(PROBLEMA) Archivos encriptados .crypted

Archivado
tengo un amigo con un problema y este es que un troyano le ha encriptado todos los archivos, incluidos los .exe, añadiéndole la extensión .crypted. Le he quitado el troyano pero no encuentro como hacer que recupere todos sus datos, el programa de karpesky no lo soluciona, por lo que supongo que sera una variante, ya que todo lo que leo no afecta a los .exe. Tampoco puedo restaurar.
¿Alguna idea?
¿Has probado quitarle la extensión crypted?

Si no funciona. ¿Tienes algun archivo txt que haya sido "encriptado"? A ver si echandole un vistazo veo lo que pasa.
curiosamente no ha encriptado los .txt.
El antivirus dice esto:
G:\WINDOWS\system32\drivers\d237f8232c98cd39.sys - una variante de Win32/Rootkit.Kryptik.PG troyano - desinfectado por eliminación - puesto en cuarentena [1]

Si he probado a borrar .crypted, pero nada, ademas creo que altera lo que ocupa el archivo.
TruEvilSable escribió:Si he probado a borrar .crypted, pero nada, ademas creo que altera lo que ocupa el archivo.

Panel de control -> Apariencia -> Opciones de Carpeta. Vete a ver y desmarca "Ocultar las extensiones de archivo para tipos de archivos conocidos".

Vuelve a probar, asegurate de poner la extensión después de borrar el .crypted (si era un exe, pues .exe, si era un mp3 pues .mp3...).

Si he probado a borrar .crypted, pero nada, ademas creo que altera lo que ocupa el archivo.

Lo dudo, por lo que me cuentas han sido muchísimos y eso llevaría mucho tiempo. Me da a mi que son daños muy superficiales (cambiar la extensión y puede que añadir un byte de mas).

¿Tienes algun BMP encriptado al menos?
eso ya lo he hecho y algo mas tiene que haber tocado.
pongo el .BMP

Adjuntos

38.jpg.rar (124.95 KB)

Dije BMP, que es un formato no comprimido. Los JPG tienen una compresión fuerte, ahí es mucho más díficil ver algo.

EDITO:

¿Y si le das a restaurar sistema? Restauras al día anterior y listo (Panel de control -> Busca restaurar sistema -> Restaurar desde un punto de restauración).
cierto, me he liado buscando uno pequeño, ahora si.
http://dfiles.eu/files/52fpvkela

EDITO: es que eso también esta encriptado!!!! [buuuaaaa]
TruEvilSable escribió:cierto, me he liado buscando uno pequeño, ahora si.
http://dfiles.eu/files/52fpvkela

Pues si que está encriptado, no tiene ni la firma del BMP ni nada.

¿Puede que esté encriptado con el propio Windows?

TruEvilSable escribió:EDITO: es que eso también esta encriptado!!!! [buuuaaaa]

¿Ein?

Reinicia el equipo, mientras enciende pulsa F8 repetidamente hasta que te salga un menú. Selecciona "modo seguro con funciones de red". Mira si puedes entrar en el panel de control ahora.
nada, lo he probado des ahí tambíen y nada, hasta los .ink tienen .crypter
¿ninguna idea de como recuperar los archivos encriptados?
Virusaco qu etienes :)

Prueba esto:
http://www.forospyware.com/t304919.html


Si no en esa misma pagina tendras la solucion si o si :)
Yo lo único que te puedo decir que lo más seguro es que para que puedas descifrar esos archivos, necesites al menos tener una copia del original de uno de esos archivos afectados.

Existen programas que lo que hacen es calcular la diferencia entre el archivo cifrado y el original, y a partir de ese cálculo es capaz de descifrar todos los demás archivos.

Por cierto, ¿al intentar abrir algún archivo de texto te pide contraseña o no?.
Hace unos meses solucione el mismo problema que tienes una aplicación de kaspersky, me recupero todos los archivos .
No se si puedo meter el enlace, pero si buscas "rootkit crypter kaspersky utilities" el primer enlace te lleva a la aplicación.
Es un exe gratuito , muy fácil de usar.
isidroxiu escribió:Hace unos meses solucione el mismo problema que tienes una aplicación de kaspersky, me recupero todos los archivos .
No se si puedo meter el enlace, pero si buscas "rootkit crypter kaspersky utilities" el primer enlace te lleva a la aplicación.
Es un exe gratuito , muy fácil de usar.

Esa versión que comentas ya la he probado y no me funciona, se ve que es una variante nueva.
TruEvilSable escribió:Esa versión que comentas ya la he probado y no me funciona, se ve que es una variante nueva.

No me has respondido, me siento ignorado :p
Flanders escribió:
TruEvilSable escribió:Esa versión que comentas ya la he probado y no me funciona, se ve que es una variante nueva.

No me has respondido, me siento ignorado :p

Perdona, he probado uno, pero me dice que no son iguales, aun siéndolo, por que al encriptarlo aumenta el tamaño de los archivos.
Sobre los archivos de texto, no he probado, pero lo haré quitando la extensión.
sigo sin saber como solucionarlo, ¿alguna nueva idea?
16 respuestas
Archivado
Volver a General