Hacker ha encriptado mis documentos haciéndolos *.crypt

Responder
anton33
Novato
Novato
Mensajes: 1
Registrado: 07 Jun 2013, 17:26

Hacker ha encriptado mis documentos haciéndolos *.crypt

Mensaje por anton33 » 07 Jun 2013, 18:03

Buen dia a todos(as). hace 3 días me di con la ingrata sorpresa que un hacker habia encriptado mis archivos word,excel, etc. , los vuelve "*.crypt", y me muestra un mensaje WARNING, en el cual me dice que pague por el rescate de 300 usd, y envie correo a DAWNTW44@mail.com. Bueno de favor les pido me ayuden a eliminar este ransomware y recuperar mis documentos, pero que no sea muy caro... jaja. Gracias por respuestas...

Avatar de Usuario
msc hotline sat
Administrador
Administrador
Mensajes: 89226
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Hacker ha encriptado mis documentos haciéndolos *.crypt

Mensaje por msc hotline sat » 07 Jun 2013, 20:45

Posiblemente se trate de una codificación hecha por el malware FAKEDOC alias DORIFEL o XDOCCRYPT

Sugiero veas esta información al respecto:

http://unaaldia.hispasec.com/2012/08/xd ... n-del.html

y aunque a nosotros no nos ha añadido la extensión ".CRYPT" como indicas, prueba el ELIFAKE como decimos en http://www.zonavirus.com/noticias/2013/ ... ar-etc.asp

ELIFAKE.EXE
http://www.zonavirus.com/descargas/elifake.asp

Si quieres, envianos alguno de los ficheros que te "aparque" dicha utilidad y comprobaremos si el VirusScan lo decodifica como lo hacía en las anteriores versiones conocidas.

Para envió de muestras, recordar:

viewtopic.php?f=5&t=45334

saludos

ms, 7-6-2013
RPELIM

Avatar de Usuario
msc hotline sat
Administrador
Administrador
Mensajes: 89226
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Hacker ha encriptado mis documentos haciéndolos *.crypt

Mensaje por msc hotline sat » 10 Jun 2013, 10:33

Analizado el fichero recibido, vemos que está totalmente cifrado sin parte ejecutable, a diferencia del conocido FAKEDOC o Dorifel, el cual es infector ejecutable, y quel McAfee lograba descifrer, al tener dicha parte ejecutable.



En este caso ninguno de los 47 AV del virustotal detecta nada:



SHA256: f109b493a28e8c5fca7954688f5f538f30709cf8ea97bd92469cec3a481c7d30

SHA1: c038a15bb88a1bcf7caa8a59e2c06e6143c2e963

MD5: 104690679ea6814ae9b5be178b145784

Tamaño: 19.5 KB ( 19948 bytes )

Nombre: EXAMEN DE CTA.docx.crypt

Tipo: unknown

Detecciones: 0 / 47

Fecha de análisis: 2013-06-10 07:38:40 UTC ( hace 0 minutos )





Por tanto cabe restaurar los ficheros afectados partiendo de la copia de seguridad y de los que no tuviera copia, si son de extrema necesidad, secundar las peticiones del hacker, pues posiblemente haya utilizado dos claves, una publica y otra privada, lo cual, si es el caso, posiblemente le indique en el TXT (que no nos ha enviado) que le envie muestra de varios ficheros y el fichero que contenía una de las dos claves, para asi descifrarlo con la que se queda el hacker y asi demostrar que puede hacerlo, y que si se paga el rescate, facilitará el sistema de descifrado para los ficheros afectados de este usuario en particular.





Seguramente tiene Vd un txt del hacker donde le dice como tiene que proceder, con un copiar y pegar, posteenoslo en su proximo post de respuesta a este Tema, para saber algo mas del mismo y poder ofrecerle mas ayuda.



saludos



ms, 10-6-2013

RPELIM

Roderxix
Novato
Novato
Mensajes: 1
Registrado: 13 Jun 2013, 21:56

Re: Hacker ha encriptado mis documentos haciéndolos *.crypt

Mensaje por Roderxix » 13 Jun 2013, 22:52

Yo tengo un problema similar por favor ayudenme , disculpenme si estoy infringiendo las reglas del foro, pero la circunstancia apremia.

Les enviare dos archivos un encriptado y el otro no(backup), espero me puedan ayudar, gracias...

Avatar de Usuario
msc hotline sat
Administrador
Administrador
Mensajes: 89226
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Hacker ha encriptado mis documentos haciéndolos *.crypt

Mensaje por msc hotline sat » 14 Jun 2013, 09:36

Pues igual que deciamos al autor del Tema, si le han enviado un .TXT en el que indique que ha de pagar un rescate y demás, posteelo para tratar de saber de qué ransomware se trata, y si no tiene copia de seguridad, segun sea la codificación, vaya pensando si le compensa pagar el rescate segun la información perdida, ya que segun el sistema de codificación que haya usado el hacker, solo él puede ofrecer la decodificación.



saludos



ms, 14-6-2013

RSCSBO

Avatar de Usuario
msc hotline sat
Administrador
Administrador
Mensajes: 89226
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Hacker ha encriptado mis documentos haciéndolos *.crypt

Mensaje por msc hotline sat » 14 Jun 2013, 10:17

El mismo problema se ha detectado en Peru, Bolivia y Tailandia, este ultimo segun https://ict.in.th/53755



Por el momento las soluciones ofrecidas en los foros respectivos no han podido solucionarlo.



Ofrecemos texto del mensaje que en alguno de los casos se ha confirmado que ha aparecido en el ordenador afectado:


[quote] "E-mail de Contacto EE.UU.:. DAWNTW44@mail.com. Número de identificación:. xxxxx del ordenador ha sido hackeado! Todos los archivos con extensiones (* txt * xls * docx * doc * CER * Clave *....... . RTF *. xlsx *. Texto *. ppt *. PDF *. CDX *. CDR *. JS *. CSS *. ASM *. jpg *. DBF *. MDB *. SQL *. PGP). y muchos othes han sido. . bloqueado compra código de desbloqueo Para complacer Contacto EE.UU.:. . DAWNTW44@mail.com 300 Precio USD.If intenta quitar el Informador, puede perder todos sus archivos para siempre.



Q: ¿Cómo puedo asegurarme de que realmente se puede descifrar mis archivos?

A: Usted puede enviar un archivo de cifrado de correo electrónico. DAWNTW44@mail.com. (Indique su ID en el Mensaje Título). descifrado en la respuesta al mensaje que recibe el archivo."[/quote]

Si alguien conoce una solucion comprobada, conviene compartirla como respuesta a este Tema, gracias



saludos



ms, 14-6-2013

ultranyu
Novato
Novato
Mensajes: 1
Registrado: 27 Feb 2014, 13:12

Re: Hacker ha encriptado mis documentos haciéndolos *.crypt

Mensaje por ultranyu » 27 Feb 2014, 13:21

Buenos días,



No sé si ya esta cerrado el tema, o es que no se ha encontrado solución... De todas formas expondre el problema con el que nos hemos encontrado en mi empresa.



Esta mañana al acceder al servidor, nos hemos encontrado con un .txt que decia lo siguiente:



[i]Hola,



He accedido a vuestro servidor y he borrado y destrozado todos tus archivos, despues de guardarlos en un Back Up que se encuentra en tu ordenador.[/i]




Si quieres recuperarlos ponte en contacto conmigo al mail iloveserver@mail.ru



Decir que el nombrado back up pesa 100Gb y que no tiene ninguna extension (a diferencia de los .cryp o .rar que he leido mas arriba).



Alguien tiene alguna idea de como se puede solucionar este problema? Alguien se ha encontrado en una situación similar?



Saludos y gracias por adelantado.

Avatar de Usuario
msc hotline sat
Administrador
Administrador
Mensajes: 89226
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Hacker ha encriptado mis documentos haciéndolos *.crypt

Mensaje por msc hotline sat » 27 Feb 2014, 16:37

Pues no conocemos este malware que cifra los documentos , a diferencia de otros ya conocidos (ANTICHILD, CRYPTOLOCKER, CRYPTORBIT, etc), indicando este ponerse contacto con iloveserver@mail.ru





Pero por si te sirve, parece que los de quantika14 han descifrado y limpiado los ordenadores de otro afectado con el mismo hackeo:



"Hola, yo tengo una empresa y me ha pasado lo mismo en uno de nuestros servidores -me borraron todo y solo dejaron 2 archivos con la extensión bakuv y bakuv1, además encriptado y el contacto de iloveserver@mail.ru para recuperarlo- y contratamos los servicios de la empresa de quantika14 y lo bueno es que me recuperaron todo y me fortificaron los sistemas y ya no tenemos problemas, de momento. Espero que os sirva. Un saludo"



Es una informacion de ayer, y espero que te sirva



saludos



ms, 27-2-2014

OscarMTX
Novato
Novato
Mensajes: 1
Registrado: 24 Mar 2015, 10:28

Re: Hacker ha encriptado mis documentos haciéndolos *.crypt

Mensaje por OscarMTX » 24 Mar 2015, 10:48

Buenos días a todos,



Estamos en la misma situación que tu ultranyu. ¿Conseguiste recuperar los datos?



Gracias y un saludo

Avatar de Usuario
msc hotline sat
Administrador
Administrador
Mensajes: 89226
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Hacker ha encriptado mis documentos haciéndolos *.crypt

Mensaje por msc hotline sat » 24 Mar 2015, 22:02

Aparte de lo que te pueda decir ultranyu, buscando mas informacion al respecto he visto:



http://www.xatakaon.com/seguridad-en-redes/las-victimas-de-cryptolocker-podran-recuperar-sus-archivos-gratis-gracias-a-una-web



Aunque ello se centra en los cifrados por el Cryptolocker, pero ...



saludos



ms, 24-3-2015

Avatar de Usuario
msc hotline sat
Administrador
Administrador
Mensajes: 89226
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Hacker ha encriptado mis documentos haciéndolos *.crypt

Mensaje por msc hotline sat » 04 Nov 2015, 12:06

No vemos nada anexado ni ningun enlace al respecto en su post



Si se ha quedado "en el tintero", por favor, repita el post, gracias





saludos



ms, 4-11-2015

Avatar de Usuario
msc hotline sat
Administrador
Administrador
Mensajes: 89226
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Hacker ha encriptado mis documentos haciéndolos *.crypt

Mensaje por msc hotline sat » 04 Nov 2015, 12:55

Y al haber revisado el Tema con el propósito de actualizar soluciones, ofrezco esta información que ofrecemos a los que ahora nos indicaran dicho problema:





"Los ficheros cifrados y con añadido .CRYPT pueden haberlo sido por un ransomware de la familia "Ransom:Win32/Troldesh", la cual no borra las copias hechas por el ShadowCopy, (a diferencia de los Cryptowall, TeslaCrprypt, etc), por lo que se puede mirar si se puede recuperar una copia anterior de los mismos con el SHADOWEXPLORER, como se indica en:



http://deletemalware.blogspot.com.es/2015/08/files-encrypted-crypt-extension.html



Vean si con ello pueden recuperar dicha informacion codificada, no sin antes eliminar el causante, arrancando en MODO SEGURO y lanzando el ELISTARA actual"





saludos



ms, 4-11-2015

Responder

Volver a “Foro Spyware”

¿Quién está conectado?

Usuarios navegando por este Foro: No hay usuarios registrados visitando el Foro y 4 invitados