Hola, me ha entrado el virus ESPORA RAMSOMWARE. Qué puedo hacer para eliminarlo y recuperar los archivos encriptados???
Gracias
virus ESPORA RAMSOMWARE
- msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: virus ESPORA RAMSOMWARE
user : (ONO-CAD)
Aqui tienes toda la información que pides:
https://blog.satinfo.es/2017/nueva-variante-de-ransomware-spora-y-descifrado-mediante-shadow-copy-shadow-explorer/
Si quieres mira en el enlace que se ofrece al final de dicha noticia para ampliar información.
saludos
ms, 4-5-2017
Aqui tienes toda la información que pides:
Si quieres mira en el enlace que se ofrece al final de dicha noticia para ampliar información.
saludos
ms, 4-5-2017
msc hotline sat Virus Research Engineer
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Re: virus ESPORA RAMSOMWARE
Pero ¿cómo quito el virus del ordenador?
- msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: virus ESPORA RAMSOMWARE
Pues como se indica en
https://blog.satinfo.es/2017/nueva-variante-de-ransomware-spora-y-descifrado-mediante-shadow-copy-shadow-explorer/
prueba el ELISTARA, a ver si conoce la variante que te ha afectado.
De lo contrario añade .VIR al fichero que lanza cualquiera de los links que ha creado de cada carpeta y envianoslo para analizar y controlar en las siguientes versiones del ELISTARA
[b]COMENTARIOS PARA MAS AYUDA:[/b]
Como habrás visto en los informes al respecto, este ransomware crea links al fichero malware con el nombre de cada una de las carpetas, para que se lance el virus cada vez que el usuario pulse sobre dichas "carpetas", que no serán las iniciales sino enlaces al malware.
[b][i]"Oculta las Carpetas del Root de cada unidad mapeada y genera links con el mismo nombre apuntando al malware, que será ejecutado si no se eliminan dichos enlaces o se elimina el malware propiamente dicho.
De igual forma, aunque dicho virus no se relanza automáticamente en cada reinicio, seguirá en el link de acceso a las carpetas compartidas del ordenador, ejecutandose cada vez que se quiera acceder a una de dichas carpetas hasta que sea eliminado totalmente, LO CUAL DEBE SER TENIDO MUY EN CUENTA
Un ejemplo del enlace malicioso creado a raiz de una carpeta del pendrive que hemos llamado 123, que ejecuta el malware al pretender acceder a dicha carpeta que ha ocultado previamente, es el siguiente:
X:\Windows\system32\cmd.exe /c start explorer.exe "123" & type "f7cf778013502493.exe" > "%temp%\f7cf778013502493.exe" && "%temp%\f7cf778013502493.exe"
[/i] [/b]
En el que el fichero f7cf778013502493.exe es el nombre aleatorio del virus que infectará el ordenador cuando se ejecute el acceso a la supuesta carpeta 123 (QUE REALMENTE ES UN LINK AL MALWARE)"
Igual que en el ejemplo el nombre variable del malware es f7cf778013502493.exe, el que apunte similar ruta de tu ordenador es el que debes añadir .VIR y enviarnos para analizar
y sobre la restauración de los ficheros cifrados, ya que este ransomware no borra los shadowcopy, sigue lo indicado en
[b][i]"Otra cosa que hemos comprobado es que mantiene las copias del ShadowCopy, siempre y cuando el sistema operativo utilizado tenga activada dicha acción, por ejemplo en Windows Vista, 7 y 8 , pero no asi en servidores Windows Server ni en Windows 10, pues aunque existe dicha función, no está activada por defecto, pero si es el caso de tener documentos cifrados en equipos con Windows 7 por ejemplo, es posible su recuperación empleando una copia anterior hecha por el ShadowCopy, para lo cual puede usarse el ShadowExplorer:
https://www.smythsys.es/6561/shadow-explorer-busca-versiones-de-los-ficheros-en-las-shadow-copies/ "
[/i] [/b]
Esperamos que te sirva. Y si es el caso de que se trate de una nueva variante aun no controlada, cuando recibamos el fichero pedido, te será mas fácil su eliminación porque lo hará automaticamente el ELISTARA que hagamos al respecto.
saludos
ms, 5-5-2017
prueba el ELISTARA, a ver si conoce la variante que te ha afectado.
De lo contrario añade .VIR al fichero que lanza cualquiera de los links que ha creado de cada carpeta y envianoslo para analizar y controlar en las siguientes versiones del ELISTARA
Como habrás visto en los informes al respecto, este ransomware crea links al fichero malware con el nombre de cada una de las carpetas, para que se lance el virus cada vez que el usuario pulse sobre dichas "carpetas", que no serán las iniciales sino enlaces al malware.
De igual forma, aunque dicho virus no se relanza automáticamente en cada reinicio, seguirá en el link de acceso a las carpetas compartidas del ordenador, ejecutandose cada vez que se quiera acceder a una de dichas carpetas hasta que sea eliminado totalmente, LO CUAL DEBE SER TENIDO MUY EN CUENTA
Un ejemplo del enlace malicioso creado a raiz de una carpeta del pendrive que hemos llamado 123, que ejecuta el malware al pretender acceder a dicha carpeta que ha ocultado previamente, es el siguiente:
X:\Windows\system32\cmd.exe /c start explorer.exe "123" & type "f7cf778013502493.exe" > "%temp%\f7cf778013502493.exe" && "%temp%\f7cf778013502493.exe"
En el que el fichero f7cf778013502493.exe es el nombre aleatorio del virus que infectará el ordenador cuando se ejecute el acceso a la supuesta carpeta 123 (QUE REALMENTE ES UN LINK AL MALWARE)"
Igual que en el ejemplo el nombre variable del malware es f7cf778013502493.exe, el que apunte similar ruta de tu ordenador es el que debes añadir .VIR y enviarnos para analizar
y sobre la restauración de los ficheros cifrados, ya que este ransomware no borra los shadowcopy, sigue lo indicado en
Esperamos que te sirva. Y si es el caso de que se trate de una nueva variante aun no controlada, cuando recibamos el fichero pedido, te será mas fácil su eliminación porque lo hará automaticamente el ELISTARA que hagamos al respecto.
saludos
ms, 5-5-2017
msc hotline sat Virus Research Engineer
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online