how do you repair.txt todos los archivos terminan en .done

[breadbeat]

Buenas después de pasar un fin de semana fuera, vuelvo a casa y me encuentro en el escritorio un archivo TXT que se llama how do you repair, miro el ordenador y todas mis fotos, video, todo lo que he visto hasta ahora es el nombre del archivo, extensión .done no puedo abrir nada ni hacer nada con ellos arranco el antivirus Avast y tiene instalado hasta otro script y no puedo activar pasarlo al inicio, el txt pone que me ponga en contacto con no se quien, ¿alguien me puede echar una mano? ¿a alguien le ha pasado esto? el txt pone:

If you read this text,it means your`s important files(photos,videos, documents,archives,bases, backups, etc.) are locked with strongest military cifer RSA1024.

Nobody can`t help you restore files without our decoder.

If you want recover files,

send e-mail to the repairmyfile@tormail.org WITH "how to repair.txt" and 1-2 encrypted files less than 1MB .

After checking you will receive the decrypted files and our conditions how you'll get the decoder .

Follow the instructions to transfer payment despues un monton de numeros. gracias de antemano

[breadbeat]

por favor alguien que me ayude, no quiero tener que formatear y perder todo :cry:

[breadbeat]

encima ponen también aquí paginas de viagra, esto que essss

[msc hotline sat]

El anterior post era de un spammer de ukraina que ya he borrado y baneado.



Nos conocen en todo el mundo, y de China, de Rusia, y de Ukraina cada día hemos de hacer limpieza, y bloquearlos para el futuro, pero con tantos millones de internautas, hay de todo...



Y, a continuación, paso a editar post al respecto de su problema.



saludos



ms, 11-2-2013

[msc hotline sat]

Pues si no tiene copia de seguridad, lo tiene crudo !



Si no tiene copia de seguridad y sus ficheros le son muy valiosos, pida presupuesto de cuanto le piden por la herramienta de decodificacion, que supongo que inicilmente serán 100 €.(via UKASH)



Hay usuarios que nos han indicado que el hacker ha ido subiendo hasta 300 €... y que nosotros sepamos, nadie (aparte el autor) ha podido descifrar los ficheros cifrados en cuestion.



Se trata de un Ransomware al que llaman "Filecoder" y que emplea codificacion RSA1024, de forma que a cada afectado le envia un TXT que contiene una clave publica, y el hacker tiene la clave privada, con la que puede descifrar los ficheros, y por ello pide el fichero TXT, para ver la publica que ha aplicado en su caso y asi poder generar un decodificador especifico , si se paga por él.



El fichero TXT en cuestion acostumbra a ser similar a





"If you read this text,it means your`s important files(photos,videos, documents,archives,bases, backups, etc.) are locked with strongest military cifer RSA1024.

Nobody can`t help you restore files without our decoder.

If you want recover files,

send e-mail to the repairmyfile@tormail.org WITH "how to repair.txt" and 1-2 encrypted files less than 1MB .

After checking you will receive the decrypted files and our conditions how you'll get the decoder .

Follow the instructions to transfer payment.





====================

7983DE6AB43161B43F2DA8038353A1F3911AD61DF86EA689F4D6E4CC5334BB6D

C2BBAE72FFFC600D0ADFB6F982B4645A00B43931599EE1299FCCA98F3DBB254B

9975E7124E30C6732860853C5BFEF5A627F612BD5B18178410B0E64A82712A5C

D61B154998BB9C09A2DC584AD761155D70C7E86F780E46BDFD550A0A5508792A

15757E7F7482D8EE711A57A810EB9EB51B3CCAE9763E3E0A7D0DBE3D9ABC8FD2

===================="





y entre las dos franjas, al final del fichero , está dicha clave publica que es con la que sabrá la privada que le corresponde y poder asi descifrar lo cifrado.



Para otros sistemas de codificacion conocemos utilidades que logran descifrar los ficheros cifrados, como es el caso del RC4 empleado en el FAKEDOC (alias XDOCCRYPT, Dorifel o Quervar), que está de moda, convirtiendo los ficheros en .CSR, ejecutables pero infectados y codificados, si bien con el VirusScan de McAfee lo solucionamos, pero este suyo que ya analizamos el año pasado, tipicamente conocido por añadir .DONE a los ficheros que codificaba, es de los mas duros, existiendo otros que añadian .BLOCK a los ficheros que cifraban, u otros que ponian un prefijo LOCKED, este ultimo de los primeros y sencillos, pues simplemente aplicaba un XOR, por lo que se resolvia facilmente si se disponia de un fichero original y el correspondiente modificado.



No creo que le puedan ofrecer mas ayuda, y en cualquier caso, indiquenos lo que decida, para obrar en consecuencia



saludos



ms, 11-2-2013

[breadbeat]

una pregunta mas, saben por donde puede acceder dicho virus?? por donde a entrado?? que es un virus, un troyano, un spyware ¿que es?

mas que nada es para evitar que vuelva a pasar, gracias.

[msc hotline sat]

Pues vea lo que deciamos desde SATINFO en Noviembre DEL PASADO AÑO:



http://www.satinfo.es/blog/?p=33500



Afortunadamente se detectaron muy pocas incidencias, una en Barcelona, otra en Galicia y otra en Andalucia, y apenas desde entonces hemos tenido mas de estas, en cambio de las que añaden .SCR han habido mas y seguiran habiendo por lo que parece.



Que por donde entran ?, probablemente por descarga de Internet, via downloader o por acceso a una web con infectada por agujeros de Java, como la mayoría de malwares actuales. Y es de la categoría de RANSOMWARE, "pago por rescate".



Pero las demas codificaciones no son tan fuertes como la que le afecta, y mas o menos las vamos pisando, pero la suya, al operar con dos claves, una de las cuales solo la tiene el hacker, solo si algun otro afectado ha pagado por recibir la utilidad de descifrado y la clave publica recibida (en fichero .TXT) coincidiera, entonces si dicho usuario ofreciera dicha herramienta o la publicara en Internet, podría aprovecharla, pero seguramente el hacker tiene un surtido de claves privadas al respecto, y casi es una utopia pensar en la posibilidad indicada...



De todas formas, si necesita los ficheros y recurre al pago, podría beneficiar a algun otro usuario afectado si nos envia la herramienta que le enviaran y, claro está, nos posteara todo el texto del fichero .TXT, ya que dicha herramienta solo servirá para los que hayan recibido la misma codificacion.



Cuentenos sus progresos al respecto, gracias.



saludos



ms, 11-2-2013

[breadbeat]

cual seria el protocolo o procedimiento, para desinfeccion y empezar de nuevo, un formateo de todo discoduro o hay mas posibilidades, gracias.

[msc hotline sat]

Puede solicitar al hacker el decodificador, pagando, o partir de cero...



Como ya le hemos dicho, no conocemos ningun otro medio para decodificar este tipo de codificacion de los ficheros con .DONE



Y para el futuro, recuerde la conveniencia de tener copia de seguridad, es la primera norma de informatica.



Y si decide pagar al hacker, tenganos informados de lo que le envia y de como le ha ido, gracias.



saludos



ms, 12-2-2013