Virus encripta imagenes y videos (TERMINADO)

[thefla]

Hola Saludos a todos. Resulta que ingreso un virus ala PC el Cryptolocker o "Virus de la Policia" no se como se llame . de tal manera que todos los archivos jpg y videos no los puedo ver y abrir. Y en todas la carpetas hay un link que me lleva a una pagina en donde me dice que por un monto me da el codigo para desencryptar. El virus lo elimine totalmente con el ELISTARA y a pesar de eso..los archivos siguen bloqueados... Hay alguna manera de que recupere las imagenes y videos . Saludos

[msc hotline sat]

El Cryptolocker es el virus de moda... (no es el de "la Policia", casi ya exteinguido)



Tal y como verás en muchas de las noticias del Foro, cada día hay nuevas variantes que codifican a su manera los ficheros de datos, primero lo hacian con un RSA 2048, hara con un XOR de 2 Mb, y aunque hay algunas utilidades que pueden decodificar algunas de las variantes, para la mayoria de ellas es necesario disponer de la copia de seguridad. o secundar los interesas del hacker, lo cual no es recomendable, pero...



Veras que si se usa Windows Vista, 7 u 8, cabe la posibilidad de recurrir a las copias del Shadow Copy, no existente en XP, pero en los servidores, si es el caso, aunque exista ¡, no esta activada por defecto.



Si es el caso de estaciones de trabajo con dichos sistemas, y el virus no ha borrado las copias del Shadow Copy, pulsando boton derecho del mouse y escogiendo PROPIEDADES, ofrecen recuperar las versiones anteriores. Si es asi, hay una utilidad que se llama SHADOW EXPLORER de la cual ofreciamos enlace, que lo puede hacer por carpetas, mas comodo que fichero a fichero



Con el Buscador del foro, busca Bleepin para encontrar los enlaces a los decodificadores y Shadow Explorer para el enlace a dicha utilidad.



Luego lo hago y te pongo a continuacion dichos enlaces



saludos



ms, 19-1-2015



________________





PD:



Ahi tienes:





https://foros.zonavirus.com/viewtopic.php?f=12&t=55139&p=212522&hilit=bleeping#p212522











y lo del shadow explorer está en noticia del 23-3-2014 y reza:





"Y para ello puede probarse el SHADOWEXPLORER.EXE, que puede descargarse de http://www.shadowexplorer.com/downloads.html



" Information about ShadowExplorer, a free replacement for the Previous Versions feature of Microsoft Windows® VistaTM / 7 / 8. and it seems to work* on Windows Server 2003/2008/2008 R2 aswell. It is shown how you can restore lost or damaged files from Shadow Copies. However, this is by no means a replacement for traditional backups!"





saludos



ms, 19-1-2015

[thefla]

Al primer enlace con la primera utilidad ..me sale que no estoy autorizado a leer este foro .. :(.

Y si hay los pasos como proceder con estas herramientas a decodifcar los archivos jpg u otro.. La Maquina es una PC personal. Muchas gracias

[msc hotline sat]

Si, el enlace indicado era el de edicion de la Noticia, y solo lo vemos los moderadores y administradores. Sorry !



Mira con este otro: http://www.zonavirus.com/noticias/2014/parece-que-los-ficheros-de-mas-de-25-mb-cifrados-por-el-cryptolockertorrent-pueden-ser-descifrados.asp



Y en el enlace de Bleeping Computer podras ver como usar la utilidad.



Espero que te sirva.



Saludos



ms, 22-1-2015

[thefla]

Gracias por la respuesta, ya puedo la noticia y dicha utilidad aunque cuesta un poco entenderla como usarla..bueno vamos a ver como nos va... En cuanto al Shadow Explorer..cual es su funcion de utilidad?? y que quisiste decir con esta frase "y lo del shadow explorer está en noticia del 23-3-2014 y reza" ... :shock: y que son las Shadow Copy?? ..Gracias

[msc hotline sat]

El Shadow Copy es de Microsoft, y lo integran los actuales sistemas operativos, si bien en los de los servidores no está activo, mientras que en Windows 7, Vista y 8 ya está activada por defecto.



Y el Shadow Explorer es una herramienta de terceros que facilita la restauración de ficheros guardados por el Shadow Copy de manera que no haga falta restaurar fichero a fichero.



Pero hay que ver que aun tengas estas copias, ya que alguna de las variantes de los Crypto... las eliminan para obligar a pagar el rescate !



Suerte !





saludos



ms, 23-1-2015

[thefla]

Ah ok ..todo entendido.. Muchas gracias y a cruzar los dedos.

[thefla]

Ah ok ..todo entendido.. Muchas gracias y a cruzar los dedos.

[msc hotline sat]

Pues que tengas mucha suerte, y si necesitas saber algo mas, ya sabes donde estamos.



Saludos



ms, 26-1-2015

[thefla]

Hola Saludos .. le informo lo siguiente:

Al darle propiedades alos archivos jpg encriptados , veo que ninguna tiene en "Versiones anteriores" alguna para restaurar , por lo cual la utilidad de Shadow explorer no me fue util. Descargue la herramienta de bleeping Computer llamado Torrentlocker y lei los pasos de como usarlo y veo que dicha utilidad en sus capturas tiene 3 funciones :

1.Key Generation

2.Test Key

3.File decryption.

Tanto en las capturas como en la descripcion del uso de esta herramienta, hace indicar que use la funcion "File decryction" para estos casos. lamentablemente la utilidad que ofrece para descargar al ejecutarlo .. solo esta activada la primera funcion en mencion, mas no las otras 2 :( , tal parece que dicha utilidad es shareware. Y sin eso no puedo descrifar los archivos. hay alguna posibilidad de que esta herramienta tenga activa las 3 funciones? Ya que sin esto ya no habria alguna posibilidad de recuperacion y en la PC tengo carpetas varias llenas de fotos.. :( . Muchas gracias

[msc hotline sat]

Cuando ya hace tiempo probamos la utilidad de Bleeping Computer , enviando un JPG cifrado y el mismo fichero original, de mas de 2 MB, nos enviaron la utilidad que servia para aquel fichero y algun otro del mismo ordenador, pero no de todos.



Aparte, hay cientos de variantes de Cryptolocker y cada una tiene su historia. Ademas, el cifrado asimetrico usando RSA2048 equiere la clave privada que se queda el hacker, y con solo la publica del usuario poco de puede hacer...



Y sobre lo del Shadow Copy, sabiamos que el Cryptowall, por ejemplo, elimina las copias del ordenador infectado hechas por dicho Shadow Copy, y ello pueden hacerlo cualquier las las nuevas variantes que van apareciendo de las familias de los Crypto...



Siento no poderte ayudar mas, pero es un mal bicho que lo mejor es evitarlo, y recuerda a tus clientes lo importante que es tener copia de seguridad, pues con estos hackers son gamberros pero no tontos, y cada dia usan tretas novedosas para hacer picar a la gente, como ahora el uso de ficheros .CAB en los ultimos CTB-LOCKER, o los recientes downloaders de crypto... en las macros de documentos de word, etc...



Sobre todo ten presente nuestras recomendaciones:


[quote="msc"]


[b]SE RECUERDA UNA VEZ MAS:



"no deben ejecutarse ficheros anexados a mails no solicitados, ni pulsar en sus links ni en imagenes de los mismos, y NUNCA rellenar datos particulares que se pidan por e-mail, especialmente contraseñas de correo o de cuentas bancarias."



Y mantener al día y fuera del acceso compartido, una copia de seguridad incremental de los datos.



y para los nuevas variantes de virus que mcafee controla heuristicamente, configurar a nivel MUY ALTO la sensibilidad heuristica en la Consola de Virusscan, tanto a nivel de RESIDENTE A TIEMPO REAL como el de escaneador en EXPLORACION COMPLETA -> RENDIMIENTO



-Y no olvidar que para la deteccion heuristica del VirusScan, el ordenador debe estar conectado a Internet-





y conviene tener presente la posibilidad de filtrar por extensiones los adjuntos a los mails, con las soluciones perimetrales, controlando extensiones .SCR, EXE, PIF, CPL, etc , teniendo marcada la opcion de examinar incluso dentro de ficheros empaquetados (CAB, ZIP, RAR, etc), y asi impedir que los usuarios reciban dichos ficheros ejecutables contenidos en los anexados de los mails. [/b]


[/quote]

saludos



ms, 3-2-2015

[thefla]

Es una lastima, no hayga la forma de recuperar esa informacion, a menos de negociar con el hacker que como dijiste no es recomendable, bueno tambien pienso lo mismo.. en lo personal las recomendaciones las tengo bien claras... lastima que personas de poca experiencia en internet son las que provocan esto. Bueno al menos a todos mis clientes siempre les aconsejo hagan su backup cada cierto tiempo y mas si trabajan con informacion valiosa, pero algunos lo hacen y otros no... Bueno solo queda seguir dando las recomendaciones del caso..ya que por ahora esto no tiene marcha. Muchas gracias por su asistencia y esperemos alguna noticia mas adelante.

[msc hotline sat]

Solo añadir que actualmente esta muy en boga la variante CTB-LOCKER, como habras visto en nuestras noticias, el cual como otros ransomware de este tipo (CRYPTOWALL, CRYPTORBIT, CRYPTORDEFENSE, etc,) son derivados del Cryptolocker que te ha afectado, y que ahora usan empaquetados .CAB, pero el resultado es el mismo, el cifrado de todos los ficheros de datos de los dispositivos a los que tenga acceso el ordenador que se infecta.



Si el usuario usa el sentido comun, en general evitará infectarse, pero ya dicen que dicho sentido es el menos comun de los sentidos... :cry:



saludos y hasta otra infeccion, Thefla ! [img]http://faccine.forumfree.net/emoticon_cincin.gif[/img]





ms, 4-2-2015

RPERLIM