Computadora en red infectada con .thor

Cerrado
damianargento
Mensajes: 2
Registrado: 16 Nov 2016, 19:42

Computadora en red infectada con .thor

Mensaje por damianargento » 16 Nov 2016, 19:56

Hola a todos! Tuve un problema con una máquina de una red que manejo, la misma se infectó con un ransomware que renombró todos los archivos de la máquina a *.thor.



El problema quedó solucionado al formatear la máquina (de cualquier manera no había nada aprovechable en la misma), el tema es que también el virus renombró todos los archivos de la carpeta que se encuentra compartida, y he aquí mi miedo. Pasé un antivirus por todas las pc eliminando todos los archivos sospechosos (controlé con AVG y Malwerebytes), y hice un backup de lo más importante. Es posible que quede en algún registro este ransomware y vuelva a atacar en alguna de las otras pc? Hará falta que formatee TODAS las máquinas?



Agradezco desde ya la respuesta, saludos!

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Computadora en red infectada con .thor

Mensaje por msc hotline sat » 17 Nov 2016, 10:01

No, tranquilo, aunque hace muy bien en preguntarlo.



El Ransomware THOR es un derivado del LOCKY, que una vez cifrados los ficheros de datos que encuentre en carpetas o unidades compartidas, se autoinmola, desapareciendo el EXE , y la DLL, al estar en TEMP, con el ELISTARA se elimina al eliminar dicha carpeta, si bien esta DLL tampoco haría nada automáticamente, solo manualmente, con el REGSERV, se podría lanzar, pero de momento ello no está implementado y, en el registro, de momento, no hay trazas de ello.



Además, ningún ransomware conocido infecta a dichas unidades compartidas, solo las afecta, cifrando los ficheros de datos, por lo que conviene no tener conectada permanentemente la unidad de backup, para que no resulte afectada en el caso de sufrir un ataque de cualquiera de ellos, y recordar que este THOR ha llegado probablemente anexado a un mail, en un fichero contenido en un ZIP, y[b] una vez mas se recuerda que no deben ejecutarse ficheros anexados a mails no solicitados[/b], aunque un despiste lo tiene cualquiera...



Tener en cuenta que otros ransomware, como el tristemente famoso Cryptolocker, (el de los falsos mails de Correos o de ENDESA), quedan vivos después del cifrado a los ficheros de datos, y que una vez se reinicia, prosigue el cifrado, por lo que, antes de restaurar la COPIA de SEGURIDAD deben eliminarse los restos del virus en el ordenador en el que se haya ejecutado, pues como hemos dicho no se propaga a las demás unidades, aunque hayan resultado afectadas. Se recomienda lanzar el ELISTARA en el ordenador que se haya ejecutado el fichero anexado al mail recibido, y si no se sabe cual ha sido, disponemos de una utilidad muy rápida llamada CLRANSOM.EXE que está hecha para pasarla a todos los ordenadores sospechosos y asi descubrir el culpable, en el cual pasar el indicado ELISTARA.EXE



Esperando que lo indicado le sea de utilidad, y habiéndome extendido para que lo puedan aprovechar los demás interesados al respecto, reciba saludos



ms, 17-11-2016

damianargento
Mensajes: 2
Registrado: 16 Nov 2016, 19:42

Re: Computadora en red infectada con .thor

Mensaje por damianargento » 17 Nov 2016, 18:48

Hola! Muchas gracias por su respuesta!



Entonces me quedo más tranquilo, formatear las 5 máquinas me hubiese dado muchísimo trabajo. Si tengo otra consulta se donde encontrarlos.



Saludos!

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Computadora en red infectada con .thor

Mensaje por msc hotline sat » 18 Nov 2016, 07:03

Pues lo celebramos, y mucho cuidado en el periodo Navideño, que hay muchos phishing y demas argucias con las que los cibercriminales intentan fastidiarnos estas entrañables fechas.



http://www.zonavirus.com/noticias/2016/precauciones-a-tener-en-cuenta-ante-el-buen-fin-del-periodo-navideno.asp



Y dando el Tema por solucionado, procedemos a cerrarlo



saludos



ms, 18-11-2016

Cerrado

Volver a “Foro Virus - Cuentanos tu problema”