizo el comentario parece que se registro solo para publicar esto
-
Justo ayer tuvimos problemas con este Cryptolocker es un virus secuestrador que infecta Windows XP, Vista, 7 y 8. Se disfraza a sí mismo como un archivo adjunto de tipo ZIP o PDF, aunque también se transmite por control remoto si un PC ha sido infectado previamente por un troyano de tipo “botnet”, que deja abierta la puerta para control remoto e infecciones externas.
Y use las herramientas señaladas en este link para Eliminar y recuperar los archivos encriptados, les comento que se rescataron con una fecha anterior respaldada por el Mismo Sistema Operativo
http://articulos.softonic.com/como-derrotar-a-cryptolocker-el-virus-que-secuestra-tus-documentos
Ayer solo lo logre resolver en una pc, ahora trabajare en la otra, ya que fueron dos usuarios descuidados que abrieron correos de desconocidos con archivos adjuntos.
http://www.bleepingcomputer.com/virus-removal/ctb-locker-ransomware-information <---- De este link las herramientas otulizadas fueron cryptoprevent, shadow Explorer
tambien utilice Combofix que tambien se descarga de Bleeping Computer, Utilize el malwarebyte tambien
y la info es casi igual al link de arriba :thumbsup:
-
Justo ayer tuvimos problemas con este Cryptolocker es un virus secuestrador que infecta Windows XP, Vista, 7 y 8. Se disfraza a sí mismo como un archivo adjunto de tipo ZIP o PDF, aunque también se transmite por control remoto si un PC ha sido infectado previamente por un troyano de tipo “botnet”, que deja abierta la puerta para control remoto e infecciones externas.
Y use las herramientas señaladas en este link para Eliminar y recuperar los archivos encriptados, les comento que se rescataron con una fecha anterior respaldada por el Mismo Sistema Operativo
http://articulos.softonic.com/como-derrotar-a-cryptolocker-el-virus-que-secuestra-tus-documentos
Ayer solo lo logre resolver en una pc, ahora trabajare en la otra, ya que fueron dos usuarios descuidados que abrieron correos de desconocidos con archivos adjuntos.
http://www.bleepingcomputer.com/virus-removal/ctb-locker-ransomware-information <---- De este link las herramientas otulizadas fueron cryptoprevent, shadow Explorer
tambien utilice Combofix que tambien se descarga de Bleeping Computer, Utilize el malwarebyte tambien
y la info es casi igual al link de arriba :thumbsup:
Que el OP pruebe y nos cuente :shock:
-
¿Está su equipo se infecta con el virus peligroso tales como CTB Locker entonces, hay que ir rápido para su solución de extracción .....
Para obtener más información, visite este varillaje- http://desinstalar.uninstallvirusmalware.com/recovertgdxr-pnghtmltxt-rsa4096-herramienta-de-eliminacion-de-desinstalar-recovertgdxr-pnghtmltxt-rsa4096 (http://desinstalar.uninstallvirusmalware.com/recovertgdxr-pnghtmltxt-rsa4096-herramienta-de-eliminacion-de-desinstalar-recovertgdxr-pnghtmltxt-rsa4096)
-
AAAAhhhh los bots, siempre estarán con nosotros
-
Si usted está teniendo dificultad para eliminar CryptoLocker 2015 por completo del sistema entonces no hay necesidad de pánico. Hace unos días, también se enfrentó a la misma situación, pero me dieron la mejor solución en una página web. También puede seguir las instrucciones si desea evitar que su sistema de problemas no deseados de futuro.
Más información: http://eliminar.removemalwarevirus.com/guia-rapida-para-remocion-cryptolocker-2015 (http://eliminar.removemalwarevirus.com/guia-rapida-para-remocion-cryptolocker-2015)
-
if you want to delete this type of threat easily and successfully from your infected PC then, you should visit this url- http://www.keepkingsportbeautiful.org/como-quitar-petya-ransomware-como-desinstalar-petya-ransomware (http://www.keepkingsportbeautiful.org/como-quitar-petya-ransomware-como-desinstalar-petya-ransomware)
-
Cryptolocker vuelve a atacar a los usuarios españoles - http://cso.computerworld.es/tendencias/se-duplica-el-numero-de-ataques-de-ransomware-en-la-segunda-mitad-de-2016 (http://cso.computerworld.es/tendencias/se-duplica-el-numero-de-ataques-de-ransomware-en-la-segunda-mitad-de-2016)
Guía de información - http://guia-paginas.com/cryptolocker-2017/ (http://guia-paginas.com/cryptolocker-2017/)