He sido víctima de un ransonware

Question

He sido víctima de un ransonware

Zenthorn 28 nov 2023 21:29

BioForceGun User

6.944 mensajes
desde dic 2002
en Elda

Gamertag: zenthorn PSN ID: Zenthorn Steam ID: zenthorn

Buenas gente, voy a ser muy breve, no sé como mi ordenador ha sido víctima de un ransonware, al llegar a casa me he encontrado todos los archivos de los distintos discos duros encriptados bajo la terminación ".gyza". No sé que hacer, no sé por donde empezar.

13 respuestas

Answer 1 · 2023-11-28T20:54:43+00:00

Ufff... lo primero apagarlo, desconectarlo de la red local o la WiFi y no conectarle ningún disco externo por si acaso lo cifra también o hay más malware.

Los datos supongo que puedes darlos por perdidos, no se te ocurra buscar en Google cómo descifrarlos porque te van a salir montones de páginas con malware prometiendo ser herramientas y va a ser peor el remedio que la enfermedad.

En el foro de malwarebytes hablan del tema, es otra extensión pero es la misma familia https://forums.malwarebytes.com/topic/3 ... infection/

Lo que recomiendan en última instancia es borrar todas las particiones y volver a instalar todo de cero.

Mientras, si quieres acceder a ficheros de ese disco para ver qué puedes salvar usa el típico USB autoarrancable con herramientas (iba a decir un Linux Live CD pero estamos en 2023 y ya CDs como que no).

Answer 2 · 2023-11-28T21:14:11+00:00

Lo que dice el compañero, pero tambien antes, cualquier cuenta que tubieses guardada en ese PC o hayas usado en ese PC, ve cambiandole las contraseñas, porque es posible que te hayan sacado las claves.
Por supuesto hazlo desde otro dispositivo que no haya infectado.
Si tienes más PCs en la misma red, revisalos un poco, pasale el malwarebytes, vaya que tambien estén infectados.

Y antes de instalar un nuevo sistema operativo en el PC, yo resetearía la BIOS de la placa base y también la actualizaría aunque sea con la misma versión, para reducir la posiblidad de que el virus se haya metido ahí también.

Answer 3 · 2023-11-28T21:54:25+00:00

Tampoco hay que ser radical, hay que saber qué webs se visitan y evitar, como lo que podría haber provocado su caso, descargar y abrir o ejecutar compulsivamente cualquier fichero.

Hay proyectos como el de Europol que intenta ayudar con lo que obtienen de las redadas:
https://www.nomoreransom.org/es/decryption-tools.html

Ahí aparece STOP / DJvu (por djvu), pero ya avisan de que no todas las variantes son descifrables, especialmente a partir del 2019.

Si se tiene dinero, no se tiene copia de seguridad y los datos son importantes, es mejor comprar dispositivos de almacenamiento nuevos y esperar que un día salga una herramienta de descifrado para recuperar los datos viejos.

Eso sí, buscando siempre las herramientas en fuentes como el proyecto conjunto de Europol o las páginas de las soluciones antimalware.

Answer 4 · 2023-11-29T08:20:56+00:00

Estaba leyendo más del gyza, vaya con el amigo, además de cifrar te instala "troyanos como Redline Stealer, Vidar Stealer, Smokeloader, Azorult y otros" para robar contraseñas.

Si tenías contraseñas guardadas en el navegador puedes darlas por comprometidas. Yo hace tiempo que no guardo nada en el navegador por eso, es más incómodo pero más difícil que te las roben si no están donde las buscan. Aunque da casi igual porque te roban las cookies igualmente y te la pueden liar también.

Como comenta caja_roja, si los datos son muy muy importantes y no tienes backup, lo más que puedes es poner el disco en cuarentena por si en un futuro se puede descifrar o probar las herramientas de webs fiables (que para la variante gyza creo que no hay nada).

Answer 5 · 2023-11-29T11:05:35+00:00

Gracias, efectivamente las contraseñas han sido expuestas y me están creando un fuerte dolor de cabeza recuperar algunas cuentas.

Voy a intentar utilizar alguna de las herramientas que habéis indicado y si no es posible, pondré los discos duros en cuarentena y compraré nuevos.

Sobre como ha podido entrar, creo que sé por donde (tercera persona jugando a darle clicks a vídeos de youtube).

Answer 6 · 2023-11-29T11:40:00+00:00

Por eso uso blurays para la info importante, porque no los pueden encriptar y las contraseñas todas con doble verificación, ya me puede entrar lo que quiera que me la suda, solo van a encontrar junk

@mocelet es más fácil que te metan un keylogger, si te atacan te atacan

Answer 7 · 2023-11-29T12:15:43+00:00

Perdón por mi ignorancia. Pero tengo curiosidad.
Qué maneras hay de que te entre un ransonware de estos?
Más que nada para estar prevenido.

mocelet 29 nov 2023 13:21 MegaAdicto!!! **8.753** mensajes desde **nov 2008** · Answer 8 · 2023-11-29T12:21:18+00:00

@bictor_spirit Igual que cualquier virus, que ejecutes algo que venía con regalito, ya sea un programa que te has bajado de una web rara o un email que supuestamente tenía un PDF pero resulta que era un ejecutable, cosas de esas.

Answer 9 · 2023-11-29T15:34:58+00:00

@bictor_spirit @mocelet También a veces te puedes infectar con archivos que no son realmente ejecutables por culpa de fallos de seguridad en algún programa. Por ejemplo el fallo que salío hace poco con WinRar.
https://computerhoy.com/ciberseguridad/ ... ar-1292194

Tambíen otra forma popular de infectar es mediante macros maliciosas en archivos Word, Excel, etc...

Se recomienda mantener tanto el sistema operativo como los programas actualizados.
Por supuesto intenta no usar programas piratas o de dudosa procedencia.
No desactives servicios de seguridad como el Antivirus ni el Cortafuegos porque te lo aconsejen porque patata.
No expongas innecesariamente el PC a internet, como activando el DMZ en el router. Esto especialmente combinado con desactivar el Cortafuegos, puede ser una bomba de relojería.
Usar bloqueadores de publicidad y otros filtros para navegar por internet tambien es recomendable por seguridad, ya que mucha publicidad e incluso páginas que puedes visitar cuando búscas cosas, te intentarán engañar para descargar e instalar programas o complementos de dudosa reputación, o incluso en un momento pueden intentar explotar fallos de seguridad del propio navegador web.

Answer 10 · 2023-12-02T09:04:45+00:00

Pues el único caso en mi familia pasó hace años,
mi hermano que descargaba de todo (se sobre entiende)
Le había dicho 50 veces que usara al menos firefox con ublock y no me hacía caso.
Usaba el cutre internet explorer pelado por costumbre, y con un pop up en una web entró.

Como estaba usándolo y tiene hdds externos oía mucho ruido de uno y lo apagó perdiendo casi un TB que estaba cifrado
Luego puso Firefox con Ublock o alguna extensión similar.

En el chromebook de mi madre hace poco había un troyano, pues había entrado por pinchar en una URL caída que ya no mandaba a su sitio, quizás esa url abría un PDF.
Ahí se puede usar Firefox con Ublock y lei que lo para.

Yo soy muy dejado con esto,
pero tengo lo más importante en la nube y pendrives.
Visito los mismos sitios, apenas instalo programas.
Usé w7 sin soporte todo hasta 2022
Ahora estoy con el 10 en la versión 22H2 y desactivé las actualizaciones pequeñas.

Al 11 no puede pasarse esta chatarra,
da igual para el hardware que lleva...

#594523# 02 dic 2023 14:10 * · Answer 11 · 2023-12-02T13:10:02+00:00

Copias semanales, son un coñazo pero necesarias para al menos los datos mas sensibles, tener una copia en la "nube" de lo importante, usar un buen antivirus junto con algún antlmalware como Malwarebytes frena bastante, jamás usar una cuenta de administrador para el día a día, mejor usar una limitada, por muy chocante que pueda parecer al instalar programas, con eso ya te quita un alto porcentaje de infecciones, y cerrar puertos innecesarios y configurar bien el firewall, ya sea el de Windows o montarte un Pi-hole con listas o ir mas allá y montarte un pFsense, un firewall personal. También es muy útil usar un navegador fiable como Firefox con uBlock Origin en modo avanzado que quita muchísima mierda, Chrome tiene vulnerabilidades semana si semana también, este y sus derivados.

tioguay_68 09 dic 2023 20:47 -- **2.214** mensajes desde **jun 2021** en -- · Answer 12 · 2023-12-09T19:47:03+00:00

katatsumuri escribió:Por eso uso blurays para la info importante, porque no los pueden encriptar y las contraseñas todas con doble verificación, ya me puede entrar lo que quiera que me la suda, solo van a encontrar junk

@mocelet es más fácil que te metan un keylogger, si te atacan te atacan

Como es eso de cifrarlos?

Answer 13 · 2023-12-11T16:29:32+00:00

Una vez has caído lo mejor es desconectar el pc de la Red, coger un usb e instalar una distro de Linux tipo csi Linux o alguna para hacer forense. Arrancas desde el usb y creas una imagen del disco duro, la guardas como copia de seguridad aunque esté cifrada. Reinstalar todo el pc desde cero, haciendo formateo e incluso eliminando particiones y volviéndolo a crear.

Una vez con el pc limpio, instalar vmware o cualquier programa para virtualizar como opción 1, la otra es añadir en las opciones de Windows la virtualizacion en modo cerrado del equipo, con eso vas a poder trabajar con la imagen sin miedo a volver a infectarte. Con cualquier de las dos opciones vas a poder conseguir información del grupo de ransom que atacó o el tipo de cifrado. Si se ha publicado lo podrás descifrar y recuperar tus datos desde la imagen sin problema. Tarde o temprano la cifra caerá y podrás recuperar esos datos, no temas por eso.