Cryptowall 3.0, un virus letal

Desde el pasado 28 de julio tengo el portátil inservible (ahora posteo desde el viejo PC que teníamos en la empresa familiar) porque fue infectado por este dañino virus.

Cryptowall 3.0 es un ransomware que encripta TODOS los archivos (jpg, txt, doc, pdf, xls, mp3, etc.) y cuando intentamos acceder a ellos nos aparece el mensaje de que debemos pagar un "rescate" para recuperarlos.

El método de encriptado es RSA-2048 y aprovecha cualquier vulnerabilidad del equipo (Google Drive, Flash Player, el propio Sistema Operativo, etc.) para atacar a los equipos. En mi caso, al tener Windows XP, todavía se lo he puesto más fácil, ya que hace tiempo que Microsoft desatendió este S.O.

Tengo instalado Panda Free Antivirus, pero incluso con un antivirus de pago, puede infectar el ordenador sin demasiados problemas.

Una vez en el equipo, no he sido capaz de eliminarlo, ya que bloquea y/o "se esconde" de todo lo que he probado (Malwarebytes Anti-Malware, Dr. Web, SUPERAntiSpyware, PandaCloud).

Y lo peor de todo es no sé cómo se ha metido en el equipo ya que ni he abierto ningún correo sospechoso ni he descargado (al menos conscientemente) ningún fichero autoejecutable.

Hace tres años también fui víctima del Virus de la Policía, pero en aquel caso, aunque tuve que formatear el equipo porque la versión que me infectó era de las más resistentes, los archivos no se vieron afectados y lo que hice fue quitar el disco duro, meterlo en una caja, conectarlo por USB a otro equipo y rescatar los archivos. Sin embargo, Cryptowall deja los archivos inservibles ya que, aunque siguen estando en el ordenador, es imposible acceder a ellos.

Por descontado, si alguien tiene algún consejo que me permita eliminar el virus del equipo sería de gran ayuda, ya que me evitaría formatear el portátil. En cualquier caso, tened cuidado y actualizar lo básico (S.O., Flash Player, Java, Acrobat Reader, etc.).

Un saludo.
Sé que ya es tarde para tu caso, pero mi recomendación es tener dual boot con linux, las cosas importantes ahí y para el resto Windows, este no soporta Ext4 así que dudo que algún virus pueda cifrar nada en esa partición.

Un saludo.
Y has pensado tener algo mas de cabeza a la hora de usar el ordenador?

No puede ser que te infectes por el Virus Policia y ahora por un rasomware.

Prueba a usar https://noransom.kaspersky.com/
La única opción que te queda: formatear.

Das por hecho que has perdido todos tus ficheros ya, por lo que ¿para qué perder más tiempo? ¿Para que intente infectar más cosas a través de la red, o de onedrive o de cualquier pendrive que metas? Los ramson son así, o pagas, o te jodes. Ten en cuenta que es casi imposible quitar la encriptación, por el tamaño de la clave, diferente en cada infección, y porque no encripta todo el fichero, por lo que aunque consiguieras la clave, encriptarías la parte no encriptada mientras desencriptas la que si lo está...

Por lo tanto, ahora ya todo está perdido. Formateo y arreando.

Contra el ramson solo hay una opción: las copias de seguridad. Yo tengo un disco duro en el que hago copias totales de mi HD de datos. Es USB, y está siempre apagado. Sólo lo enciendo cuando voy a copiar algo y siempre que voy a copiar algo, hago una revisión de mis datos, a ver si se han encriptado, por si acaso.

Es imposible que un virus me infecte un disco duro apagado y no conectado a nada ;-)

Y, como seguridad añadida... Todo lo que sea sensible (fotos personales, documentos que quieras conservar, es decir, todo lo que tú "generas", lo que no incluye pelis que hayas bajado de internet, juegos, emuladores... todo eso recuperable, pero las fotos de tus vacaciones, si las pierdes... adios para siempre), grabado en DVD. Y si es importante, dos veces.

Puede parecer excesivo, pero seguro que ahora llevas unos días encabronao, durmiendo mal, y asumiendo que no vas a recuperar lo que hubiera en ese equipo. Todo eso no sería así, si hubieras hecho copias de seguridad. No estarás seguro hasta que sepas con total certeza que si tiras el ordenador por la ventana, todos tus datos los podrás recuperar. El resto, es una "falsa seguridad" de "a mi no me va a tocar", que luego trae estos lloros.

Siento el sermón, pero si todo el que vea este mensaje pierde el culo en hacer copias, este tipo de virus no existiría.

Por cierto... Si te ha entrado es porque le has dejado. Los ramson vienen en correos de ingeniería social: el último fue el de correos, que tenía un paquete para tí, pero no es el único caso. Antes se les veía el pelo rápido, porque las traducciones eran muy malas, pero ya no. Siempre que recibas algo así, debes pensar: ¿por qué tiene Correos mi mail si nunca se lo he dado? O, si tienes un paquete que no esperas... vete a la página del repartidor, y llama por teléfono. O si tu banco te va a bloquear las cuentas a no ser que "pinches el enlace", llama a tu banco... Como han dicho... usa la cabeza. En tu caso, tú o alguien con acceso a tu ordenador, no la usado. No hay otra. El de la policía entraba en ads de páginas web (a mi me saltó, pero era un virus de juguete y lo saqué en dos segundos), pero este es duro porque no va a joderte el ordenador, va a por tus datos, y los busca bien. Hay que usar la cabeza y mucho, cada vez más.

Algo que yo vengo haciendo desde hace un tiempo y que va muy bien, es leer el correo primero en el móvil. Ahí elimino lo que no quiero, o lo que me parece "raro". Al ser siempre ficheros que intentan afectar a Windows en PC, desde mi Windows Phone puedo acceder tranquilo. Luego ya, lo que queda, lo cargo en el PC con Thunderbird si quiero conservarlo. Creo que es una muy buena manera de evitar estos ramson que están tan de moda hoy día.

Pero, repito, en tu caso ya todo esto es tardío... formatea, pero ya. Ni se te ocurra pagar.

Un saludo.
Está claro que pagar es dar alas para que sigan con el negocio,pues le está funcionando.

En mi caso..hace poco hice una clonación con Clonecilla de todo el disco duro que tengo..(dividido en 3 particiones) a otro disco duro de la misma capacidad que tengo puesto tambien en la torre...este último está desconectado de energia y datos.

Conecté de nuevo ese que digo,y asi ya estaban en uso los dos...desde BIOS se inicia el disco de Clonecilla y pasé todo al que comento..(ahora que todo está bien,funcionando y con los últimos juegos y programas)

Dejé solo el clonado y probé que salia todo bien,como con el otro..apagué,volvi a conectar el que uso por defecto y quité las conexiones del otro.

Si tuviera la mala suerte de coger un virus de esos...podria clonar de nuevo del reservado y volver a tenerlo todo bien de nuevo,sin rastros de eso.
Como se arranca desde BIOS,y al clonar elimina por completo lo que haya en el que vá a recibir el clonado..no habria infección en el que está bien y el otro se arreglaria al copiar todo del reservado.

Un buen consejo es tener una copia del disco duro al uso y desconectado del todo.....Se puede dar por besado ese disco duro que no se usa,pero está ahi para una recuperación.
Si ahora me dijeran que me tengo que poner a instalar de nuevo los 2 SO que tengo y meterle todos los programas ,juegos,drivers,configuraciones para todo,etcra,,,,Me dá algo.
Hace un tiempo lo estuve mirando para un cliente de un amigo y la conclusión a la que llegué es que pégale fuego al disco duro, formatea y ni se te ocurra pinchar nada ahí. Es más, si tienes carpetas compartidas en red evita que estén en modo escritura.

Olvídate de recuperar nada, ni se te ocurra enchufar discos o USBs, y si lo has hecho, mételos a un linux para formatearlos, te arriesgas a que el siguiente PC al que se lo enchufes se infecte.
indalocbr1000 escribió:Un buen consejo es tener una copia del disco duro al uso y desconectado del todo.....Se puede dar por besado ese disco duro que no se usa,pero está ahi para una recuperación.


Ese es el problema siempre... La gente coge un HD para copias, y lo acaba usando para todo lo que se te ocurra, de modo que al final, se infecta el principal y el de copias.

Mi disco "de datos" es de 1Tb, y tengo otro de la misma capacidad sólo para copias. Puede parecer tirar 60€ a la basura para tenerlo sólo de copias, pero... La de disgustos que ahorra.

Eso hay que tenerlo claro... si es para copias, es para copias. Punto pelota. Si necesitas espacio, compra otro disco, pero no uses el de copias.

Un saludo.
Yo tengo un PC que comparto con mi hermano, y si bien yo no he tenido problemas nunca con este tipo de problemas, a mi hermano le entro una version light del de la policia.
Mas consejos de los que te han dado hay pocos, los datos estan mas bien perdidos. Hay que acostumbrarse a tener copias de seguridad de los datos personales (Fotos, etc) por que esos no los podras volver a recuperar.
Dicho esto, recuerdo haber leido hace poco que estaban aprovechando la campaña de Windows 10 para infectar con un ransomware, que imitaba perfectamente un mail de Microsoft y esas cosas, que te decia que podias utilizar el media creation tool dandole al enlace que venia, y ya sabeis como acaba la pelicula.
Hay que andarse con mil ojos.
A ver, la recurrida frase de que hay que usar el ordenador "con más cabeza" es algo relativo ya que no hace falta abrir ningún correo sospechoso (jamás los abro) ni hacer click en alguna de esas actualizaciones fakes para acabar infectado.

Este virus ha sido creado para aprovechar cualquier vulnerabilidad del equipo, así que en mi caso, con Windows XP, lo ha tenido bastante fácil ya que, al margen de que el sistema operativo lleva tiempo desantendido por parte de Microsoft, hay aplicaciones que no pueden ser actualizadas a su última versión (por ejemplo, Java). De todos modos, este virus ha infectado varios equipos de grandes empresas cuyos sistemas operativos están actualizados y tienen buenos sistemas de seguridad.

Suelo hacer copias de seguridad mensualmente (aunque a partir de ahora tendré que hacerlas cada semana), pero el hecho de tener que volver a instalar el sistema operativo (y lo que es peor, esperar a que se carguen todas las actualizaciones) y reinstalar los programas que tenía, es un trabajo que no gusta a nadie.

Lo que me ha parecido una gran idea es clonar el disco cuando esté Win XP actualizado y tenga todos los programas instalados, ya que eso me ahorrará mucho trabajo en el futuro.
¿XP aun actualiza desde windows update?
Esa es otra duda que tengo, porque como no se actualice, la cosa todavía se complicará más.

Lo que comunicó Microsoft en su día es que iba a dejar el sistema desatendido y no iba sacar nuevas actualizaciones, pero no sé si las existentes se podrán seguir descargando.

Otra opción sería instalar Windows 7-32 bits, ya que el portátil es de los que "regalaba" Banesto al domiciliar la nómina; es decir, un HP Compaq Presario C700 con un procesador Intel Celeron 560 a 2.13GHz al que le amplié la RAM a 3 GB y le cambié el sistema operativo que traía (Vista) a Windows XP.
apachusque escribió:
indalocbr1000 escribió:Un buen consejo es tener una copia del disco duro al uso y desconectado del todo.....Se puede dar por besado ese disco duro que no se usa,pero está ahi para una recuperación.


Ese es el problema siempre... La gente coge un HD para copias, y lo acaba usando para todo lo que se te ocurra, de modo que al final, se infecta el principal y el de copias.

Mi disco "de datos" es de 1Tb, y tengo otro de la misma capacidad sólo para copias. Puede parecer tirar 60€ a la basura para tenerlo sólo de copias, pero... La de disgustos que ahorra.

Eso hay que tenerlo claro... si es para copias, es para copias. Punto pelota. Si necesitas espacio, compra otro disco, pero no uses el de copias.

Un saludo.


Bien dicho...yo pienso igual...

El disco duro que uso es de 1 tera y el que uso para clonar a este,tambien...está copiado todo...Puede tardar en hacerlo unas 3 horas..pero ahi están ..desde los Sistemas operativos,los juegos.los emuladores con sus juegos en isos,la música,fotos,videos musicales y peliculas,comics ..todo,todo y todo...Si tuviera que hacer recuperación,lo hago de todo..

Si quiero mas espacio,uso otros discos,pero ese está reservado solo para posible recuperación.
Por cierto, el link del programa de desencriptado es válido para infecciones por el ransomware Locker (que según parece, venía de "regalo" con el juego Minecraft), pero no sirve para Cryptowall 3.0.

De hecho, ninguno de mis archivos tiene una extensión extraña; simplemente tienen la misma extensión que tenían, pero al intentar abrirlos, salta el mensaje de que han sido encriptados.

Intenté hacer una limpieza con Eset Online Scaner y encontró 1462 archivos infectados, pero al llegar al 94% siempre se queda bloqueado (lo intenté dos veces), por lo que no hay forma de eliminar las infecciones.

Malwarebytes Anti-Malware no encuentra ninguna infección y Dr. Web Cure It!, en cuanto lo inicio, puedo ver en el administrador de tareas de Windows que también se activan dos archivos desconocidos (formados por letras y números) con la extensión .exe que supongo que falsearán los datos, ya que al acabar el proceso, el informe es que no hay amenazas.
Usar Windows XP y Panda antivirus...

Que yo sepa, una vez se han encriptado los archivos, sin la clave para desencriptarlos poco vas a poder hacer. Lo siento...
Pero si tienes un buen antuvirus suele proteger a mi amigo le entro el virus de la policia y estaba mirando porno jajajaq que supongo que pueden estar en cualquier sitio,pero hay que protegersdal maximo y evitar abrir archivos que no sean de fuentes fiables
Ya, pero es que a nivel mundial se han infectado cientos de equipos con sistemas operativos actuales y antivirus de pago (y no sólo de particulares, sino de empresas); aunque, es cierto que en mi caso, lo tenían "a huevo".

Por cierto, una vez que haya formateado el equipo y tenga todo instalado, ¿me aconsejáis usar CryptoPrevent?
Neo Cortex escribió:Por cierto, el link del programa de desencriptado es válido para infecciones por el ransomware Locker (que según parece, venía de "regalo" con el juego Minecraft), pero no sirve para Cryptowall 3.0.

De hecho, ninguno de mis archivos tiene una extensión extraña; simplemente tienen la misma extensión que tenían, pero al intentar abrirlos, salta el mensaje de que han sido encriptados.

Intenté hacer una limpieza con Eset Online Scaner y encontró 1462 archivos infectados, pero al llegar al 94% siempre se queda bloqueado (lo intenté dos veces), por lo que no hay forma de eliminar las infecciones.

Malwarebytes Anti-Malware no encuentra ninguna infección y Dr. Web Cure It!, en cuanto lo inicio, puedo ver en el administrador de tareas de Windows que también se activan dos archivos desconocidos (formados por letras y números) con la extensión .exe que supongo que falsearán los datos, ya que al acabar el proceso, el informe es que no hay amenazas.




Prueba el Junkware Removal Tool (JRT) a ver si te puede echar una mano, aunque si es muy nuevo el troyano puede que no.
Joder, esperad a que alguien introduzca un cryptolocker DENTRO del firmware de un disco duro. Nos vamos a cagar. Ni con formateo!.
Moki_X escribió:Joder, esperad a que alguien introduzca un cryptolocker DENTRO del firmware de un disco duro. Nos vamos a cagar. Ni con formateo!.

Que pena que el firmware de los discos duros sea de solo lectura.
yo esos discos duros ni los usaría cuadno formatee por si las moscas
¿Pero hay algún virus (o cualquier otro programa) que pueda sobrevivir a un formateo lento? Es que en tal caso, me compraría otro disco duro y asunto solucionado, pero me parece raro que al formatear pueda quedar algo.
donde trabajo entro el cryptowall3 tambien, en un xp justamente, el único que quedaba
infectó todo y además se propagó por la red, miles de archivos y cientos de gigas encriptados en 2 dias...

hay que reconocer que desde el punto de vista técnico es una pasada, menos mal que habian backups, pero el tiempo perdido no te lo quita nadie

formateando yo estaría tranquilo, aun no he visto que los virus se metan en el firmware del disco duro...
Neo Cortex escribió:¿Pero hay algún virus (o cualquier otro programa) que pueda sobrevivir a un formateo lento? Es que en tal caso, me compraría otro disco duro y asunto solucionado, pero me parece raro que al formatear pueda quedar algo.

Formateo rápido es suficiente.
amchacon escribió:
Moki_X escribió:Joder, esperad a que alguien introduzca un cryptolocker DENTRO del firmware de un disco duro. Nos vamos a cagar. Ni con formateo!.

Que pena que el firmware de los discos duros sea de solo lectura.


No. El firmware de los HDD se puede leer y escribir (es más, hay muchas actualizaciones de firmware en las páginas de los fabricantes).

Si os mola el tema, mirad los siguientes enlaces (inglés): http://hackaday.com/2015/06/08/hard-dri ... ersistent/ y http://malwaretech.net/MTSBK.pdf

Es decir: se puede hacer un virus ultrapersistente, ultrainvisible y resistente a formateos.

Y si esto lo ha hecho un ingeniero en su tiempo libre, a saber lo que habrán hecho ciertos gobiernos con presupuesto infinito y un equipo de hackers...

Pero bueno, esto ya es un poco offtopic :P
Moki_X escribió:
amchacon escribió:
Moki_X escribió:Joder, esperad a que alguien introduzca un cryptolocker DENTRO del firmware de un disco duro. Nos vamos a cagar. Ni con formateo!.

Que pena que el firmware de los discos duros sea de solo lectura.


No. El firmware de los HDD se puede leer y escribir (es más, hay muchas actualizaciones de firmware en las páginas de los fabricantes).

Si os mola el tema, mirad los siguientes enlaces (inglés): http://hackaday.com/2015/06/08/hard-dri ... ersistent/ y http://malwaretech.net/MTSBK.pdf

Es decir: se puede hacer un virus ultrapersistente, ultrainvisible y resistente a formateos.

Y si esto lo ha hecho un ingeniero en su tiempo libre, a saber lo que habrán hecho ciertos gobiernos con presupuesto infinito y un equipo de hackers...

Pero bueno, esto ya es un poco offtopic :P

Problema: Afecta a un modelo de disco duro en concreto.
amchacon escribió:Problema: Afecta a un modelo de disco duro en concreto.


Solución: "Tan sólo" es una prueba de concepto hecha por un ingeniero en su tiempo libre. Todos los procedimientos que ha empleado se pueden portar tranquilamente a otros modelos de disco duro. Esto "tan sólo" es investigación.
jazcks escribió:donde trabajo entro el cryptowall3 tambien, en un xp justamente, el único que quedaba
infectó todo y además se propagó por la red, miles de archivos y cientos de gigas encriptados en 2 dias...

hay que reconocer que desde el punto de vista técnico es una pasada, menos mal que habian backups, pero el tiempo perdido no te lo quita nadie

formateando yo estaría tranquilo, aun no he visto que los virus se metan en el firmware del disco duro...

En mi caso le llevó mucho menos tiempo (alrededor de 1 hora y media) porque tenía pocos datos en el portátil y porque el Panda lo contuvo como pudo en modo normal. Eso sí, en cuanto entré en modo seguro hizo lo que quiso... vaya ironía llamarle "modo seguro".

Y es cierto que técnicamente es un virus perfecto, elaborado magistralmente para hacer daño; de hecho, todo lo demás que conozco, es "sopa de sobre".
Moki_X escribió:
amchacon escribió:Problema: Afecta a un modelo de disco duro en concreto.


Solución: "Tan sólo" es una prueba de concepto hecha por un ingeniero en su tiempo libre. Todos los procedimientos que ha empleado se pueden portar tranquilamente a otros modelos de disco duro. Esto "tan sólo" es investigación.

Tengo mis dudas, cada disco duro funciona diferente, incluso aunque sea del mismo fabricante.

Habría que ir sacando versiones del virus para todos los modelos de disco actuales y futuros...
Ya que estáis hablando del tema y que un compañero lo ha comentado en la primera página... me ha llegado un correo en el que me informan de mi reserva a Win10 y que puedo utilizar el Media Creation Tool para no esperar. Me parece raro porque ya me saltó la opción de actualizar hace un par de días sin forzar nada.

El remitente del correo es Windows@e-mail.microsoft.com

Qué opináis?
amchacon escribió:
Moki_X escribió:Joder, esperad a que alguien introduzca un cryptolocker DENTRO del firmware de un disco duro. Nos vamos a cagar. Ni con formateo!.

Que pena que el firmware de los discos duros sea de solo lectura.


Que pena que seagate te diga como actualizar el firmware de sus discos duros. http://knowledge.seagate.com/articles/es/FAQ/207931es?language=es

Existen virus que se introducen hasta en la uefi y en la bios. Se puede infectar el firmware de routers, coches, puntos de acceso, plc's, lectores de dvd/cdrom/br, .... hasta de los teclados, con lo que tienes el keylogger perfecto.
Esog Enaug escribió:
amchacon escribió:
Moki_X escribió:Joder, esperad a que alguien introduzca un cryptolocker DENTRO del firmware de un disco duro. Nos vamos a cagar. Ni con formateo!.

Que pena que el firmware de los discos duros sea de solo lectura.


Que pena que seagate te diga como actualizar el firmware de sus discos duros. http://knowledge.seagate.com/articles/es/FAQ/207931es?language=es

Existen virus que se introducen hasta en la uefi y en la bios. Se puede infectar el firmware de routers, coches, puntos de acceso, plc's, lectores de dvd/cdrom/br, .... hasta de los teclados, con lo que tienes el keylogger perfecto.

Supongo que solo es cuestión de tiempo que los fabricantes solo admitan actualizar con fimrware firmado...
xemma escribió:Ya que estáis hablando del tema y que un compañero lo ha comentado en la primera página... me ha llegado un correo en el que me informan de mi reserva a Win10 y que puedo utilizar el Media Creation Tool para no esperar. Me parece raro porque ya me saltó la opción de actualizar hace un par de días sin forzar nada.

El remitente del correo es Windows@e-mail.microsoft.com

Qué opináis?


http://diarioti.com/ransomware-suplanta ... -10/89507/

Ojito... xD
LoRdShan escribió:
xemma escribió:Ya que estáis hablando del tema y que un compañero lo ha comentado en la primera página... me ha llegado un correo en el que me informan de mi reserva a Win10 y que puedo utilizar el Media Creation Tool para no esperar. Me parece raro porque ya me saltó la opción de actualizar hace un par de días sin forzar nada.

El remitente del correo es Windows@e-mail.microsoft.com

Qué opináis?


http://diarioti.com/ransomware-suplanta ... -10/89507/

Ojito... xD

Era algo así la verdad... estaba muy currado y parecía completamente de Windows, pero sospeché porque ya lo tenía actualizado xD así que borré el e-mail.

Sabéis cuál era la web que te comprobaba las url y te informaba si contenían virus?
jazcks escribió:donde trabajo entro el cryptowall3 tambien, en un xp justamente, el único que quedaba
infectó todo y además se propagó por la red, miles de archivos y cientos de gigas encriptados en 2 dias...

hay que reconocer que desde el punto de vista técnico es una pasada, menos mal que habian backups, pero el tiempo perdido no te lo quita nadie

formateando yo estaría tranquilo, aun no he visto que los virus se metan en el firmware del disco duro...


Aquí otro afortunado que ha sufrido en el trabajo, los que haceres de ese majestuoso virus. Cabe resaltar que 15 días antes me topé con un portátil, infectado hasta las trancas por ese mismo virus y sin miramiento alguno, lo formatee.

15 días después, en un ordenador con xp y eset antivirus, hay que decir, que mi cabeza estaba en modo vacaciones, la usuaria del ordenador, me indica que el antivirus le está dando notificaciones de interpretación de ataques.. A lo que voy, miro, y le digo, tranquila, el ordenador te está cazando los ataques... Lerdo, estaba notificando, que te estaba encriptando el disco. Cabe señalar que no descargó nada, según ella, el ataque le vino, tras estar viendo una web de una inmobiliaria para ver la tasación de su casa del pueblo.

Resultado? 1 día, entre el restablecimiento de los fichero del servidor y reinstalacion de todo el software en el ordenador infectado, aprovechando ya y metiendo 8.1 X64.

Para todas esas cosas los tengo bien aleccionados a todos los del trabajo.
amchacon escribió:Supongo que solo es cuestión de tiempo que los fabricantes solo admitan actualizar con fimrware firmado...


Como en los moviles, no? .... pero luego o no comprueban la firma, o solo "comprueban" parte de la firma de la web ..... Como en algunas versiones de ios y en algunos android que se puede colar una actualizacion falsa ......
Pues imaginate si eso pasa en un dispositivo como un movil (con toda su potencia de calculo) lo que pasará en aparatos mucho mas "tontos"
Esog Enaug escribió:
amchacon escribió:Supongo que solo es cuestión de tiempo que los fabricantes solo admitan actualizar con fimrware firmado...

Como en los moviles, no? ....

:-?

Precisamente a android le puedes meter roms cocinadas por terceros (es más, la rom por defecto ya viene cocinada por el fabricante, no es la original de google)., no existe ningún bloqueo por firma para actualizar.

Esog Enaug escribió: Como en algunas versiones de ios y en algunos android que se puede colar una actualizacion falsa ......

:-?
Hola hace cosa de 1 semana me llamó un colega que no podia abrir ningun archivo ni doc, jpg, avi etc. Resulta que le avia entrado este virus encriptandole todos los archivos mencionados.
Resulta que cuando le añadia unas palabras con una id ejemplo "archivo.avi.id-78877441.sos@tuta.io"
Probe a quitarle la extension .id-78877441.sos@tuta.io pero decia que el archivo estaba defectuoso.
Como queria salvar los archivos sobre todo la musica en mp3 lo que queria era crearle una lista en txt para que mas adelante volviera a crearsela. Utilice un programa para renombrar archivos masivamente " ANT RENAME" y lo que hacia era eliminar la cadena ".id-78877441.sos@tuta.io" dejandolo como estaria antes. Pues al renombrarlos los mp3, avi y mpg se volvieron a leer y funcionaban bien.
Los documentos y los pdf y las fotos es lo que no pude recuperar.
Asique si os puede ayudar lo que hice mejor.

Que decir que probe muchos programas para recuperar doc, jpg pero ninguno funciono.
Por lo menos algo pude recuperarle.
Eso de poner virus en los firmwares... se obvia el hecho de que el programador del virus entre que hace pruebas, flashea y testea, se puede cargar el firmware fácilmente y quedarse con el dispositivo completamente inutilizado.

Así que sí, se pueden hacer.. :p
skar_19 escribió:Hola hace cosa de 1 semana me llamó un colega que no podia abrir ningun archivo ni doc, jpg, avi etc. Resulta que le avia entrado este virus encriptandole todos los archivos mencionados.
Resulta que cuando le añadia unas palabras con una id ejemplo "archivo.avi.id-78877441.sos@tuta.io"
Probe a quitarle la extension .id-78877441.sos@tuta.io pero decia que el archivo estaba defectuoso.
Como queria salvar los archivos sobre todo la musica en mp3 lo que queria era crearle una lista en txt para que mas adelante volviera a crearsela. Utilice un programa para renombrar archivos masivamente " ANT RENAME" y lo que hacia era eliminar la cadena ".id-78877441.sos@tuta.io" dejandolo como estaria antes. Pues al renombrarlos los mp3, avi y mpg se volvieron a leer y funcionaban bien.
Los documentos y los pdf y las fotos es lo que no pude recuperar.
Asique si os puede ayudar lo que hice mejor.

Que decir que probe muchos programas para recuperar doc, jpg pero ninguno funciono.
Por lo menos algo pude recuperarle.


Dudo que hubiera sido cryptowall, pues no renombra archivo alguno, solo añade. Dos ficheros por directorio infectado. Uno es txt y otro es uno que abre el navegador...
Jar-Jar escribió: 15 días después, en un ordenador con xp y eset antivirus, hay que decir, que mi cabeza estaba en modo vacaciones, la usuaria del ordenador, me indica que el antivirus le está dando notificaciones de interpretación de ataques.. A lo que voy, miro, y le digo, tranquila, el ordenador te está cazando los ataques... Lerdo, estaba notificando, que te estaba encriptando el disco. Cabe señalar que no descargó nada, según ella, el ataque le vino, tras estar viendo una web de una inmobiliaria para ver la tasación de su casa del pueblo.

En mi caso, el Panda me alertó de que había encontrado un virus (identificado como un .exe formado por un combinación de letras y números) y que debía reiniciar el portátil; pero a los pocos minutos de reiniciarlo, me volvía a informar de lo mismo. Mientras ocurría esto, los archivos NO se encriptaron, pero fui de espabilado e inicié en modo seguro para pasarle el Malwarebytes Anti-Malware y el Dr. Web y eso fue mi perdición porque en modo seguro, el Panda se "desactivaba" continuamente. Yo lo achaqué a que alguno de los dos programas de desinfección mencionados impedían su funcionamiento para hacer su labor, pero en realidad era el Cryptowall, que me estaba destrozando vivo.

Yo tampoco abrí ni descargué nada (por lo menos conscientemente) y creo que el virus se aprovechó de una vulnerabilidad de Flash Player, concretamente la Adobe Flash Player 18ActiveX, que no soy capaz de instalar desde que entró el virus (ya sé que no sirve de nada a estas alturas, pero aprovechando que el portátil está fundido, me dedico a hacer pruebas).

-----

skar_19 escribió:Utilice un programa para renombrar archivos masivamente " ANT RENAME" y lo que hacia era eliminar la cadena ".id-78877441.sos@tuta.io" dejandolo como estaria antes. Pues al renombrarlos los mp3, avi y mpg se volvieron a leer y funcionaban bien.

Sería otro virus encriptador, porque el Cryptowall 3.0 no modifica ninguna extensión; sino que te deja todo exactamente igual que estaba, pero inaccesible. Versiones anteriores lo que hacían era clonar los ficheros a la vez que los encriptaba y luego borraba los originales; de este modo, con algún programa recuperador de archivos borrados (tipo Recuva y similares) y mucha suerte, se podían recuperar algunos archivos.
Neo Cortex, en mi caso, la respuesta te puedo indicar que fue al día siguiente. La infección empezó a las 17:33 del día anterior, pero como los ordenadores se quedan apagados, entiendo que el destrozo no fue mayor al haber apagado a las 20:00, el problema de verdad vino al día siguiente, cuando con tiempo empezó a hacer se las suyas en las carpetas compartidas se la Red, afortunadamente los permisos que tienen los usuarios en mi Red, son muy limitados.
Jar-Jar escribió: Dudo que hubiera sido cryptowall, pues no renombra archivo alguno, solo añade. Dos ficheros por directorio infectado. Uno es txt y otro es uno que abre el navegador...

En mi caso me añadió CUATRO archivos por directorio, concretamente estos:
HELP_DECRYPT.HTML
HELP_DECRYPT.TXT
HELP_DECRYPT.URL
HELP_DECRYPT.PNG

De todos modos, esos archivos son inofensivos y sirven simplemente para "informar" al usuario de la infección; pero el virus de verdad no lo notas hasta que ya es demasiado tarde.
indalocbr1000 escribió:Está claro que pagar es dar alas para que sigan con el negocio,pues le está funcionando.



Es que si pagas no es para que te desencripten el porno, o el txt con las fechas de cumpleaños que escribes para no olvidarte, ni las fotos de las últimas vacaciones. La gente que paga es porque el precio que le piden por sus archivos es menor que el coste de perderlos. Es una putada, pero no es como si hubiese alternativa.
En mi caso, dos, un png y un URL.
Cecil_Harvey escribió:
indalocbr1000 escribió:Está claro que pagar es dar alas para que sigan con el negocio,pues le está funcionando.



Es que si pagas no es para que te desencripten el porno, o el txt con las fechas de cumpleaños que escribes para no olvidarte, ni las fotos de las últimas vacaciones. La gente que paga es porque el precio que le piden por sus archivos es menor que el coste de perderlos. Es una putada, pero no es como si hubiese alternativa.


Razón de mas para tener una copia de todo lo importante a buen recaudo---en un hdd,por ejemplo como yo,que no está conectado a nada..solo se pone para recibir actualizaciones cuando las haya..por datos nuevos en el disco principal.Y cuando todo está bien,claro.

Yo no tengo nada realmente super importante que perder...es mas bien por la pereza de tener que formatear y tener que volver a ponerlo todo.

Si mañana,al encender el PC,me encontrara con los archivos encriptados,...pues apago..quito el panel de la torre..conecto el HDD con la copia buena de todo..pongo el disco del clonecilla y vuelvo a clonar y con ello a recuperar todo lo que tenia,a la vez que se borra por completo lo que hubiera en el HDD infectado....(el disco bueno no se veria afectado,pues no se hace desde windows,sino desde BIOS la carga del Clonecilla).

Puede que tarde unas 3 horas o asi el proceso...pero no pago a estafadores,recupero todo de nuevo y paso de calentarme la cabeza con programas que puede que si o que no arreglaran el problema.
Cecil_Harvey escribió:
indalocbr1000 escribió:Está claro que pagar es dar alas para que sigan con el negocio,pues le está funcionando.



Es que si pagas no es para que te desencripten el porno, o el txt con las fechas de cumpleaños que escribes para no olvidarte, ni las fotos de las últimas vacaciones. La gente que paga es porque el precio que le piden por sus archivos es menor que el coste de perderlos. Es una putada, pero no es como si hubiese alternativa.


Pero si han demostrado que aún pagando y recibiendo la clave correcta de desencriptado los ficheros eran inservibles.

Lo que la gente debe de acostumbrarse es a hacer copia real de datos importantes.

La música, películas y juegos, es triste decirlo, lo bajas de la Red, pero los recuerdos de tus fotos, se quedan en tu memoria y esa tb se pierde.
R
Ok pues entonces seria otro, perdonar por el error
Formatea y a tomar por saco el virus, yo solo uso el SSD principal para el SO, todo lo demas lo tengo en otro HDD que tengo, yo tuve un problema similar al tuyo por no tener el Win 7 actualizado, me llego con el SP1 y no hice caso al Windows Update, y no me iba nada ningun programa, ni hardware nuevo que conectaba, tenia el PC infectado con monton de cosas raras, asi que formatee, instale de nuevo Windows 7, descargue todas las actualizaciones de Windows Update y empezo a funcionar bien bien, prueba a meterle un SO mas nuevo como Windows 8.1 o Windows 7
Akiles_X escribió: Prueba a usar https://noransom.kaspersky.com/

¿Cómo se usa ese link, porque donde pone "Enter your data here" no me deja pegar nada?.
Pensé que había que pegar uno de los archivos encriptados, pero después de copiarlo, no me deja pegarlo. Quizá se indique el proceso en el texto previo, pero como no sé inglés, no me entero de nada.
69 respuestas
1, 2