Cryptowall 3.0, un virus letal

Neo Cortex escribió:
Akiles_X escribió: Prueba a usar https://noransom.kaspersky.com/

¿Cómo se usa ese link, porque donde pone "Enter your data here" no me deja pegar nada?.
Pensé que había que pegar uno de los archivos encriptados, pero después de copiarlo, no me deja pegarlo. Quizá se indique el proceso en el texto previo, pero como no sé inglés, no me entero de nada.

Se te ha pasado leer lo de: For more information please see this how-to. que te enlaza a https://noransom.kaspersky.com/static/c ... manual.pdf
Ah, vale; entonces lo que tengo que hacer es descargarme el Kaspersky Internet Security - Multidevice for free y luego seguir los pasos del tutorial en PDF.
Voy a ver si soy capaz de sacar algo en claro porque jamás he estudiado inglés ya que en mis tiempos de estudiante, el idioma extranjero era el francés.

Gracias [oki]
amchacon escribió:
Esog Enaug escribió:
amchacon escribió:Supongo que solo es cuestión de tiempo que los fabricantes solo admitan actualizar con fimrware firmado...

Como en los moviles, no? ....

:-?

Precisamente a android le puedes meter roms cocinadas por terceros (es más, la rom por defecto ya viene cocinada por el fabricante, no es la original de google)., no existe ningún bloqueo por firma para actualizar.

Esog Enaug escribió: Como en algunas versiones de ios y en algunos android que se puede colar una actualizacion falsa ......

:-?


Churras y merinas.

Una cosa es que tu puedas, a traves de un loader, instalar otro sistema operativo y otra MUY diferente es actualizar ese SO. Y es el ese punto , el de la actualización, es donde hay que usar MUY bien el cifrado punto a punto, pues se puede hacer mediante un ataque MiD o envenenando las DNS, que el movil crea que hay una actualización de una parte del SO y la instale. Esto se evita implementado cifrados fuertes, usando https, sFTP o lo que quieras, pero los datos encriptados.

Bien pues en los moviles está implementado mas o menos mal, según la empresa, y ya hay casos de ataques de esta forma. Se puedes dar casos similares tambien con las aplicaciones (de hay la seguridad que implementan las tiendas), mucho más graves debido a su número.
Al final parece que he logrado eliminar el virus Cryptowall con Kaspersky (de hecho, encontró 134 infecciones); eso sí, los archivos de datos ya me los cargué todos porque no valían para nada debido a la encriptación.

Al eliminar el virus, también me quedé sin algunos programas, entre ellos, JDownloader ¿?; así que me dispuse a volver a instalarlo. Mi sorpresa ha sido mayúscula al descubrir que ahora ya no se descarga el programa tal cual de la web oficial, sino que hay que bajar un instalador, el cual, te endiña "de regalo" un secuestrador de navegador, concretamente Istarsurf, que te cambia la página de inicio y el motor de búsqueda de todos los navegadores (en mi caso, Explorer, FireFox y Chrome). Afortunadamente, Malwarebytes-Antimalware lo elimina sin despeinarse.

La verdad es que esto de los instaladores es una práctica de mal gusto que se está poniendo de moda sobre todo en los casos de programas gratuitos. Al final, la única forma de no infectarse con nada va a ser vivir en una burbuja sin conexión a Internet.
Había un programa muy chulo para que los instaladores no te añadieran programas raros ni secuestros de páginas...

Si lo encuentro lo pongo.

Cabe señalar que en un disco externo, una carpeta compartida a través de lan y similares con borrar los ficheros infectados y los ficheros que te deja de información, es seguro, en el equipo que sabes que se ha iniciado la infección, lo mejor es formato y listo.
Jar-Jar escribió:Había un programa muy chulo para que los instaladores no te añadieran programas raros ni secuestros de páginas... Si lo encuentro lo pongo

Pues sería de gran ayuda, la verdad, porque no es la primera vez que me pasa.
Por ejemplo, Softonic también se ha apuntado al carro desde hace tiempo y por ello siempre procuro ir a la página oficial para bajar programas gratuitos; pero ahora, ni las webs oficiales ofrecen garantía alguna (si es que la ofrecían alguna vez).


Cabe señalar que en un disco externo, una carpeta compartida a través de lan y similares con borrar los ficheros infectados y los ficheros que te deja de información, es seguro, en el equipo que sabes que se ha iniciado la infección, lo mejor es formato y listo.

Ése es el miedo que tengo, que aunque "parezca" que el virus se ha eliminado, todavía siga en el equipo.
He creado varios documentos en word, excel y corel para ver si los encriptaba, pero han permanecido intactos; lo que, aunque esperanzador, la verdad es que tampoco garantiza nada.
A ver, en el equipo infectado, lo recomendable es formateo. Pero en una unidad de Red, caso, disco externo, con eliminar los infectados te vale. Yo lo tengo así en el curro, vale que en breve, micro el sistema operativo a un 2k12 server.... Está todo preparado para quitar un disco y poner otro.
Jar-Jar escribió:A ver, en el equipo infectado, lo recomendable es formateo. Pero en una unidad de Red, caso, disco externo, con eliminar los infectados te vale.

Claro, claro; pero a mí "sólo" (lo de sólo es un eufemismo) me infectó el equipo porque los discos externos que uso como copia de seguridad y almacenamiento de música los tengo siempre desconectados y a tres metros del portátil, por si hubiese contagio aéreo xD.

Lo que ocurre es que como todo funciona bien, me da pereza formatear... aunque también es cierto que la pereza es la mayor enemiga de los usuarios de ordenadores. Por otro lado, he buscado diversa información y creo que Cryptowall no ataca a los programas, sino a los datos; pero, sinceramente, ando con la mosca detrás de la oreja y no me atrevo a conectar ningún pendrive o disco duro al portátil, así que tampoco es plan de seguir viviendo con esta incerticumbre.
Para Jdownloader el truco está en buscar en google: "jdowloader beta 2 free adware" o algo similar no recuerdo exacto, y el primer link te lleva a los foros oficiales, de donde bajas el instalador libre de mierda. El resto de descargas de la página oficial, contienen el bicho, la versión sin el malware, está en la página oficial, pero está "escondida" por los foros.

Y luego, para el otro tema, la pereza de reinstalar todo desde cero, lo que yo uso es Acronis, que te crea una partición de recuperación oculta a todo, y durante el arranque del pc te permite volver a "estado de fábrica" pulsando una F, como los recovery de los portátiles. Lo bueno es que es super rápido, para crearla, pero sobre todo para reponerla, y siempre puedes guardar esa partición a modo de copia de seguridad (tipo clonezilla) en cualquier otro hd.

Esto me ha salvado en más de una ocasión incluso con el hd jodido fisicamente he podido clonar esta parte sobre otro y en 7 min. volver a tener el pc como el primer día.

Y luego ya, los archivos importantes, pues como te dicen, copias de seguridad periódicas.

Suerte, saludos.
Africa escribió:Para Jdownloader el truco está en buscar en google: "jdowloader beta 2 free adware" o algo similar no recuerdo exacto, y el primer link te lleva a los foros oficiales, de donde bajas el instalador libre de mierda. El resto de descargas de la página oficial, contienen el bicho, la versión sin el malware, está en la página oficial, pero está "escondida" por los foros.

Pues está bien saberlo, porque yo me comí el que tenía adware por exceso de confianza.
La verdad es que, habiéndolo descargado de la página oficial, podían subsanar estos problemas porque no veo qué interés pueden tener en meterle mierda a un programa. Además, enseguida te das cuenta de que tienes secuestrado el navegador y lo primero que haces es quitarlo del ordenador; vamos que sólo le veo interés de fastidiar por fastidiar.


Y luego, para el otro tema, la pereza de reinstalar todo desde cero, lo que yo uso es Acronis, que te crea una partición de recuperación oculta a todo, y durante el arranque del pc te permite volver a "estado de fábrica" pulsando una F, como los recovery de los portátiles.

También es bueno saberlo, aunque supongo que este programa no será gratuito.
La función recovery que comentas la tenía el portátil que se me infectó, pero era para volver a instalar Windows Vista, el cual cambié por Win XP porque con el Vista no se meneaba debido a lo cutre que era el portátil.

-----

Por cierto, nadie ha comentado nada sobre el programa CryptoPrevent, que he leído que impide actuaciones de encriptado de datos.
La web oficial es ésta por si queréis echarle un vistazo y comentar vuestras impresiones. Incluso en su versión gratuita, aseguran que previene la actuación del virus CryptoLocker (lo que ocurre es que Cryptowall es más cabroncete que CryptoLocker).
Aparte de tener el olfato informático puesto al día, y los antivirus pertinentes actualizados, debes de tener un cuidado bestial para que si te pasa, tengas la lucidez bestial de verlo y apagar el ordenador a la mínima, para que el destrozo sea lo mínimo posible.
Qué razón tienes, compañero.
En este caso, verlo lo vi; pero como mis conocimientos informáticos son limitados, apagué el ordenador y usé un disco de arranque que tenía (concretamente Avira Rescue System), pero como la conexión a Internet no está disponible al arrancar, no se pudo actualizar y no me sirvió de casi nada.

Luego inicié en modo seguro y esa fue mi perdición ya que en modo normal, el Panda contenía el virus como podía (lo detectaba, impedía la encriptación, pero no era capaz de eliminarlo), pero una vez en modo seguro el virus impidió que el antivirus se activara y me infectó a lo bestia a pesar de estar usando Dr. Web Cure It y luego Malwarebytes Antimalware (que, por otra parte, tampoco sirven de nada contra Cryptowall 3.0).

Si le hubiera pasado el Kaspersky Rescue System al principio en lugar del Avira, quizá hubiese evitado la encriptación, porque fue el único antivirus que resultó efectivo para desinfectar el portátil.
Bueno, pues ya tengo el portátil más o menos como estaba antes de la infección.

Al final no he formateado el equipo, aunque ha habido programas que tuve que volver a instalar porque el virus debió de encriptar algunos archivos necesarios para su funcionamiento (hasta ahora me ocurrió con MiPony, JDownloader y dBpoweramp Music Converter, pero no descarto que surja alguno más).

El paquete Microsoft Office también me dio problemas, así que opté por instalar Open Office y asunto solucionado.

Ahora tengo instalado el Kaspersky Internet Security 15.0.2.361 en periodo de prueba de 30 días y la verdad es que me está pareciendo un antivirus muy bueno; de hecho, encontró varias vulnerabilidades en programas (Adobe Air, Adobe Reader, Adobe Shockwave, FireFox, Java y Chrome) y también en los ajustes del propio equipo (ejecución automática activada en disco duro y reproductor de DVD y alguno más que no recuerdo).

El caso es que acepté solucionar todas las vulnerabilidades (salvo la del AutoRun del DVD, que prefiero dejarlo activado) y ahora el equipo funciona mucho mejor en el sentido de que se calienta menos (apenas se enciende el ventilador) y el disco duro ya no trabaja casi continuamente como antes. También encontró una vulnerabilidad en la contraseña del router, que está como lo entrega MoviStar; es decir, con la clave de 20 dígitos formada por cifras y letras mayúsculas y minúsculas (al final también la dejé como estaba).

Un detalle curioso es que tuve que desinstalar el TuneUp Utilities porque desde la infección me daba problemas en la ejecución. Ahora no lo tengo instalado porque quizá parte del sobrecalentamiento del equipo se debiese a las continuas operaciones de optimización de este programa. ¿Es recomendable tenerlo instalado o al final son más los problemas que causa frente a los beneficios que proporciona?

Y cuando finalice el periodo de prueba del Kaspersky, no sé qué antivirus instalar. Hasta ahora he probado con las versiones gratuitas de AVG, Avast y Panda y el que más me gustó fue éste último. Supongo que estas versiones gratuitas serán todas parecidas y desde luego que no protegen igual que las de pago; de todas formas, ¿tenéis alguna recomendación?
Neo Cortex escribió:así que opté por instalar Open Office y asunto solucionado.


Es peor el remedio que la enfermedad xD. Prueba Libre Office que es el que tiene a todos los desarrolladores.

Neo Cortex escribió:Un detalle curioso es que tuve que desinstalar el TuneUp Utilities porque desde la infección me daba problemas en la ejecución. Ahora no lo tengo instalado


Haces bien en no tenerlo, no proporciona ningun beneficio real
Akiles_X escribió: Es peor el remedio que la enfermedad xD. Prueba Libre Office que es el que tiene a todos los desarrolladores.

Pues ya me has fastidiado.
En un principio no me pareció mala opción, pero lo desconozco totalmente.
¿Por qué dices que es malo? ¿Qué ventajas tiene Libre Office frente a Open Office?
Neo Cortex escribió:
Akiles_X escribió: Es peor el remedio que la enfermedad xD. Prueba Libre Office que es el que tiene a todos los desarrolladores.

Pues ya me has fastidiado.
En un principio no me pareció mala opción, pero lo desconozco totalmente.
¿Por qué dices que es malo? ¿Qué ventajas tiene Libre Office frente a Open Office?


Hace ya unos años (5 si mal no recuerdo) se "forkeo" Open Office porque Oracle compro Sun Microsystems, la responsable del proyecto, asi que como el codigo es abierto se hizo una version alternativa (fork, del ingles tenedor) y es la que mantiene la inmensa mayoria de los desarrolladores. Comparten el 90% pero la que mantiene el espiritu del antiguo OpenOffice es LibreOffice y la mas avanzada de las dos.

Por otro lado, si quieres una interfaz menos espartana tienes la suite ofimatica de Kingsoft http://www.kingsoftstore.com/, es gratuita pero no es libre. Luego si eres conspiparanoico que sepas que es de una empresa china :-P
@Akiles_X
Anda pues desconocía la existencia de WPS Office; de todos modos, no me queda claro si la interfaz está en otros idiomas que no sean inglés, francés y chino. En cualquier caso, creo que me va a encajar mejor LibreOffice.

Gracias por la info [oki]
apachusque escribió:La única opción que te queda: formatear.

Das por hecho que has perdido todos tus ficheros ya, por lo que ¿para qué perder más tiempo? ¿Para que intente infectar más cosas a través de la red, o de onedrive o de cualquier pendrive que metas? Los ramson son así, o pagas, o te jodes. Ten en cuenta que es casi imposible quitar la encriptación, por el tamaño de la clave, diferente en cada infección, y porque no encripta todo el fichero, por lo que aunque consiguieras la clave, encriptarías la parte no encriptada mientras desencriptas la que si lo está...

Por lo tanto, ahora ya todo está perdido. Formateo y arreando.

Contra el ramson solo hay una opción: las copias de seguridad. Yo tengo un disco duro en el que hago copias totales de mi HD de datos. Es USB, y está siempre apagado. Sólo lo enciendo cuando voy a copiar algo y siempre que voy a copiar algo, hago una revisión de mis datos, a ver si se han encriptado, por si acaso.

Es imposible que un virus me infecte un disco duro apagado y no conectado a nada ;-)

Y, como seguridad añadida... Todo lo que sea sensible (fotos personales, documentos que quieras conservar, es decir, todo lo que tú "generas", lo que no incluye pelis que hayas bajado de internet, juegos, emuladores... todo eso recuperable, pero las fotos de tus vacaciones, si las pierdes... adios para siempre), grabado en DVD. Y si es importante, dos veces.

Puede parecer excesivo, pero seguro que ahora llevas unos días encabronao, durmiendo mal, y asumiendo que no vas a recuperar lo que hubiera en ese equipo. Todo eso no sería así, si hubieras hecho copias de seguridad. No estarás seguro hasta que sepas con total certeza que si tiras el ordenador por la ventana, todos tus datos los podrás recuperar. El resto, es una "falsa seguridad" de "a mi no me va a tocar", que luego trae estos lloros.

Siento el sermón, pero si todo el que vea este mensaje pierde el culo en hacer copias, este tipo de virus no existiría.

Por cierto... Si te ha entrado es porque le has dejado. Los ramson vienen en correos de ingeniería social: el último fue el de correos, que tenía un paquete para tí, pero no es el único caso. Antes se les veía el pelo rápido, porque las traducciones eran muy malas, pero ya no. Siempre que recibas algo así, debes pensar: ¿por qué tiene Correos mi mail si nunca se lo he dado? O, si tienes un paquete que no esperas... vete a la página del repartidor, y llama por teléfono. O si tu banco te va a bloquear las cuentas a no ser que "pinches el enlace", llama a tu banco... Como han dicho... usa la cabeza. En tu caso, tú o alguien con acceso a tu ordenador, no la usado. No hay otra. El de la policía entraba en ads de páginas web (a mi me saltó, pero era un virus de juguete y lo saqué en dos segundos), pero este es duro porque no va a joderte el ordenador, va a por tus datos, y los busca bien. Hay que usar la cabeza y mucho, cada vez más.

Algo que yo vengo haciendo desde hace un tiempo y que va muy bien, es leer el correo primero en el móvil. Ahí elimino lo que no quiero, o lo que me parece "raro". Al ser siempre ficheros que intentan afectar a Windows en PC, desde mi Windows Phone puedo acceder tranquilo. Luego ya, lo que queda, lo cargo en el PC con Thunderbird si quiero conservarlo. Creo que es una muy buena manera de evitar estos ramson que están tan de moda hoy día.

Pero, repito, en tu caso ya todo esto es tardío... formatea, pero ya. Ni se te ocurra pagar.

Un saludo.



buenas os hago una pregunta,el el pc de mi mujer le a salido el dichoso virus ,yo antes sin saberlo meti un pendrive,ese pendrive ahora esta infectado? si lo meto en mi pc pasaria algo o no tiene nada que ver ?

si el pen esta infectado,como puedo "arreglarlo"

pd:leo que hay que meterlo en linux con ext4 y alli formatearlo ,pregunto...en vez de linux se puede meter en un mac ?

saludos y gracias
MaiKeL_14 escribió:
buenas os hago una pregunta,el el pc de mi mujer le a salido el dichoso virus ,yo antes sin saberlo meti un pendrive,ese pendrive ahora esta infectado? si lo meto en mi pc pasaria algo o no tiene nada que ver ?
si el pen esta infectado,como puedo "arreglarlo"

Lo más probable es que el pendrive también haya sido infectado y desde luego yo no lo usaría en ningún equipo.
En mi caso, el virus del portátil logré eliminarlo con Kaspersky Rescue Disk (fue el único antivirus que se mostró efectivo), así que quizás pueda valerte también para desinfectar el pendrive.

Por cierto, creo que nadie lo mencionó en ninguna de las respuestas de este hilo, pero resulta muy recomendable usar NoScript como complemento de FireFox. De hecho, estoy casi seguro de que el Cryptowal me entró a través de una de esas ventanas (presuntamente con "publicidad") que saltan a modo de puente cuando se accede a links de descarga.

Por norma general procuro cerrarlas rápidamente, pero algunas veces se abren multitud de ellas y no da tiempo a cerrarlas todas; y luego, también es habitual que al clicar sobre la equis de cerrar la ventana, lo que estás haciendo realmente sin saberlo es comerte algún exploit oculto que aprovecha vulnerabilidades del equipo.
Parece que una empresa rumana ha encontrado una protección frente a este virus.

Rubén Velasco, de RedesZone.net escribió:Bitdefender ofrece una vacuna gratuita contra Cryptowall
Bitdefender, la empresa de seguridad rumana, ha detectado un comportamiento muy curioso en este ransomware. Cuando se infecta un ordenador con él, el software malicioso lo primero que hace es comprobar la distribución del teclado para identificar, en cierto modo, la región en la que está actuando. Si la distribución del teclado está configurada como “rusa”, el ransomware no afecta al sistema, por lo que la empresa de seguridad ha desarrollado una vacuna que protege a los usuarios aprovechando esta medida.

Bitdefender Anti-CryptoWall, una curiosa medida de prevención contra este ransomware

Esta herramienta, llamada Bitdefender Anti-CryptoWall, se encarga de configurar una distribución virtual de nuestro teclado que emula la distribución rusa para que en caso de vernos afectados por el ransomware evitar que este cifre nuestros archivos.

Una medida un poco extraña, pero totalmente funcional. Si queremos protegernos contra este ransomware debemos descargar la versión más actualizada de Bitdefender Anti-CryptoWall desde su página web. Por desgracia, esta solución no lo es todo, y es que solo es válida para el ransomware Cryptowall, no es una medida de protección global contra el ransomware ni es válida contra otras variantes, aunque estén basadas en este.

De igual forma, esta “vacuna” evitará que nos infectemos. Si ya hemos sido infectados y el ransomware ha cifrado nuestros archivos poco más podremos hacer, ya que no podremos recuperar los archivos, al menos, mediante técnicas convencionales.

Link a la noticia completa: Bitdefender ofrece una vacuna gratuita contra cryptowall
69 respuestas
1, 2