VIRUS QUE AGREGA OTRA EXTENSION

[ingeinantra]

hola trabajo en una empresa y cuando llegue encontre que varios equipos tienen un virus que a todos los archivos al final les agrega la extension fgirfrck. por ejemplo libro1.xls y lo vuelve libro1.xls.fgirfrck , al darle doble click se ejecuta mas el virus y no muestra nada del documento, si quitamos la extension fgirfrck. y lo dejamos como es el archivo recobra su apariencia o su imagen y uno cree que el archivo se arreglo pero al darle doble clic dice que el archivo no se puede leer por que esta dañado. si alguien sabe de como solucionar este lio agradezco me ayude.

[msc hotline sat]

Lo que nos indica es lo tipico de un cifrado por algun Ransomware, que desde un ordenador en el que se ha ejecutado un fichero infectado por uno de estos virus, codifica todos los ficheros de datos, como .DOC, .XLS, .JPG, etc de todos los ordenadores a los cuales se tiene acceso dede la maquina infectada.



El que la extension sea con letras aleatorias descarta que haya sido el conocido CRYPTOLOCKER, que siempre añade .ENCRYPTED a la extension de los ficheros que codifics, u otros como los que se indican en esta lista al efecto :



http://www.satinfo.es/blog/2015/61038/



Lo primero es ver si hay una pantalla de HOW TO DECRYPT o similar qque indique cual ha sido el malware en cuestion, para obrar en consecuencia, y si no, probar con el ELISTARA en las maquinas a las que esra maquina tuviera accesos compartidos, para detectar y eliminar el indicado ransomware, y solo entonces tratar de restaurar los ficheros de datos afectados, bien con la copia de seguridad, o probando con el SHADOWEXPLORER, pero ante todo es cuestion de localizar y eliminar el causante.



Tras probar el ELISTARA, posteenos en informe resultante que creara en C:/infosat.txt



Saludos



ms, 23-6-2015

[ingeinantra]

utilice dapatodecryptor y xoristdecryptor y nada. que otra cosa puedo hacer ?

[ingeinantra]

encontre un archivo que dice asi. !Decrypt-All-Files-girfrck.txt . y tiene la imagen de un txt. tambien !Decrypt-All-Files-girfrck.bmp con una imagen estilo jpg que se ve con fondo negro titulo en letras rojas y el resto del texto en color blanco, esto lo localice haciendo un scan con malwarebytes persion full. se identifica como CTB-Locker.trace.

agradezco esta informacion les sirva y me puedan guiar para poder reestablecer el sistema.

[msc hotline sat]

Efectivamente, nos sirve de mucho el confirmar que se trata de una infección del CTBLOCKER

Pues como ya te deciamos en el post anterior, descarga el ELISTARA, y en dicho caso arranca en MODO SEGURO el ordenador (pulsando repetidamente F8 y escogiendo dicha opcion), y en dicho modo lanza el ELISTARA y sobre todo acepta, cuando te lo pregunte, ELIMINAR TEMPORALES, pues es lo que acabará con este bicho sea cual sea la variante del CTBLOCKER.

Tras ello, reinicia, y ya podrás restaurar los ficheros cifrados desde la copia de seguridad, y si no la tuvieras, puedes mirar si el SHADOWCOPY (si usas VISTA, W/ o superior) mantiene la copia de seguridad automatica que hace el actual windows, y en tal caso prueba el SHADOWEXPLORER que te los restaurará facil y comodamente.

Para ver si aun tienes las copias hechas por el SHADOCOPY (las cuales desde el CRYPTOWALL las borran algunos ransomwares), elimina la extension añadida a uno de los ficheros cifrados, y pulsa su icono con el Boton derecho, y accede a PROPIEDADES , y mira si ves versiones anteriores de dicho fichero, y en tal caso ALELUYA, podrás acceder a dichas copias y utilizarlas para restaurarlas, para lo cual aconsejamos usar el SHADOWEXPLORER arriba idicado, que puedes descargar segun indicamos en:
http://www.zonavirus.com/noticias/2015/ ... amilia.asp

Suerte !

saludos

ms, 24-6-2015
RUYMONTEV

[ingeinantra]

la cuestión es que hay varios equipos que no encienden ni en modo a prueba de fallos. sabes si hay posibilidad de reparar estos archivos en otra maquina con alguna aplicacion ? software ? o almenos un modo de hacerlo. ?

gracias por tu ayuda.

[msc hotline sat]

En dichos equipos es posible que este codificado el USER.DAT y por ello no puedes arrancar en segun que usuario.



Prueba de hacerlo con otro usuario que haya en dichos equipos, y procede conforme indicaba en mi anterior respuesta.



saludos



ms, 25-6-2015

[ingeinantra]

DESAFORTUNADAMENTE no se pudo, tuvimos que sustraer la informacion para formatear equipos, ahora nos queda buscar una solucion de como desencryptar la informacion en otro equipo que no este contaminado. sistrajimos todo en un disco externo. sabes de alguna herramienta para recuperar esa informacion ???

[msc hotline sat]

Aparte de lo indicado del SHADOWEXPLORER, si es que hay copia de seguridad hecha por el SHADOWCOPY, solo cabe la opcion de recurrir al pago del rescate, lo cual no es recomendable , pero...



saludos



ms, 30-6-2015

[ingeinantra]

esto quiere decir que si no se pudo solucionar el problema en el equipo, pude hacer un backup de la informacion, pero si esta está encryptada no hay solucion para volverla a su estado original con alguna aplicacion o demas. ?? quiere decir que esa informacion lamentablemente se daño ? gracias

[msc hotline sat]

Sin que lo recomendemos, hay la posibilidad de pagar el rescate y asi restaurar la informacion codificada.



Llegados a este punto, la decision es suya...



saludos



ms, 2-7-2015

[ingeinantra]

ok amigo muchas gracias por todo el apoyo y la ayuda. saludos desde bogota-colombia

[msc hotline sat]

Pues dando por terminado el Tema, procedemos a cerrarlo



Y recuerdos para Bogotá, de donde tengo buenos recuerdos de tan bonita ciudad y alrededores, donde he estado un par de veces.



saludos



ms, 3-7-2015