Cryptowall, malware, Ayuda

[nico_tate07]

Buenas gente, resulta que a un amigo se le infecto la pc con este malware, es terrible. Aca dejo mas info: http://www.pcrisk.es/guias-de-desinfeccion/7401-cryptowall-virus



Queria saber si alguien lo pudo sacar, si es posible, y desencriptar los archivos. Lo importante son las fotos, y algunos documentos de trabajo.

No hice nada de los metodos que propone el link que puse antes para removerlo, queria consultar antes aca para informarme mas.

Espero su respuesta. Saludos y gracias.

[msc hotline sat]

Pues seguramente es parecido al Cryptorbit que era el ultimo que conociamos de la saga de los codificadores de ficheros, de los cuales ahora ha aparecido este CryptorWall.



Vea lo que indicamos en:



http://www.zonavirus.com/noticias/2014/muy-importante-solucion-al-cifrado-de-ficheros-producido-por-el-cryptorbit.asp



y si usa Windows7, 8 u 8.1 los podrá restaurar gracias a la copia que hace el propio sistema operativo, si bien recuerde cuan importante es el disponer de copia de seguridad de sus ficheros...



Si desea alguna otra aclaracion, rogamos nos lo indique



saludos



ms, 17-5-2014

[nico_tate07]

Primero, gracias por contestar.

Tengo una duda, el enlace que pasaste dice que elimine el virus antes de restaurar los archivos, con qué herramienta o antivirus me recomendas? Estoy probando malwarebytes.

Saludos

[msc hotline sat]

La verdad es que de esta variante no hemos tenido aun mas incidencias, y no disponemos de muestras para poder decirte si persiste la infección tras haber "hecho la faena", o sea tras codificar los ficheros de datos, pero muy bien podría ser que ya no tuvieras infección.



Voy a ver si consigo mas informacion de este en particular y te digo algo, pero podría ser que ya no tuvieras infección y pudieras actuar directamente a recuperar las versiones anteriores de los ficheros codificados.



Te informo cuando sepa algo mas.



saludos



ms, 19-5-2014

[msc hotline sat]

Pues vemos que en virustotal tenemos analisis del fichero infector



https://www.virustotal.com/es/file/e5e5d0639c55f5d44b297cda37edaf6d652558a7f53edc6ad3f60f5c73265f2f/analysis/





MD5 2397a7bff53c8d118db45cdefd00a393

SHA1 a38d0e94e64d9d75459896ba2541536d83d7404a

Tamaño del fichero 156.0 KB ( 159744 bytes )

SHA256: e5e5d0639c55f5d44b297cda37edaf6d652558a7f53edc6ad3f60f5c73265f2f

Nombre: 209089072.cryptowall (1).exe

Detecciones: 38 / 52

Fecha de análisis: 2014-05-11 17:40:58 UTC ( hace 1 semana )



0 2



Antivirus Resultado Actualización

AVG Luhe.Fiha.A 20140511

Ad-Aware Trojan.GenericKD.1599072 20140511

Agnitum Backdoor.Androm!Fb/xGm9eqeU 20140511

AntiVir TR/Dropper.VB.11415 20140511

Avast Win32:Zbot-TNS [Trj] 20140511

Baidu-International Backdoor.Win32.Androm.AblC 20140511

BitDefender Trojan.GenericKD.1599072 20140511

Bkav HW32.CDB.Cd12 20140509

CAT-QuickHeal Worm.Gamarue.r3 20140510

CMC Heur.Win32.Veebee.1!O 20140506

Commtouch W32/Trojan.XPUS-2398 20140511

Comodo UnclassifiedMalware 20140511

DrWeb Win32.HLLM.MyDoom.1432 20140511

ESET-NOD32 a variant of Win32/Injector.BCCG 20140511

Emsisoft Trojan.GenericKD.1599072 (B) 20140511

F-Secure Trojan.GenericKD.1599072 20140511

Fortinet W32/VB.ALO!tr 20140511

GData Trojan.GenericKD.1599072 20140511

Ikarus Backdoor.Win32.Androm 20140511

K7AntiVirus Trojan ( 0049673f1 ) 20140509

K7GW Trojan ( 0049673f1 ) 20140509

Kaspersky Backdoor.Win32.Androm.dpmq 20140511

Malwarebytes Trojan.Zbot 20140511

McAfee PWSZbot-FLW!2397A7BFF53C 20140511

McAfee-GW-Edition PWSZbot-FLW!2397A7BFF53C 20140511

MicroWorld-eScan Trojan.GenericKD.1599072 20140511

Microsoft Worm:Win32/Gamarue.I 20140511

Norman Injector.GEXW 20140511

Panda Generic Malware 20140511

Qihoo-360 Win32/Trojan.Multi.daf 20140511

Rising PE:Malware.XPACK-HIE/Heur!1.9C48 20140507

Sophos Mal/VB-ALO 20140511

Symantec Trojan.Zbot!gen74 20140511

TrendMicro TROJ_GEN.R02SC0FCC14 20140511

TrendMicro-HouseCall TROJ_GEN.R02SC0FCC14 20140511

VBA32 Backdoor.Androm.dpmq 20140510

VIPRE Trojan.Win32.Zbot.pj (v) 20140511

nProtect Trojan.GenericKD.1599072 20140511



Vemos que McAfdee lo detecta como variante de PWSZBOT y que Kaspersky lo detecta como Backdoor.Win32.Androm.dpmq, y hasta AVG lo caza, este como Luhe.Fiha.A 20140511



Microsoft, por su parte, lo considera un Gamarue, que realmente es un downloader, de los que descargan programas maliciosos, como este en dicho caso.



Con cualquiera de los antivirus indicados, eso sí, actualizados y con el analisis heuristico a nivel ALTO (usando McAfee es facil configurarlo en su Consola), debe poder detectarlo, en cuyo caso le pedimos que nos envie muestra del fichero malicioso antes de eliminarlo, para poder ensayar con él y controlarlo en la siguiente version del ELISTARA, como hacemos diariamente con las muestras que vamos recibiendo.



El informe que ofrecias nos ha sido muy útil, pero alli indican lanzar una restauracion de sistema a un punto anterior que aun no tuviera el virus, lo cual, si bien no restauraría los ficheros codificados, sí que eliminacría las claves de registro y ficheros instalados posteriormente a dicha fecha, buenos y malos, por lo cual, si lo haces, recuerda de instalar luego los parches que hubieras aparecido posteriormente a dicha fecha, lnazando un windowsupdate.



En cuanto recibamos el fichero que detecten dichos AV, lo analizaremos y pasaremos a controlar en la siguiente version del ELISTARA, de lo cual informaremos



Recordar: https://foros.zonavirus.com/viewtopic.php?f=5&t=45334





saludos



ms, 19-5-2014

RARSFE





NOTA: Y parece ser que la infección persiste con esta variante. segun:



http://www.precisesecurity.com/rogue/remove-cryptowall



mientras miran de enviarnos una muestra, sigan las instrucciones que indican, especialmente arrancar en MODO SEGURO para evitar que el virus persista en memoria.



Al parecer nos encontramos con algo totalmente distinto a los ya conocidos "cryptor..." aunque su proposito es el mismo, chantajear al usuario pidiendo un rescate, esta vez de 500 US $ !



ms.