Virus Policia se come fotos (SOLUCIONADO)

[elemento]

Pues éso, el virus de la policia ,péro cogido en Alemania

me ha renombrado todas las fotos de Mis imagenes a nombres muy extraños tal como aAdeqryvcds, por ejemplo

,además no llevan extensión jpg y no me deja abrirlas, (ni poniendo la extensión)

Me han dicho que podría ser que el virus encriptara los archivos y probé con rannohdecryptor sin resultados,(ni teniendo un archivo original de cada foto)



No sé ya qué hacer, thxs

[msc hotline sat]

Lo que conocemos es la codificacion de ficheros a los que ademas añade la palabra LOCKED delante y 5 digitos detras de la extension, pero esto de un nombre raro como aAdeqryvcds ...



Para la codificacion que ya conocemos, tenemos el SDECODER que con uno infectado y su original, encuentra el algoritmo de codificacion y procede a decodificar todos los lockeds con él, pero desconocemos esto que dices.



Puede ser una nueva historia, si nos envias una muestra codificada y su original, trataremos de hacer utilidad al respecto



saludos



ms, 21-6-2012

[elemento]

Bueno, he subido las fotos, aunque se me olvidó algo, también afectó a doc, exe, xls, etc.. y se comió Office 2003, terrible!!!



Ahí va el enlace con las fotos

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Salu2.

[msc hotline sat]

Pues los analizaremos e informaremos, pero que sea la última vez que postea en el foro muestras víricas, ya que así las puede descargar todo el mundo y nos pueden tildar de propagadores de virus !



Las muestras deben enviarse segun indicamos repeditamente:



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



paso a borrar su enlace para evitar su propagacion.



saludos



ms, 22-6-2012

[msc hotline sat]

Si dice que le apareció la pantalla de "la policia", se puede tratar de una nueva variante de



codifique muy diferente a lo que conocemos del REVETON o del MATSO que genera ficheros



codificados añadiendoles el prefijo LOCKED, los cuales decodificamos con el SDECODER.



En este caso no son 4096 bytes los que están sobreescritos al principio de cada fichero, sino



12288, o sea 24 sectores en lugar de los 8 de lo ya conocido.



Y el que los ficheros codificados los genere con un nombre raro, podría tener relacion con la



base de encriptación, lo cual sabrá el hacker, pero es como buscar una aguja en un pajar y



elocubrar sobre lo que puede haber hecho, es considerar infinitas posibilidades, y esto si es que



ha codificado y no sobreescrito con basura estos primeros 12288 bytes de cada fichero afectado.



No tenemos ninguna otra incidencia, ni del foro ni entre nuestros clientes, por lo que incluso



cabe la posibilidad de que no haya sido dicho virus, sino accion de otra aplicacion maldita hecha



para fastidiarle, incluso de una acción personal contra el usuario de este ordenador, por lo que



aparcamos el Tema en espera de nuevas incidencias de mas usuarios, si es el caso.



De todas formas lo tendremos presente e informaremos si sabemos algo mas.



saludos



ms, 22-6-2012

[msc hotline sat]

Ver solucion de otro caso atípico, con distinto método de codificación, en Tema posterior, esta vez desde Argentina en lugar de Alemania, posiblemente modificaciones realizadas para distintos paises:



https://foros.zonavirus.com/viewtopic.php?f=5&t=43468



Para el caso que pudiera interesar en el futuro a otros foreros con similar problema.



Y dando el Tema por solucionado, procedemos a cerrarlo



saludos



ms, 24-9-2012