Ransomware, el virus que cifra tus Archivos !!!!

[HealH]

terminaba bajando un archivo .xls
tengo entendido que varios archivos de office le meten "macros" que al abrirlo se ejecutan, pero tan pelados son que podrian llegar a meter codigo que cifre carpetas o seran para otros fines? 

con respecto a esto, los archivos de office cuando son bajados de Internet se abren en modo lectura, esto no detiene algún código malicioso o virus?

[ELITE]

donde trabajo cayo un mensaje del "ministerio de hacienda" (con @mh.gob.sv), que segun el folio no se que habia no se que deuda bla bla bla
descarga el archivo para mas detalles y salia el texto de wetransfer.com/blalalalalalala?xd pero al colocar el puntero encima salia otra direccion y practicamente terminaba bajando un archivo .xls

tengo entendido que varios archivos de office le meten "macros" que al abrirlo se ejecutan, pero tan pelados son que podrian llegar a meter codigo que cifre carpetas o seran para otros fines? 

Justo hoy a una usuario le callo un correo del MH y lo mandaba a una dirección con extencion.xls 

Lo chivo que la señora fue buza y me aviso, si no quien sabe que habría ocurrido 

Con referente a la ultima pregunta, no se si sean tan pelados de hacer RW aca en ES

[therude92]

con respecto a esto, los archivos de office cuando son bajados de Internet se abren en modo lectura, esto no detiene algún código malicioso o virus?

realmente no se y lo habia olvidado por completo.
supongo que si la gente ha llegado al punto de descargar el archivo, dentro del archivo diria algo tipo "desabilita edicion" o algo que practicamente obligue al usuario a quitar el modo lectura y ahi se ejecute.

Con referente a la ultima pregunta, no se si sean tan pelados de hacer RW aca en ES

la mara no mas encuentra un codigo lo copia y pega donde sea 

[allandj]

donde trabajo cayo un mensaje del "ministerio de hacienda" (con @mh.gob.sv), que segun el folio no se que habia no se que deuda bla bla bla
descarga el archivo para mas detalles y salia el texto de wetransfer.com/blalalalalalala?xd pero al colocar el puntero encima salia otra direccion y practicamente terminaba bajando un archivo .xls

tengo entendido que varios archivos de office le meten "macros" que al abrirlo se ejecutan, pero tan pelados son que podrian llegar a meter codigo que cifre carpetas o seran para otros fines? 

Fijate que precisamente así se infectaron aquí en la oficina. En efecto Office con los archivos descargados te pone el modo "solo lectura" pero en ese momento no te muestra absolutamente nada, por lo que le das "Habilitar Edición" y ahi activás la macros maliciosa que trae ese archivo de Office.

[HealH]

Fijate que precisamente así se infectaron aquí en la oficina. En efecto Office con los archivos descargados te pone el modo "solo lectura" pero en ese momento no te muestra absolutamente nada, por lo que le das "Habilitar Edición" y ahi activás la macros maliciosa que trae ese archivo de Office.

ahí creo que va el problema porque un archivo de office de solo lectura lo único que el usuario nota es que no se puede editar sino que solo leer, desde el momento que no te muestra nada es señal de peligro

[spielmaster]

acá en la oficina trajeron un disco duro infectado , los técnicos leyendo vieron en un foro ,probaron hacer lo siguiente :

Formatear el disco
Usar un programa de recuperación de archivos borrados

Han logrado recuperar una parte de la información ya , al parecer cuando formatearon el disco los archivos al recuperarlos ya no aparecían cifrados.

[allandj]

acá en la oficina trajeron un disco duro infectado , los técnicos leyendo vieron en un foro ,probaron hacer lo siguiente :

Formatear el disco
Usar un programa de recuperación de archivos borrados

Han logrado recuperar una parte de la información ya , al parecer cuando formatearon el disco los archivos al recuperarlos ya no aparecían cifrados.

Con cuál RW se habían infectado? imagino que algunos han de ser mas fáciles de descifrar.

[spielmaster]

Con cuál RW se habían infectado? imagino que algunos han de ser mas fáciles de descifrar.

Locky
Cerber Ransomware

[Charlie]

acá en la oficina trajeron un disco duro infectado , los técnicos leyendo vieron en un foro ,probaron hacer lo siguiente :

Formatear el disco
Usar un programa de recuperación de archivos borrados

Han logrado recuperar una parte de la información ya , al parecer cuando formatearon el disco los archivos al recuperarlos ya no aparecían cifrados.

No creo que sea eso.

En primer lugar es de aclarar que hicieron un formateo rapido hay que aclararlo porque si alguien aca le hace un formateo completo puede irse despidiendo de su información para siempre.

Segundo, lo que debe haber pasado es que el ransomware luego de crear una copia encriptada que deja visible elimina el archivo original, si para esta eliminacion no hace un borrado seguro es muy probable que la informacion siga ahi y pueda ser recuperada con una herramienta de recuperacion de datos.

Igual se puede poner el disco infectado como esclavo en otra PC si se teme que haya infección se puede usar un OS no windows, o sino se puede probar lo del formateo o simplemente eliminando las particiones del disco y luego proceder con la herramienta de recuperación.

[BOANERGEMAC]

cuando entenderán la personas normales y las personas en las empresas que los archivos importantes deben ser respaldados ,es increíble que a estas alturas la mayoría no tenga respaldo de archivos importantes en ningún lado ,y luego le hechan la culpa a los informáticos por no poder recuperar datos en los casos antes mencionados

[HealH]

cuando entenderán la personas normales y las personas en las empresas que los archivos importantes deben ser respaldados ,es increíble que a estas alturas la mayoría no tenga respaldo de archivos importantes en ningún lado ,y luego le hechan la culpa a los informáticos por no poder recuperar datos en los casos antes mencionados

Le hago barra a este comentario. Personalmente tengo mis cosas importantes en la nube donde se que nunca se perderán
ahora con tantas cuentas gratuitas para almacenar información de forma segura es un pecado perder datos

Este habito me comenzó desde la ultima vez que se me arruino el HDD donde tenia todo, toda la info recopilada de mi vida, desde ese momento volví a nacer :'v

[therude92]

Kevin Mitnick otro nivel
https://www.youtube.com/watch?v=C-dBMZc89ic

[Space_09]

Buenas Tardes.
Les comento que tengo un caso de este tipo no se si alguien se ha topado con algo parecido a mi problema. Resulta que un usuario maneja documentos en excel con algunos registros que frecuentemente se consulta. Para esto se habilito un espacio en un servidor compartido donde se les hace incapie en que los archivos se almacenen alli ya que de ese se mantiene un respaldo.

Ahora bien los usuarios piensan que las advertencias no son por alguna razón especifica y resulta que uno de esos archivos no los respaldaron en el servidor. Llego un correo segun el usuario que por curiosidad lo abrio y todos los archivos de esa pc se han cifrado y convertido en extension .osiris
La pregunta del millon es la siguiente. es posible desencriptar esos archivos?

De antemano muchas gracias.

[XtremeH]

Buenas Tardes.
Les comento que tengo un caso de este tipo no se si alguien se ha topado con algo parecido a mi problema. Resulta que un usuario maneja documentos en excel con algunos registros que frecuentemente se consulta. Para esto se habilito un espacio en un servidor compartido donde se les hace incapie en que los archivos se almacenen alli ya que de ese se mantiene un respaldo.

Ahora bien los usuarios piensan que las advertencias no son por alguna razón especifica y resulta que uno de esos archivos no los respaldaron en el servidor. Llego un correo segun el usuario que por curiosidad lo abrio y todos los archivos de esa pc se han cifrado y convertido en extension .osiris
La pregunta del millon es la siguiente. es posible desencriptar esos archivos?

De antemano muchas gracias.

Si no tenes copias de respaldo, lamentablemente esta extensión si no tiene (Hasta hoy) forma de desencriptarse. Más información en este enlace:
https://www.bleepingcomputer.com/news/security/locky-ransomware-switches-to-egyptian-mythology-with-the-osiris-extension/

[Space_09]

Si no tenes copias de respaldo, lamentablemente esta extensión si no tiene (Hasta hoy) forma de desencriptarse. Más información en este enlace:
https://www.bleepingcomputer.com/news/security/locky-ransomware-switches-to-egyptian-mythology-with-the-osiris-extension/

Gracias por responder... tenia la leve esperanza que hubiera algun metodo para desencryptarlos...