Bueno, al igual que el compañero de un poco mas abajo, he tenido la suerte de comerme un ransomware, aunque en mi caso ha sido bastante diferente en el alcance y las posibles consecuencias.
Versión corta: He sido infectado con el ransomware HTML/Tescrypt pero parece que solo me afecto a una carpeta super rebuscada dentro de appdata (parece ser que windows defender lo detuvo) y a todos los archivos a diferencia de como hacen otros que solo afecta a determinadas extensiones.
Proceso de infección (version larga):
Para empezar, llevaba 3 años con win7 sin formatear con mil mierdas que he ido instalando y sin antivirus y sin problemas, hasta que decidí aprovechar que acabe el curso para actualizar a win10 en semana santa.
La cosa es que desde entonces y despues de pegarme todos los dias 8h programando en las practicas la verdad que apenas estoy tocando el pc (aunque debería estar haciendo el proyecto final xD) para nada mas que navegar un rato y mirar las 4 cosas que miro siempre.
Lo ultimo que instale fue Microsoft Visual Studio + Xamarin la semana pasada por lo que descargo una infección por esa vía. Y lo único fuera de mi rutina fue la búsqueda y descarga de un libro de patricia cornwell en .epub que luego le metí a la table, el martes por la noche, por lo que deduzco que en algún momento mientras navegaba por alguna de esas webs donde suele haber publicidad de dudosa procedencia me infecte de alguna manera que no alcanzo a comprender. (ni siquiera se puede navegar ya?).
También el miércoles por la tarde, 20min antes de percatarme del problema, guarde una imagen de un buho de un blog de un fotografo de aves que había dejado en una pestaña la noche anterior por lo que no creo que fuera ahí. Todo esto hablando de paginas fuera de mi rutina.
La cosa es que a las 17:35 el windows defender lanza un aviso de que esta eliminando algo, así que me extraño y voy a mirar el que y me habla de que ha encontrado el siguiente archivo en una carpeta del instalador del Catalyst Control Center de AMD y que el virus es el Ransom:HTML/Tescrypt.E
C:\AMD\WU-CCC2\ccc2_install\de_crypt_readme.html
Obviamente se me pusieron de corbata y fui corriendo a esa carpeta a ver que pasaba, donde encontré un .bmp que supuse contendría las instrucciones y que no quise tocar en principio y un .bat que supongo que seria de AMD renombrado con .crypt al final.
Luego a los 2min volvió a saltar el windows defender que había encontrado 2 coincidencias mas del Tescrypt.E y Testcryp.C en archivos .txt en la carpeta
La cual al comprobar, ahí si se había jodido bien la marrana, estaba absolutamente todos los archivos de las carpetas encriptados independientemente de la extensión, lo cual me extraño ya que estos suelen atacar a unas extensiones concretas.
La 2º coincidencia hacia referencia a 4 o 5 archivos en algunas carpetas de C:\ProgramData\ por lo que realmente ahí no afecto a nada.
Y se acabo, el windows defender elimino los .txt que había generado (no asi los .bmp con las instrucciones), y raudo y veloz instale y pase tanto el malwarebytes como el bitdefender y ni un solo problema.
He estado buscando este ransom y no encontré prácticamente nada sobre el.
La cuestión es que ahora no se muy bien en que estado me encuentro. Realmente el virus ha sido eliminado por el antivirus? Es normal que el virus atacara a un directorio tan especifico y que realmente no contiene información del usuario? Todavía no he reiniciado y no quiero hacerlo por miedo a que se propague.
Ademas sigo sin entender de que manera pueden infectarte navegando... es flipante.
Y bueno el mayor de mis problemas, poco menos de 30min antes de que el antivirus me avisara, sincronice información tanto por google drive como en github, podría infectar a otras personas con las que comparto datos? se puede propagar a la nube o solo es en local y por tanto lo que tenga en la nube esta asegurado?
Alguna idea para rastrear el origen y/o si sigo infectado?
Tengo una paranoia y psicosis encima con el tema de 3 pares de cojones y encima con una impotencia impresionante por las experiencias de otros por culpa de estos desalmados. Que eso si, sabemos reventar la seguridad de iphone e ios pero no somos capaces de rastrear a estos hijosdeputa.
Esta última semana he tenido que arreglar dos pcs de dos personas distintas infectadas por ransomware, por lo que veo en foro coches hay algún que otro más infectado.
Con esto quiero decir que seguramente hayan sacado algún método nuevo de infección o un nuevo tipo de vulnerabilidad.
Si quieres seguir usándolo puedes pasar el malwarebytes, también tiene una versión para este tipo de programas.
Lo mejor es formatear y dejarlo de cero.
Neo Cortex
Grandpa Gamer
20.000 mensajes desde jun 2013 en Галиция
Editado 1 vez. Última: 8/04/2016 - 07:52:42 por Neo Cortex.
lwordl escribió:Esta última semana he tenido que arreglar dos pcs de dos personas distintas infectadas por ransomware, por lo que veo en foro coches hay algún que otro más infectado.
Con esto quiero decir que seguramente hayan sacado algún método nuevo de infección o un nuevo tipo de vulnerabilidad.
Si quieres seguir usándolo puedes pasar el malwarebytes, también tiene una versión para este tipo de programas.
lwordl escribió:Esta última semana he tenido que arreglar dos pcs de dos personas distintas infectadas por ransomware, por lo que veo en foro coches hay algún que otro más infectado.
Con esto quiero decir que seguramente hayan sacado algún método nuevo de infección o un nuevo tipo de vulnerabilidad.
Si quieres seguir usándolo puedes pasar el malwarebytes, también tiene una versión para este tipo de programas.
Esta mañana en el trabajo un compañero estaba buscando para descargarse un programa (piratilla todo sea dicho xD) y tras navegar 5min buscandolo bimba, el chrome se cerraba solo y salto el windows defender eliminando una amenaza.... por suerte no era un ransomware pero vamos, me he quedado flipado, y la de gente que tienen que estar infectando tiene que ser brutal.
Neo Cortex escribió:En mi caso, lo único que sirvió para eliminarlo fue Kaspersky Rescue Disk 10; todo lo demás no lo detectaba.
En lineas generales lo que mas me preocupa es seguir infectado, por que aunque hice respaldo de todo en un disco duro externo que tenia vació, son datos que NECESITO, son 3 años de formación como programador, cientos de proyectos y practicas, miles de lineas de código y en resumen mi propia fuente de documentación.
Necesito confirmar al 100% que ya no estoy infectado y que esos archivos tampoco lo están, al igual que los datos que he subido tanto a google drive como github están limpios, ya que son en su mayoría proyectos de colaboración y podría liarla bien gorda.
lwordl escribió:Esta última semana he tenido que arreglar dos pcs de dos personas distintas infectadas por ransomware, por lo que veo en foro coches hay algún que otro más infectado.
Con esto quiero decir que seguramente hayan sacado algún método nuevo de infección o un nuevo tipo de vulnerabilidad.
Si quieres seguir usándolo puedes pasar el malwarebytes, también tiene una versión para este tipo de programas.
Esta mañana en el trabajo un compañero estaba buscando para descargarse un programa (piratilla todo sea dicho xD) y tras navegar 5min buscandolo bimba, el chrome se cerraba solo y salto el windows defender eliminando una amenaza.... por suerte no era un ransomware pero vamos, me he quedado flipado, y la de gente que tienen que estar infectando tiene que ser brutal.
Neo Cortex escribió:En mi caso, lo único que sirvió para eliminarlo fue Kaspersky Rescue Disk 10; todo lo demás no lo detectaba.
En lineas generales lo que mas me preocupa es seguir infectado, por que aunque hice respaldo de todo en un disco duro externo que tenia vació, son datos que NECESITO, son 3 años de formación como programador, cientos de proyectos y practicas, miles de lineas de código y en resumen mi propia fuente de documentación.
Necesito confirmar al 100% que ya no estoy infectado y que esos archivos tampoco lo están, al igual que los datos que he subido tanto a google drive como github están limpios, ya que son en su mayoría proyectos de colaboración y podría liarla bien gorda.
%100 no sé cómo te lo podrán asegurar que estes o dejes de estar infectado ... Ya que estas interesado en el asunto, te paso el siguiente enlace a un blog http://www.freeforensics.org/ que hablan de técnicas para evitar y/o detectar infecciones
Antiransom solamente es útil, y no en todos los casos, para evitar la encriptación de todos los datos. El software genera carpetas y archivos "gancho" para la encriptación, si éstos son encriptados el programa avisa de la posible infección... Por tanto, una vez infectado no sirve de nada a no ser que el virus infecte dichos archivos "gancho".
Elkri
MegaAdicto!!!
1.683 mensajes desde jul 2002 en Gaditano de pura cepa
Dejando de lado que la probabilidad de que me haya entrado por el bug de flash es bastante alta, donde se supone que reside el virus? Osea dado que en mi caso lo mas probable es que no me infectara al ejecutar algo (por que no ejecute nada), es obvio que intento infectarme y no pudo, pero lo que quiero saber es, los archivos que tengo en mi pc, como puede ser un pdf, txt, mp3, etc que NO estan encriptados ya que no llego a hacerlo, si los paso a un pc sano, pueden llevar regalito dentro?
Desde el miércoles no he vuelto a saber nada hasta hace un rato que me ha saltado el malwarebytes con el siguiente aviso...
Elkri escribió:Dejando de lado que la probabilidad de que me haya entrado por el bug de flash es bastante alta, donde se supone que reside el virus? Osea dado que en mi caso lo mas probable es que no me infectara al ejecutar algo (por que no ejecute nada), es obvio que intento infectarme y no pudo, pero lo que quiero saber es, los archivos que tengo en mi pc, como puede ser un pdf, txt, mp3, etc que NO estan encriptados ya que no llego a hacerlo, si los paso a un pc sano, pueden llevar regalito dentro?
Desde el miércoles no he vuelto a saber nada hasta hace un rato que me ha saltado el malwarebytes con el siguiente aviso...
Yo de ti haría 3 cosas: 0) Opción de "Ocultar ver las extensiones de los archivos" desmarcada asi como la de "Ocultar archivos protegidos del sistema" 1) borraba toda la carpeta de temporales (no borres la carpeta pero si todo lo que hay dentro) 2) Establecería una regla de prohibición en Windows con lo la cual prohibir la ejecución de archivos .exe, .bat, .sfx, .dll dentro de esa carpeta.
Es más yo en tu lugar limpiaba y eliminaba todo el contenido de las carpetas temporales/descargas y revisaba a fondo las carpeta AppData y hacia una buena limpieza del Registro. eliminaba los puntos de restauración cercanos a la fecha de la infección.
Una vez hecho lo anterior (cerciorándome de que no se vuelven a crear archivos raros en Temp) pasaba varios Antivirus/Antispyware/Antimalware.
Lamentablemente en estos casos no hay un modo seguro de eliminar el problema pero si haciendo lo que te he dicho no encuentras nada podrás tener la certeza de que "Estas limpio"
Por otra parte este tipo de malware no se puede incrustarse en un vídeo o en un mp3 pero si los he visto infectar .dll y archivos comprimidos/autoextraibles.
Saludos
amchacon
Revolinuxnario
18.354 mensajes desde nov 2008 en /kernel/fork.c:330
Editado 1 vez. Última: 9/04/2016 - 16:32:27 por amchacon.
Perfect Ardamax escribió: (...) borraba toda la carpeta de temporales (no borres la carpeta pero si todo lo que hay dentro)
Esa carpeta no es la que está en C:\Windows\Temp ¿verdad? Es que he intentado seguir tus consejos, pero tengo miedo a liarla parda borrando lo que no debo
Perfect Ardamax escribió: (...) borraba toda la carpeta de temporales (no borres la carpeta pero si todo lo que hay dentro)
Esa carpeta no es la que está en C:\Windows\Temp ¿verdad? Es que he intentado seguir tus consejos, pero tengo miedo a liarla parda borrando lo que no debo
El contenido de las carpetas TEMP por regla general puedes borrarlo "sin cuidado"... lo que esté en uso, simplemente, no te dejará borrarlo. Y esto es aplicable tanto a: C:\Windows\Temp como en a C:\Users\usuario\AppData\Local\Temp
Al menos en Windows 7 y anteriores (No tengo W10 ahora mismo) pero he hecho una búsqueda rápida en Google y no he encontrada ninguna advertencia al respecto por lo que presupongo que puedes tratarla igual que en W7 (osea se eliminar todo lo que tiene dentro sin llegar a eliminar la carpeta).
Saludos
Neo Cortex
Grandpa Gamer
20.000 mensajes desde jun 2013 en Галиция
Editado 3 veces. Última: 18/08/2019 - 13:01:44 por Neo Cortex.
@Neo Cortex Vamos por partes: "Los archivos de c:\ windows\temp\ _avast_\ carpetas\" ( es donde avast descomprime y envía copias de los archivos para ser escaneados) por lo que es una carpeta que puedes borrar pero Avast te la volverá a crear cuando "Escanee archivos"
"Los archivos de c:\ windows\temp \avast_ash2\" (ni idea de lo que hace)
Safezone ( es la carpeta del modo Sandbox de avast (donde avast ejecuta el software sospechoso sin que afecte al sistema) (es por ello una carpeta restringida de donde nada puede salir) Supuestamente debería volverse a crear ella sólita si la eliminas (cuando te de por ejecutar algo en modo sandbox) pero nunca lo he probado.
Perfect Ardamax escribió:"hsperfdata_system" esa carpeta me preocupa porque no debería estar ahi.... mira
Eso es JAVA.
Lo que hay tras _ es el usuario con el que se ha ejecutado.
¿Estas seguro? lo digo porque no encontré ninguna referencia a Java (cierto es que tampoco busque durante mas de 5 minutos ) (Yo por ejemplo en W7 no la tengo)
Si llevases la razón entonces se puede eliminar también.
Saludos
JohnH
☣ ⚠ ☣
2.886 mensajes desde may 2005 en tu pantalla
Editado 1 vez. Última: 9/04/2016 - 23:48:57 por JohnH.
Perfect Ardamax escribió:"hsperfdata_system" esa carpeta me preocupa porque no debería estar ahi.... mira
Eso es JAVA.
Lo que hay tras _ es el usuario con el que se ha ejecutado.
¿Estas seguro? lo digo porque no encontré ninguna referencia a Java (cierto es que tampoco busque durante mas de 5 minutos ) (Yo por ejemplo en W7 no la tengo)
Si llevases la razón entonces se puede eliminar también.
Saludos
Y tan segurísimo. En el pasado yo también la busqué , en parte porque es una carpeta que, una vez la crea, bloquea la ruta (no la carpeta) hasta que reinicias. (No voy a explicar los detalles de el cómo y el porqué me lo hace).
Es más, si alguien de por aquí juega a Minecraft, te lo confirma en 2 segundos.
Pero, vamos, no hace falta irse tan lejos. Ve a una página que necesite el plugin de JAVA y luego miras la(s) carpeta(s) Temp. Si no se genera nada, es porque cambiaron el modus operandi. Yo uso Java 6.45 (por versión de SO y porque no necesito más) y con este (6.x) ocurre.
Neo Cortex
Grandpa Gamer
20.000 mensajes desde jun 2013 en Галиция
Editado 2 veces. Última: 18/08/2019 - 13:04:58 por Neo Cortex.
La carpeta avast_ash2 contiene a su vez las siguientes carpetas:
Todas ellas están vacías (lo he comprobado activando "mostrar todos los archivos y carpetas ocultos") salvo la de Mozilla FireFox, que contiene tres archivos: download.ini, updtade.xml, updtader.exe.
La de hsperfdata_SYSTEM también está vacía y es probable que sea de Java, pero no estoy muy seguro porque no encuentro información fiable en Internet y tampoco está la cosa como para navegar por aguas desconocidas, que salta un randomware donde menos te lo esperas.
¿La opción de "ocultar archivos protegidos del sistema operativo" la tienes también desactivada?
Si la respuesta anterior es afirmativa todas las carpetas vacías pueden eliminarse pues todas las carpetas que tienes hay son de la instalación y actualización de los programas mencionados (Especialmente la de "google chrome (Avast)" (es el navegador que viene junto al instalador de avast y que al principio de la instalación te pregunta si deseas instalarlo (lo recuerdas )
Respecto a de de Firefox (que contiene archivos) El programa updater.exe es el programa de actualización de Firefox que tiene que dejar pasar a ejecutar. Y el archivo download.ini es un fichero de configuración utilizado por el "actualizador de Firefox" debe contener la hora y días de cuando busca nuevas actualizaciones o simplemente información para "updater.exe".
Respecto a si puedes o no borrarla yo diría que si (apostaría a que son restos de la anterior actualización de firefox) es más en el peor de los casos firefox dejaría de buscar actualizaciones sólito y tendrás tu por tu cuenta que actualizarlo (no es algo que puede joder el programa) Pero como digo yo apostaría a que son restos de la anterior "actualización". ¿Has mirada la ultima fecha de acceso/modificación/creación de dichos archivos? (para saber si están hay desde la creación del universo o solo desde la semana pasada cuando actualizaste firefox a una nueva versión )
Saludos
Neo Cortex
Grandpa Gamer
20.000 mensajes desde jun 2013 en Галиция
Editado 1 vez. Última: 18/08/2019 - 12:59:16 por Neo Cortex.
Neo Cortex escribió:La de hsperfdata_SYSTEM también está vacía y es probable que sea de Java, pero no estoy muy seguro porque no encuentro información fiable en Internet y tampoco está la cosa como para navegar por aguas desconocidas, que salta un randomware donde menos te lo esperas.
Calla, calla, que desde que me entró el Cryptowall 3.0 prefiero que digan "aquí corrió que aquí murió" Teniendo NoScript creo que ya bloquea los Flash; y Java siempre lo actualizo desde su web
JohnH
☣ ⚠ ☣
2.886 mensajes desde may 2005 en tu pantalla
Editado 1 vez. Última: 10/04/2016 - 15:50:57 por JohnH.
Calla, calla, que desde que me entró el Cryptowall 3.0 prefiero que digan "aquí corrió que aquí murió" Teniendo NoScript creo que ya bloquea los Flash; y Java siempre lo actualizo desde su web
NoScript también bloqueará, supongo (desde hace unos años la mayor parte de Flash se invoca con javascript). Yo es que en K-meleon no puedo instalarlo y en Firefox no lo uso (navego normalmente sin javascript salvo las página que lo requieran), así que de ahí ese plugin, que es exclusivamente para el bloqueo de Flash.
Lo de JAVA te lo pongo para probar la creación de la carpeta que comentábamos y os quedéis tranquilos , no para actualizar.
Esa página en particular carga un applet para decir qué versión tienes instalada. Nada más.