Virus variante RSA2048

[Gerardo Lizcano]

hola saludos



tengo un una computador infectada con una variante del RSA-2048 me encripto todos los documentos .doc, xls y jpg



en todas partes aprece en archivo de texto HELP_RESTORE_FILE.TXT



agrego en todos los archivos la extención .ECC



ALGUIEN TIENE UNA SOLUCION PARA RECUPERAR INFORMACION

[msc hotline sat]

Si ha añadido la extension .ECC a los ficheros cifrados, es que se trata del ransomware TESLACRYPT, para el que hoy hemos posteado una posible utilidad de descifrado



https://foros.zonavirus.com/viewtopic.php?f=12&t=56341



Pruebala y nos comentas como te ha ido



Saludos



ms, 28-4-2015

[Gerardo Lizcano]

Gracias por su atención y probare las utilerias

[msc hotline sat]

Hagalo ya que ha tenido suerte, pero no juegue con ella, otros ransomwares parientes de este TESLACRYPT como son el Cryptolocker o el CTBLOCKER no los hubiera podido decodificar mas que pagando al hacker, asi que mucho cuidado otra vez, recuerde que no debe ejecutar ficheros ni links de mails que no haya solicitado !!!



Y esperamos sus comentarios sobre la decodificacion en cuestion.



saludos



ms, 29-4-2015

[Gerardo Lizcano]

utilice las herrramientas que me recomendaron y no funciono ninguna



TESLACRYPT no pude encontrar el archivo key.dat y EliStarA no detectaron nada

[msc hotline sat]

El fichero Key.dat lo crea el virus en el ordenador en el que se ejecuto el virus. Posiblemente no fue el caso en el ordenador que esta mirando, el cual resulto afectado con la codificacion de ficheros debido a estar en Red con el infectado, pero el virus no se propaga por la red, en la cual han resultado afectados con la codificacion de los ficheros de datos, pero no infectados con el ransomware en cuestion.



Indague cual es el ordenador que se infecto por la ejecucion del malware, y a este pasele el actual ELISTARA 32.19 , y si aun no detecta la variante que nos ocupa, lance el SPROCES en dicho ordenador y pulse en SALIR, tras lo cual generara el fichero c:/SPROCLOG.TXT, abralo con el bloc de notas y posteenoslo en su proximo post de respuesta a te Tema, con un COPIAR Y PEGAR de su contenido.



Tras analizarlo, le indicaremos como proceder para eliminar dicha variante.



Nota: No se olvide postearnos tambien el contenido de C:/INFOSAT.TXT que habra generado el ELISTARA.





Saludos



ms, 30-4-2015

[msc hotline sat]

Puede obtener mas informacion sobre la ubicacion del key.dat, con la opcion /keyfile , aparte de otras opciones que contempla la utilidad TeslaDecrypt.exe indicada (no Teslacrypt que vd indica, supongo que por error de escritura)



Ver la siguiente ayuda de dicho programa :


[quote]


Here is the list of command line options:



/help – Show the help message

/key – Manually specify the master key for the decryption (32 bytes/64 digits)

/keyfile – Specify the path of the “key.dat” file used to recover the master key.

/file – Decrypt an encrypted file

/dir – Decrypt all the “.ecc” files in the target directory and its subdirs

/scanEntirePc – Decrypt “.ecc” files on the entire computer

/KeepOriginal – Keep the original file(s) in the encryption process

/deleteTeslaCrypt – Automatically kill and delete the TeslaCrypt dropper (if found active in the target system)


[/quote]

saludos



ms, 1-5-2015