Infeccion con Virus Policia archivos encriptados. (SOLUCIONADO)

[karlosmann]

Hola:



Un virus infecto mi ordenador agregando la palabra .police a archivos jpg,bmp,txt,htm,zip,rar,flv,mp3 por ej. "20090811.jpg.police".No infecto archivos exe,dll,inf,com,bat.En cada carpeta que infecto dejo un archivo de texto WARNING este es una parte del texto "your computer and IP address were suspected of copyright violation and unauthorized access to the licensed software"

Hice correr kaspersky internet securty y SUPERAntiSpyware y el virus ya no esta.Hay alguna manera de recuperar los archivos infectados.No se que virus es, al abrir los archivos parecen encriptados.Si me pueden ayudar se los agradeceria.



Gracias

[msc hotline sat]

Sin los ficheros que lo han causado, que dice haber eliminado, no se puede reproducir el problema, y los ficheros cifrados pueden haberlo sido con cualquier codificación, por lo que habría que disponer de alguno de los originales de los mismos para poder ver los cambios realizados.



Mire si de alguno de dichos ficheros tiene el original. Si son fotos, vea si tiene alguna copia enviada a algun amigo o que tenga en otro sitio, y nos envia un par de codificados y los originales correspondientes.



Ni que decir tiene que si aun tuviera el que lo causó, tendríamos suficiente, pues podríamos conseguir nosotros codificar algunos originales y ya tendríamos material para trabajar, aparte de poder controlar tambien el virus en cuestión, pero si dice que ya lo ha eliminado con algunas herramientas, "ha quemado sus barcos ..." De todas formas, mire si tiene en alguna parte dicho EXE que se lo causó, para poder enviarnoslo.



Ya decodificamos versiones anteriores que hacian algo similar, pero no añadía la palabra .police, sino que ponía un prefijo de LOCKED y añadía al final cuatro digitos aleatorios, por ejemplo "LOCKED-imagen.jpg.mnxp", asi que necesitamos las muestras indicadas para hacer lo mismo con esta nueva variante.



En cualquier caso, si no tuviera los originales de las fotos, ni el EXE que lo causó, envienos un par de codificados y veríamos si modificando al respecto el decodificador que ya hicimos para el caso indicado, tenemos suerte y es suficiente, pero es poco probable, y CASI IMPOSIBLE sin alguno de los originales correspondientes !



Para el envio de las muestras, recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



saludos



ms, 23-9-2012

RARBA

[karlosmann]

Hola,muchas gracias por la ayuda.Si tengo archivos originales jpg y mp3.El virus ke lo causo no se cual es kaspersky los elimino pero debe estar en el informe de amenazas.Habia varios por eso no se cual es el que encripto los archivos.Por lo que veo es un virus nuevo no encontre nada para reparar.Bueno leo como se hace para enviar archivos y los envio.



Muchas gracias.

[karlosmann]

Hola.Envio el archivo original y el encriptado.Ojala me puedan ayudar.



Muchas gracias.

[msc hotline sat]

Sí, debe tratarse de otra variante de los Reveton y Matson, que algunas variantes codificaban archivos con el prefijo LOCKED, y del que ya hubieron sucesores... :



https://foros.zonavirus.com/viewtopic.php?f=5&t=40999&hilit=sdecoder



Mañana es fiesta en Barcelona (la Verge de la Mercè, su patrona) pero en cuanto volvamos al trabajo los analizaremos y trataremos de adaptar el SDECODER al respecto, de lo cual informaremos.



saludos



ms, 23-9-2012

[karlosmann]

Bueno muchas gracias y que pasen una feliz fiesta.

[msc hotline sat]

Gracias, y mientras tanto, puedes hacer una prueba, renombra el fichero codificado del que tienes el original y le pones de prefijo LOCKED.<nombre del fichero>.jpg.abcd y mira si aplicando el actual SDECODER y poniendole el original para comparar en la utilidad, y poniendo luego a otro codificado el mismo prefijo y añadido, encuentra el algoritmo de decodificacion y la aplica al segundo y, si es el caso, podrías adelantar tiempo haciendo lo mismo con los demás.



Pero en cuanto volvamos al trabajo, veremos como actua y procederemos en consecuencia, para que haga la decodificacion automaticamente.



saludos



ms, 23-9-2012

[karlosmann]

Bueno voy a intentar hacerlo a ver que pasa.



Saludos.

[msc hotline sat]

Y nos comentas el resultado, gracias



saludos



ms, 23-9-2012





PD: DESCARGA DE SDECODER.EXE

http://www.zonavirus.com/descargas/sdecoder.asp



ms.

[karlosmann]

Descargue SDECODER.EXE renombre el archivo combiado a LOCKED-682.jpg.abcd pero no funciono me puso un cartel que dice "El fichero original y el codificado no se corresponden.



Saludos.

[karlosmann]

Hola.Encontre la solucion use el programa desencriptador de Dr.Web "te94decrypt.exe".Lo use de esta manera copie el programa en el disco C, despues,inicio,ejecutar, CMD y aceptar agregue esta linea de commando C:\te94decrypt.exe -k 186 ,enter aparece el programa y elegir continue y empieza a desencriptar.Hay que contar con espacio en el disco porque agrega los archivos ya desencriptado.Despues elimine manualmente los archivos con la extension "police".Espero que sea de ayuda por si alguno tiene el mismo problema.



Saludos y gracias.

[msc hotline sat]

Pues esta codificacion no hacía lo mismo que las anteriores de los variantes que codificaban el virus "de la policia", Ransomware REVETON y MATSON, ya que si no encontró determinados bytes iguales entre los dos ficheros (codificado y original), como indica por lo que dice de [i][b]"Descargue SDECODER.EXE renombre el archivo combiado a LOCKED-682.jpg.abcd pero no funciono me puso un cartel que dice "El fichero original y el codificado no se corresponden.[/b][/i]", señal que los trata de diferente modo, y lógicamente no funcionó.



Ya habiamos tenido otro caso atípico, desde Alemania en el que habiamos visto que las modificaciones las hacía en diferente forma: [i][b]"En este caso no son 4096 bytes los que están sobreescritos al principio de cada fichero, sino 12288, o sea 24 sectores en lugar de los 8 de lo ya conocido."[/b][/i], y esta vez debe tratarse de una tercera variante, como lo demuestra el hecho de que añada .POLICE , a diferencia de las anteriores.



Pero nos alegramos que lo haya podido lograr aplicando el TE94DECRYPT de DrWeb, con el parametro -k 186, y agradecemos que nos lo comente para poder solucionar en el foro otros casos similares. Ya en Abril, antes que hicieramos el SDECODER, probamos dicha utilidad, pero con el problema de tener que ir probando diferentes parametros para cada caso, como puede verse en nuestras NOTICIAS, http://www.zonavirus.com/noticias/2012/nuevo-ransomware-que-cifra-los-ficheros-del-disco-duro-y-pide-rescate-para-descifrarlos.asp , si bien tiene la ventaja de no requerir el original ni comprobación del mismo respecto al codificado.



Y dando por solucionado el Tema, procedemos a cerrarlo



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 24-9-2012