Hola a todos! Tuve un problema con una máquina de una red que manejo, la misma se infectó con un ransomware que renombró todos los archivos de la máquina a *.thor.
El problema quedó solucionado al formatear la máquina (de cualquier manera no había nada aprovechable en la misma), el tema es que también el virus renombró todos los archivos de la carpeta que se encuentra compartida, y he aquí mi miedo. Pasé un antivirus por todas las pc eliminando todos los archivos sospechosos (controlé con AVG y Malwerebytes), y hice un backup de lo más importante. Es posible que quede en algún registro este ransomware y vuelva a atacar en alguna de las otras pc? Hará falta que formatee TODAS las máquinas?
Agradezco desde ya la respuesta, saludos!
Computadora en red infectada con .thor
-
- Mensajes: 2
- Registrado: 16 Nov 2016, 19:42
- msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: Computadora en red infectada con .thor
No, tranquilo, aunque hace muy bien en preguntarlo.
El Ransomware THOR es un derivado del LOCKY, que una vez cifrados los ficheros de datos que encuentre en carpetas o unidades compartidas, se autoinmola, desapareciendo el EXE , y la DLL, al estar en TEMP, con el ELISTARA se elimina al eliminar dicha carpeta, si bien esta DLL tampoco haría nada automáticamente, solo manualmente, con el REGSERV, se podría lanzar, pero de momento ello no está implementado y, en el registro, de momento, no hay trazas de ello.
Además, ningún ransomware conocido infecta a dichas unidades compartidas, solo las afecta, cifrando los ficheros de datos, por lo que conviene no tener conectada permanentemente la unidad de backup, para que no resulte afectada en el caso de sufrir un ataque de cualquiera de ellos, y recordar que este THOR ha llegado probablemente anexado a un mail, en un fichero contenido en un ZIP, y[b] una vez mas se recuerda que no deben ejecutarse ficheros anexados a mails no solicitados[/b] , aunque un despiste lo tiene cualquiera...
Tener en cuenta que otros ransomware, como el tristemente famoso Cryptolocker, (el de los falsos mails de Correos o de ENDESA), quedan vivos después del cifrado a los ficheros de datos, y que una vez se reinicia, prosigue el cifrado, por lo que, antes de restaurar la COPIA de SEGURIDAD deben eliminarse los restos del virus en el ordenador en el que se haya ejecutado, pues como hemos dicho no se propaga a las demás unidades, aunque hayan resultado afectadas. Se recomienda lanzar el ELISTARA en el ordenador que se haya ejecutado el fichero anexado al mail recibido, y si no se sabe cual ha sido, disponemos de una utilidad muy rápida llamada CLRANSOM.EXE que está hecha para pasarla a todos los ordenadores sospechosos y asi descubrir el culpable, en el cual pasar el indicado ELISTARA.EXE
Esperando que lo indicado le sea de utilidad, y habiéndome extendido para que lo puedan aprovechar los demás interesados al respecto, reciba saludos
ms, 17-11-2016
El Ransomware THOR es un derivado del LOCKY, que una vez cifrados los ficheros de datos que encuentre en carpetas o unidades compartidas, se autoinmola, desapareciendo el EXE , y la DLL, al estar en TEMP, con el ELISTARA se elimina al eliminar dicha carpeta, si bien esta DLL tampoco haría nada automáticamente, solo manualmente, con el REGSERV, se podría lanzar, pero de momento ello no está implementado y, en el registro, de momento, no hay trazas de ello.
Además, ningún ransomware conocido infecta a dichas unidades compartidas, solo las afecta, cifrando los ficheros de datos, por lo que conviene no tener conectada permanentemente la unidad de backup, para que no resulte afectada en el caso de sufrir un ataque de cualquiera de ellos, y recordar que este THOR ha llegado probablemente anexado a un mail, en un fichero contenido en un ZIP, y
Tener en cuenta que otros ransomware, como el tristemente famoso Cryptolocker, (el de los falsos mails de Correos o de ENDESA), quedan vivos después del cifrado a los ficheros de datos, y que una vez se reinicia, prosigue el cifrado, por lo que, antes de restaurar la COPIA de SEGURIDAD deben eliminarse los restos del virus en el ordenador en el que se haya ejecutado, pues como hemos dicho no se propaga a las demás unidades, aunque hayan resultado afectadas. Se recomienda lanzar el ELISTARA en el ordenador que se haya ejecutado el fichero anexado al mail recibido, y si no se sabe cual ha sido, disponemos de una utilidad muy rápida llamada CLRANSOM.EXE que está hecha para pasarla a todos los ordenadores sospechosos y asi descubrir el culpable, en el cual pasar el indicado ELISTARA.EXE
Esperando que lo indicado le sea de utilidad, y habiéndome extendido para que lo puedan aprovechar los demás interesados al respecto, reciba saludos
ms, 17-11-2016
msc hotline sat Virus Research Engineer
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
- Mensajes: 2
- Registrado: 16 Nov 2016, 19:42
Re: Computadora en red infectada con .thor
Hola! Muchas gracias por su respuesta!
Entonces me quedo más tranquilo, formatear las 5 máquinas me hubiese dado muchísimo trabajo. Si tengo otra consulta se donde encontrarlos.
Saludos!
Entonces me quedo más tranquilo, formatear las 5 máquinas me hubiese dado muchísimo trabajo. Si tengo otra consulta se donde encontrarlos.
Saludos!
- msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: Computadora en red infectada con .thor
Pues lo celebramos, y mucho cuidado en el periodo Navideño, que hay muchos phishing y demas argucias con las que los cibercriminales intentan fastidiarnos estas entrañables fechas.
http://www.zonavirus.com/noticias/2016/precauciones-a-tener-en-cuenta-ante-el-buen-fin-del-periodo-navideno.asp
Y dando el Tema por solucionado, procedemos a cerrarlo
saludos
ms, 18-11-2016
Y dando el Tema por solucionado, procedemos a cerrarlo
saludos
ms, 18-11-2016
msc hotline sat Virus Research Engineer
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online