virus ESPORA RAMSOMWARE

Responder
alvaroli
Novato
Novato
Mensajes: 2
Registrado: 04 May 2017, 17:57

virus ESPORA RAMSOMWARE

Mensaje por alvaroli » 04 May 2017, 18:04

Hola, me ha entrado el virus ESPORA RAMSOMWARE. Qué puedo hacer para eliminarlo y recuperar los archivos encriptados???

Gracias

Avatar de Usuario
msc hotline sat
Administrador
Administrador
Mensajes: 89227
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: virus ESPORA RAMSOMWARE

Mensaje por msc hotline sat » 04 May 2017, 21:02

user : (ONO-CAD)

Aqui tienes toda la información que pides:



https://blog.satinfo.es/2017/nueva-variante-de-ransomware-spora-y-descifrado-mediante-shadow-copy-shadow-explorer/



Si quieres mira en el enlace que se ofrece al final de dicha noticia para ampliar información.



saludos



ms, 4-5-2017

alvaroli
Novato
Novato
Mensajes: 2
Registrado: 04 May 2017, 17:57

Re: virus ESPORA RAMSOMWARE

Mensaje por alvaroli » 05 May 2017, 10:15

Pero ¿cómo quito el virus del ordenador?

Avatar de Usuario
msc hotline sat
Administrador
Administrador
Mensajes: 89227
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: virus ESPORA RAMSOMWARE

Mensaje por msc hotline sat » 05 May 2017, 11:05

Pues como se indica en



https://blog.satinfo.es/2017/nueva-variante-de-ransomware-spora-y-descifrado-mediante-shadow-copy-shadow-explorer/



prueba el ELISTARA, a ver si conoce la variante que te ha afectado.



De lo contrario añade .VIR al fichero que lanza cualquiera de los links que ha creado de cada carpeta y envianoslo para analizar y controlar en las siguientes versiones del ELISTARA





[b]COMENTARIOS PARA MAS AYUDA:[/b]



Como habrás visto en los informes al respecto, este ransomware crea links al fichero malware con el nombre de cada una de las carpetas, para que se lance el virus cada vez que el usuario pulse sobre dichas "carpetas", que no serán las iniciales sino enlaces al malware.



[b][i]"Oculta las Carpetas del Root de cada unidad mapeada y genera links con el mismo nombre apuntando al malware, que será ejecutado si no se eliminan dichos enlaces o se elimina el malware propiamente dicho.



De igual forma, aunque dicho virus no se relanza automáticamente en cada reinicio, seguirá en el link de acceso a las carpetas compartidas del ordenador, ejecutandose cada vez que se quiera acceder a una de dichas carpetas hasta que sea eliminado totalmente, LO CUAL DEBE SER TENIDO MUY EN CUENTA



Un ejemplo del enlace malicioso creado a raiz de una carpeta del pendrive que hemos llamado 123, que ejecuta el malware al pretender acceder a dicha carpeta que ha ocultado previamente, es el siguiente:



X:\Windows\system32\cmd.exe /c start explorer.exe "123" & type "f7cf778013502493.exe" > "%temp%\f7cf778013502493.exe" && "%temp%\f7cf778013502493.exe"

[/i]
[/b]




En el que el fichero f7cf778013502493.exe es el nombre aleatorio del virus que infectará el ordenador cuando se ejecute el acceso a la supuesta carpeta 123 (QUE REALMENTE ES UN LINK AL MALWARE)"





Igual que en el ejemplo el nombre variable del malware es f7cf778013502493.exe, el que apunte similar ruta de tu ordenador es el que debes añadir .VIR y enviarnos para analizar





y sobre la restauración de los ficheros cifrados, ya que este ransomware no borra los shadowcopy, sigue lo indicado en





[b][i]"Otra cosa que hemos comprobado es que mantiene las copias del ShadowCopy, siempre y cuando el sistema operativo utilizado tenga activada dicha acción, por ejemplo en Windows Vista, 7 y 8 , pero no asi en servidores Windows Server ni en Windows 10, pues aunque existe dicha función, no está activada por defecto, pero si es el caso de tener documentos cifrados en equipos con Windows 7 por ejemplo, es posible su recuperación empleando una copia anterior hecha por el ShadowCopy, para lo cual puede usarse el ShadowExplorer:



https://www.smythsys.es/6561/shadow-explorer-busca-versiones-de-los-ficheros-en-las-shadow-copies/"

[/i]
[/b]






Esperamos que te sirva. Y si es el caso de que se trate de una nueva variante aun no controlada, cuando recibamos el fichero pedido, te será mas fácil su eliminación porque lo hará automaticamente el ELISTARA que hagamos al respecto.



saludos



ms, 5-5-2017

Responder

Volver a “Foro Virus - Cuentanos tu problema”

¿Quién está conectado?

Usuarios navegando por este Foro: Bing [Bot] y 5 invitados