Problema con ransomware o secuestrador de ficheros

Archivado
1, 2, 3
La clave para desencriptar o encriptación, la genera aleatoria o es fija?, no hay paginas con un listado de claves si fuese el caso de que sea fija?
berez12 escribió:
WiiBoy escribió:
berez12 escribió:Yo tengo un NAS pero el acceso a los archivos lo tengo restringido con usuario y contraseña. Este virus me puede joder los archivos del NAS?


Pues no lo se, pero las unidades que esten en red visibles se las funde


Muchas gracias, a ver si alguien sabe si mi NAS corre peligro [oki]

Según mi experiencia personal (3 ejecuciones del fichero en la oficina) el ransomware se funde todo lo que tiene a la vista, en red o local.
Siendo ese "a la vista" permisos de usuario.

Si tienes ese NAS sin mapear, protegido con contraseña o sin permisos de escritura para ese usuario en el AD, no se lo fundirá.

Si es visible y describible para el usuario, se lo fundirá. Cuidado que a mí me destrozó unas carpetas del Mcafee (tocate los huevos) que no están mapeadas pero son accesibles para el usuario a través de un programa agente.
Lo mejor para estos casos es una copia de seguridad, se formatea el pc y listo, yo en los años que he trabajado aunque en las empresas en las que he estado y sean gente de oficina, siempre tenían ahí su unidad de disco externo de backups preparada, y eran gente que no tenían ni idea, usuarios basicos de internet, y poco mas.
Después de haber sido víctima en mi trabajo (menos mal tener copias externas de todo) he tenido ya 6 casos constatados.

Probaré el Redo Backup que recomienda WiiBoy
lwordl escribió:La clave para desencriptar o encriptación, la genera aleatoria o es fija?, no hay paginas con un listado de claves si fuese el caso de que sea fija?

Intuyo que el programa:

- Genera una clave aleatoria.
- La manda a su servidor que la almacena, además le genera un enlace para la víctima con todo ya preparado.
- Se encripta los archivos con la clave aleatoria.
Estos capullos se tienen que estar forrando. Ya he leido varios casos de gente que ha pagado
Las soluciones para el cryptolocker son pagar o formatear(o eliminar el virus y eliminar todos los archivos cifrados).
En ningún caso se puede recuperar.

Para infectarse con ese virus hay que ser muy tonto. Los emails estan mal escritos, hay que pulsar en un enlace, descargarse un archivo y ejecutar ese archivo.

Si el cryptolocker fuera un virus común, que te entra y te infecta él solito, todos los antivirus del mundo ya lo tendrían capado, por eso tiene que ejecutarlo el usuario y se empieza a pepinar todos los archivos a los que EL USUARIO tiene acceso.
xDarkPeTruSx escribió:Las soluciones para el cryptolocker son pagar o formatear(o eliminar el virus y eliminar todos los archivos cifrados).
En ningún caso se puede recuperar.

Para infectarse con ese virus hay que ser muy tonto. Los emails estan mal escritos, hay que pulsar en un enlace, descargarse un archivo y ejecutar ese archivo.

Si el cryptolocker fuera un virus común, que te entra y te infecta él solito, todos los antivirus del mundo ya lo tendrían capado, por eso tiene que ejecutarlo el usuario y se empieza a pepinar todos los archivos a los que EL USUARIO tiene acceso.

No te creas, hay algunos mails muy conseguidos:
https://mobile.twitter.com/guardiacivil ... 6409625600
amchacon escribió:No te creas, hay algunos mails muy conseguidos:
https://mobile.twitter.com/guardiacivil ... 6409625600


De ahí, lo que veo que esta conseguido es: "¿Como cojones tiene correos mi mail?"

Siempre que compras online, NUNCA recibes un correo directamente de correos, si no de la pagina web o vendedor informándote de el localizador de envío o de como va el proceso de envío.

Correos NUNCA te hace descargar archivos, te indica directamente el localizador de envio y el enlace a su web para locarlizar el paquete.

Que el mail este bien escrito y tal, me parece genial, pero el remitente es hufanchupei@anastasia.ch (me lo invento) y no creo que correos use ese remitente....
Claro en frío es fácil verlo, pero como vayas en automático...

Que el mail este bien escrito y tal, me parece genial, pero el remitente es hufanchupei@anastasia.ch (me lo invento) y no creo que correos use ese remitente....

Esque el remitente será info@correo.es , no es díficil falsificar la dirección de origen de un mensaje.

Por suerte gmail suele ser muy avispado en estos temas. No me extrañaría que me lo detectara y moviera a la carpeta de spam.
Yo me estaba asustando un poco ya con esto, viendo tantos casos... pero por lo visto es un virus que tiene que ejecutar uno mismo, así que me quedo más tranquilo.

Por curiosidad, si tienes una unidad de red mapeada pero solo con permiso de lectura no lo cifraría no? O aunque lo cifre no podría borrar los originales.

La verdad es que es muy triste que la gente se tenga que rebajar a pagar a estos estafadores. ¿No hay manera de seguir los pagos? ¿No se puede pagar, recuperar la info y echar atrás el pago?

Por cierto, creo que yo recibí un mail de ese tipo... pero "no he pedido nada, será un error. Pasando del tema... [fiu] ".
Buenas!

Pues nada, hoy he ido a comer a casa de mi suegra y adivinad... ;-)

Lo curioso es que el ordenador le funcionaba lento, y le dije que comprara un disco duro para hacer copia de seguridad y formatearlo, pero ya era tarde.

Lo curioso es que el virus no ha "cazado" todo... hay muchas carpetas (Mis documentos entre ellas) que están bien, y otras, como unos PDF que tenía por ahí, salen encriptados. Parece que el antivirus debió cazarlo a medio trabajo.

He pasado el malwarebytes y aunque ha quitado mierda, no ha detectado el ramsonware, y ahora estoy con el avast. Cinco infecciones, no se que será.

Luego, voy a intentar recuperar los ficheros borrados, pero no se...

- ¿Cómo me puedo asegurar de que no esté el puñetero virus oculto?
- ¿El hirens boot cd tiene algún recuperador de ficheros borrados?

Por cierto... me dice que llamó a Correos para preguntar que paquete era ;-) Jura que NO picó el link, y que en Correos le dijeron que lo borrara y lo hizo. Me lo creo por los cojones, porque estos troyanos se basan en la ingeniería social. Pero... por si dijera la verdad (y yo pienso como House, el paciente SIEMPRE miente), tened cuidado con el puto correo de Correos.

Un saludo.
Cataphractus escribió:Por curiosidad, si tienes una unidad de red mapeada pero solo con permiso de lectura no lo cifraría no?


Yo creo que tú mismo te respondes...


¿No hay manera de seguir los pagos? ¿No se puede pagar, recuperar la info y echar atrás el pago?


El pago se hace en bitcoins. No existe entidad que te gestione retrocesos con esa moneda.

Edito: @apachusque ¿Estás unsando un LiveCD con alguna distro GNU/Linux? O desde la propia sesión Windows? Porque si hay algo fundamental para recuperar archivos borrados con un mínimo de garantías de recuperar algo, es no usar NUNCA el SO desde donde fueron borrados.
Deschamps escribió:Edito: @apachusque ¿Estás unsando un LiveCD con alguna distro GNU/Linux? O desde la propia sesión Windows? Porque si hay algo fundamental para recuperar archivos borrados con un mínimo de garantías de recuperar algo, es no usar NUNCA el SO desde donde fueron borrados.


Tengo un usb con el hirens, pero nunca he usado esta ISO para recuperar, sólo para borrar.

De momento estoy pasando el avast, pero quizá haga eso... pasar del virus, recuperar y usar un distro para pasar todo a un disco externo. Así, seguro que no pasa el virus a ningún lado.

¿Algún recuperador en linux?

Un saludo.
apachusque escribió:
Deschamps escribió:Edito: @apachusque ¿Estás unsando un LiveCD con alguna distro GNU/Linux? O desde la propia sesión Windows? Porque si hay algo fundamental para recuperar archivos borrados con un mínimo de garantías de recuperar algo, es no usar NUNCA el SO desde donde fueron borrados.


Tengo un usb con el hirens, pero nunca he usado esta ISO para recuperar, sólo para borrar.

De momento estoy pasando el avast, pero quizá haga eso... pasar del virus, recuperar y usar un distro para pasar todo a un disco externo. Así, seguro que no pasa el virus a ningún lado.

¿Algún recuperador en linux?

Un saludo.

Antes el propio hirens traía soft para recuperar, el GetDataback, pero se pusieron serios con el tema de las licencias y no sé cómo andan ahora, la última vez que probé el HDDregenerator no iba.
Si estás pasando el antivirus desde el sistema afectado estás reduciendo tus posibilidades de recuperar lo perdido. Además corres peligro de que el virus siga encriptando.
No conozco software de recuperación desde linux :(
Bueno... llevo TODA la puñetera tarde con el joio trasto, y ya abandono. Voy a meter un Windows limpio, porque...

¡El jodio este me ha encriptado también la partición de recuperación!

Hasta dónde yo sabía, esta partición estaba oculta, y no era modificable... Pues si, los archivos WIM están también con el .encreypted detrás.

O sea, que he perdido hasta la recuperación. Menos mal que el equipo trae la pegatina con el serial...

En fin, como se seguro que tampoco hizo la copia en DVD de la recuperación y conseguir discos se me va a los 50€... copia limpia.

Un saludo.
Para mí que eso ha sido lo que ha relativamente salvado a ese ordenador. Esos archivos .wim suelen pesar una burrada y el virus ha debido estar un buen rato ocupado cifrándolos, tiempo que no ha podido dedicar a cifrar "Mis Documentos".
Mi consejo es poner varios archivos gordisimos en mis documentos y veréis como no dará tiempo a encriptarlo, ya que se notara el ordenador raro y dará tiempo para apagarlo de golpe y desinfectarlo.
Hay un programa que hace eso, y además te avisa que se ha modificado sus archivos y detiene el proceso a tiempo.
http://www.adslzone.net/software/herram ... empo-real/
Gracias a dios que existen programas para evitar esta mierda de virus, usando ingeniería inversa.
Edito, ESTA HERRAMIENTA ES LA DEFINITIVA, acabo darme cuenta que te da hasta la clave de encriptación en el momento que se esta encriptando archivos.
un saludo
kevin! escribió:http://www.adslzone.net/software/herram ... empo-real/
Gracias a dios que existen programas para evitar esta mierda de virus, usando ingeniería inversa.
Edito, ESTA HERRAMIENTA ES LA DEFINITIVA, acabo darme cuenta que te da hasta la clave de encriptación en el momento que se esta encriptando archivos.


No me apostaria yo nada...
Si fuera tan fácil ya lo incorporarian todos los antivirus, y sin embargo se lo comen con patatas.
Gracias a Dios, el ordenador familiar está con Linux instalado [+risas]
suskie escribió:
kevin! escribió:http://www.adslzone.net/software/herram ... empo-real/
Gracias a dios que existen programas para evitar esta mierda de virus, usando ingeniería inversa.
Edito, ESTA HERRAMIENTA ES LA DEFINITIVA, acabo darme cuenta que te da hasta la clave de encriptación en el momento que se esta encriptando archivos.


No me apostaria yo nada...
Si fuera tan fácil ya lo incorporarian todos los antivirus, y sin embargo se lo comen con patatas.

Claro, porque los antivirus no usan este sistema, ya que la forma para detectarlo se necesita muchos recursos y además ya de por si un antivirus consume, pues con este método consumirían más recursos.
El programa no es 100% efectivo, pero te puede evitar un gran susto. Aún gracias que haya utilidades que ya pueden evitar disgustos.
kevin! escribió:
suskie escribió:
kevin! escribió:http://www.adslzone.net/software/herram ... empo-real/
Gracias a dios que existen programas para evitar esta mierda de virus, usando ingeniería inversa.
Edito, ESTA HERRAMIENTA ES LA DEFINITIVA, acabo darme cuenta que te da hasta la clave de encriptación en el momento que se esta encriptando archivos.

No me apostaria yo nada...
Si fuera tan fácil ya lo incorporarian todos los antivirus, y sin embargo se lo comen con patatas.

Claro, porque los antivirus no usan este sistema, ya que la forma para detectarlo se necesita muchos recursos y además ya de por si un antivirus consume, pues con este método consumirían más recursos.
El programa no es 100% efectivo, pero te puede evitar un gran susto. Aún gracias que haya utilidades que ya pueden evitar disgustos.

Pues yo sigo escéptico.

El dropbox también puede modificar muchos archivos del disco duro, es un ramsonware entonces?
o sea, q lo ideal sería tener las carpetas mapeadas pero q te solicite usuario y contraseña a la hora de poder acceder,
¿ no ?
sonieta escribió:o sea, q lo ideal sería tener las carpetas mapeadas pero q te solicite usuario y contraseña a la hora de poder acceder,
¿ no ?

mmmmmmmmmm
Digo yo que si ejecutas el ramsonware en un momento en que estas logeado en esas carpetas para cuando te des cuenta el ramsonware se te ha cepillado los archivos.
sonieta escribió:o sea, q lo ideal sería tener las carpetas mapeadas pero q te solicite usuario y contraseña a la hora de poder acceder,
¿ no ?

Joder vaya coñazo [+risas]

Si me dices para escritura todavía, dependiendo del tipo de carpeta que sea. Por ejemplo para la carpeta fotos no hay problemas en caparle los permisos de escritura.
Evalúen vosotros mismos.

La guía económica, "No GRATIS".
https://sites.google.com/site/crypt0l0c ... ativa/home

Información al respecto
http://www.aliksi.es/?p=674

Nos vemos en los bares
kevin! escribió:Mi consejo es poner varios archivos gordisimos en mis documentos y veréis como no dará tiempo a encriptarlo, ya que se notara el ordenador raro y dará tiempo para apagarlo de golpe y desinfectarlo.
Hay un programa que hace eso, y además te avisa que se ha modificado sus archivos y detiene el proceso a tiempo.
http://www.adslzone.net/software/herram ... empo-real/
Gracias a dios que existen programas para evitar esta mierda de virus, usando ingeniería inversa.
Edito, ESTA HERRAMIENTA ES LA DEFINITIVA, acabo darme cuenta que te da hasta la clave de encriptación en el momento que se esta encriptando archivos.
un saludo


El problema es que esto no te vale cuando ya a infectado el pc
kevin! escribió:Mi consejo es poner varios archivos gordisimos en mis documentos y veréis como no dará tiempo a encriptarlo, ya que se notara el ordenador raro y dará tiempo para apagarlo de golpe y desinfectarlo.
Hay un programa que hace eso, y además te avisa que se ha modificado sus archivos y detiene el proceso a tiempo.
http://www.adslzone.net/software/herram ... empo-real/
Gracias a dios que existen programas para evitar esta mierda de virus, usando ingeniería inversa.
Edito, ESTA HERRAMIENTA ES LA DEFINITIVA, acabo darme cuenta que te da hasta la clave de encriptación en el momento que se esta encriptando archivos.
un saludo

Definitiva... Hasta que saquen la versión 1.1 del virus que se salte la protección.

Lo único seguro es la restricción de permisos.
Buenas!!!

No se si será lo mismo o no, pero hoy me ha llegado un correo (etiquetado como spam por el cliente de correo) en el que "alguien" me recordaba una promoción sobre un vale de 1000€ para gastar en Amazon.

El mail, parece un reply o un fordward de otro que se supone que recibiste anteriormente (donde se explicaba el regalo) y en este, decía algo así como "sólo para asegurarme de que lo has recibido, porque la promoción acaba pronto". Escrito es un castellano más o menos normal, y con el típico link de "pulsa aquí para hacer efectivo tu vale".

Me ha parecido un correo típico de una community manager, en el sentido de que no está escrito formal, ni en espanglish. Me ha llamado la atención porque ¿quién se molesta en recordarme que he recibido un spam? ¿Quien sigue regalando vales que para recoger debes pulsar un link incluido en el mismo correo?

No he seguido el link, porque el mismo cliente de correo, al catalogarlo como spam, ha eliminado el enlace. Pero, tened cuidadín, que parece que están mejorando los métodos de ingeniería social. El de correos ya estaba bastante currado...

Un saludo.
apachusque escribió:Buenas!!!

No se si será lo mismo o no, pero hoy me ha llegado un correo (etiquetado como spam por el cliente de correo) en el que "alguien" me recordaba una promoción sobre un vale de 1000€ para gastar en Amazon.

El mail, parece un reply o un fordward de otro que se supone que recibiste anteriormente (donde se explicaba el regalo) y en este, decía algo así como "sólo para asegurarme de que lo has recibido, porque la promoción acaba pronto". Escrito es un castellano más o menos normal, y con el típico link de "pulsa aquí para hacer efectivo tu vale".

Me ha parecido un correo típico de una community manager, en el sentido de que no está escrito formal, ni en espanglish. Me ha llamado la atención porque ¿quién se molesta en recordarme que he recibido un spam? ¿Quien sigue regalando vales que para recoger debes pulsar un link incluido en el mismo correo?

No he seguido el link, porque el mismo cliente de correo, al catalogarlo como spam, ha eliminado el enlace. Pero, tened cuidadín, que parece que están mejorando los métodos de ingeniería social. El de correos ya estaba bastante currado...

Un saludo.



si ves falta de ortografia y que no esta bien hecho osea que no es muy fiable, ya sabes no le des a click porque puede ser un enlace malicioso que te descarge el virus sin que te des cuenta o algo y zas
Miguel20 escribió:
apachusque escribió:Buenas!!!

No se si será lo mismo o no, pero hoy me ha llegado un correo (etiquetado como spam por el cliente de correo) en el que "alguien" me recordaba una promoción sobre un vale de 1000€ para gastar en Amazon.

El mail, parece un reply o un fordward de otro que se supone que recibiste anteriormente (donde se explicaba el regalo) y en este, decía algo así como "sólo para asegurarme de que lo has recibido, porque la promoción acaba pronto". Escrito es un castellano más o menos normal, y con el típico link de "pulsa aquí para hacer efectivo tu vale".

Me ha parecido un correo típico de una community manager, en el sentido de que no está escrito formal, ni en espanglish. Me ha llamado la atención porque ¿quién se molesta en recordarme que he recibido un spam? ¿Quien sigue regalando vales que para recoger debes pulsar un link incluido en el mismo correo?

No he seguido el link, porque el mismo cliente de correo, al catalogarlo como spam, ha eliminado el enlace. Pero, tened cuidadín, que parece que están mejorando los métodos de ingeniería social. El de correos ya estaba bastante currado...

Un saludo.



si ves falta de ortografia y que no esta bien hecho osea que no es muy fiable, ya sabes no le des a click porque puede ser un enlace malicioso que te descarge el virus sin que te des cuenta o algo y zas


Por eso lo he puesto por aquí... No es el típico mail que se nota sacado con el traductor de google. Este es más "humano". Tiene algún fallo, pero parece escrito por una persona, además, cuyo idioma es el castellano. Tiene toda la pinta por el tema del enlace, pero me ha llamado la atención, porque el de correos también era por el estilo, no una burda traducción copy-paste del google.

En todo caso, cuidado con el correo del vale de 1000€ de Amazon ;-)

Un saludo.
Uno no se puede guiarse de que si esta escrito bien, o no.
Para evitar, es evitar esos emails raros, que te ofrecen cosas por la cara, como Iphones gratis, 1000€ de vale, etc...

WiiBoy escribió:
kevin! escribió:Mi consejo es poner varios archivos gordisimos en mis documentos y veréis como no dará tiempo a encriptarlo, ya que se notara el ordenador raro y dará tiempo para apagarlo de golpe y desinfectarlo.
Hay un programa que hace eso, y además te avisa que se ha modificado sus archivos y detiene el proceso a tiempo.
http://www.adslzone.net/software/herram ... empo-real/
Gracias a dios que existen programas para evitar esta mierda de virus, usando ingeniería inversa.
Edito, ESTA HERRAMIENTA ES LA DEFINITIVA, acabo darme cuenta que te da hasta la clave de encriptación en el momento que se esta encriptando archivos.
un saludo


El problema es que esto no te vale cuando ya a infectado el pc

Una vez infectado ya no hay marcha atrás. Este programa no es un antivirus, pero detecta actividad sospechosa en el disco duro y te detiene el proceso que lo esta haciendo. y según su desarrollador puede sacar hasta la clave de encriptación de ese momento. Lo malo es que no sirve si es una variante que genera la key desde un servidor externo.

amchacon escribió:Pues yo sigo escéptico.

El dropbox también puede modificar muchos archivos del disco duro, es un ramsonware entonces?
---------------
Definitiva... Hasta que saquen la versión 1.1 del virus que se salte la protección.

Lo único seguro es la restricción de permisos.

Si modifica la carpeta del dropbox, el dropbox web se verá modificado, aunque este programa puede añadirle archivos extra para entretener al virus mientras lo puedes detener el proceso.

Siempre habrá variantes nuevas, pero el ramsonware de encriptación de momento tira primero de los documentos en busca de chuches.
kevin! escribió:Uno no se puede guiarse de que si esta escrito bien, o no.
Para evitar, es evitar esos emails raros, que te ofrecen cosas por la cara, como Iphones gratis, 1000€ de vale, etc...


Repito... correo no deseado y borrado sin abrirlo ;-) Uno tiene ya unos años en esto de internet y el spam... pero si que quiero hacer notar un posible cambio de tendencia. Hasta ahora, ese castellano de google era como una luz roja gigante que te decía "esto es un troyano". Pero veo que ya no es tan así. El mismo mensaje que te deja el ramsomware de este hilo es un ejemplo... No está escrito a lo indio.

¿Perdemos uno de los indicadores claros que teníamos? Aparte de pensar siempre que nadie da duros a cuatro pesetas, claro XD Porque el de correos... si hubiera estado escrito en indio, habría sido muuuucho menos eficaz.

Un saludo.
apachusque escribió:¿Perdemos uno de los indicadores claros que teníamos?


El único indicador fiable está siempre al otro lado del teclado.

Si se enseñara a la gente a pensar diez segundos antes de pulsar enlaces a lo tonto en un correo extraño (y generalmente en empresas de servicios, que es donde se produce un % más alto de infecciones) no se habrían mantenido y mejorado estos sistemas durante lustros.
Deschamps escribió:
apachusque escribió:¿Perdemos uno de los indicadores claros que teníamos?


El único indicador fiable está siempre al otro lado del teclado.

Si se enseñara a la gente a pensar diez segundos antes de pulsar enlaces a lo tonto en un correo extraño (y generalmente en empresas de servicios, que es donde se produce un % más alto de infecciones) no se habrían mantenido y mejorado estos sistemas durante lustros.


Totalmente de acuerdo, pero... ¿cuantas veces has tenido que decirle a un amigo o familiar que no te meta en las listas de distribución de un correo cadena? ¿O que al menos lo haga en copia oculta? ¿Y cuantas veces te han hecho caso? Es complicado... Hay gente que sabe de ordenadores lo que de microhondas, lo justo para que no salten chispas.

Un saludo.
apachusque escribió:
kevin! escribió:Uno no se puede guiarse de que si esta escrito bien, o no.
Para evitar, es evitar esos emails raros, que te ofrecen cosas por la cara, como Iphones gratis, 1000€ de vale, etc...


Repito... correo no deseado y borrado sin abrirlo ;-) Uno tiene ya unos años en esto de internet y el spam... pero si que quiero hacer notar un posible cambio de tendencia. Hasta ahora, ese castellano de google era como una luz roja gigante que te decía "esto es un troyano". Pero veo que ya no es tan así. El mismo mensaje que te deja el ramsomware de este hilo es un ejemplo... No está escrito a lo indio.

¿Perdemos uno de los indicadores claros que teníamos? Aparte de pensar siempre que nadie da duros a cuatro pesetas, claro XD Porque el de correos... si hubiera estado escrito en indio, habría sido muuuucho menos eficaz.

Un saludo.

Si, antiguamente si se podía guiar por el texto por su burda ortografía, pero hoy en día ya no :(. Pero por suerte aún se puede usar el sentido común,
Por ejemplo (se me olvido esta parte en el mensaje anterior):
Os digo un truco muy fácil, a parte del típico correo que te ofrezcan cosas gratis XD.
Ese tipo de correos que se suelen pasar por correos oficiales, hay que mirarlo con mucho ojo, donde proviene la dirección de origen, y el link que contenga y donde redirige el link. Cuidado con este punto, hay que ponen una dirección, y luego es otra dirección. es como te pone en escrito azul http://www.google.com en el EMAIL, y en realidad detrás de ese texto disfrazado, hay otra dirección que te puede llevar a otra página.
Por ejemplo ramsonware (u otros bots de Phishing) suele usar webs con una dirección falsa, por ejemplo esta, http://www.es.bcorreos.com (inventada por mi), esa b y ese .es. no tendría que pintar ahí, y la web acaba en .com cuando la original acaba en .es
Es fácil de detectarlo, pero mucha gente no lo mira y luego se cuela el troyano. Yo esto lo aprendí en mis años mozos de jugador de wow, los botsfarmers se dedicaban mandar correos de este tipo indicándote que si no logeabas te baneaban la cuenta, haciéndose pasar por blizzard, usando webs muy bien calcadas y direcciones de web casi iguales, que te hacia loggear y te robaban la cuentar y a si luego los farmes la usan para farmear.
A mi por suerte jamás me han robado, pero de emails de ese tipo pasándose por empresas, me han llegado cientos de ellos.
Un saludo :)
Buenas compañeros, tengo un cliente con el problema del cryptolocker del famoso virus del correo de Correos, que se le ha colado en el pc de la empresa donde tiene mucha documentación vital para su trabajo, con lo cual me surge la duda, pagar o no pagar?

Alguien del foro le ha pasado o conoce a alguien quele haya pasado y haya pagado? Necesito conocer si recuperan los datos o que es lo que sucede.

Gracias por adelantado, un saludo.

PD: si me lo queréis comentar por privado sin problema.
xklibur escribió:Buenas compañeros, tengo un cliente con el problema del cryptolocker del famoso virus del correo de Correos, que se le ha colado en el pc de la empresa donde tiene mucha documentación vital para su trabajo, con lo cual me surge la duda, pagar o no pagar?

Alguien del foro le ha pasado o conoce a alguien quele haya pasado y haya pagado? Necesito conocer si recuperan los datos o que es lo que sucede.

Gracias por adelantado, un saludo.

PD: si me lo queréis comentar por privado sin problema.


En todas las infecciones que han tenido mis clientes (la ultima el martes con 200GB en pdf y doc) nunca han pagado. Siempre recurrir a las copias de seguridad. Nunca se recomienda pagar porque lo mas seguro es que no te pasen ni el descifrador, y si lo pasan, no sea capaz ni de descifrar correctamente, a parte de que estas financiando que siga la estafa.

Un saludo.
(mensaje borrado)
Tengo una duda...

En caso de llegar a empezar la infección esta de encriptado... ¿Por donde suele empezar?...¿Por disco o partición donde esté el SO,o por otra partición de datos?

¿Por un disco duro completo,tenga las particiones que tenga?

Es que tengo un par de discos duros,con dos particiones cada uno...conectados por USB en sendas cajas exteriores.

Si no afectase primero a esos discos por USB y empezara por el disco de dentro,pues supongo que podria apagar los de fuera antes de que llegaran a coger nada.. Del disco interior ,si que tengo copia de todo en otro disco que está desconectado,por lo que podria clonar y recuperar ,pero de los exteriores no tengo copia.
indalocbr1000 escribió:Tengo una duda...

En caso de llegar a empezar la infección esta de encriptado... ¿Por donde suele empezar?...¿Por disco o partición donde esté el SO,o por otra partición de datos?

¿Por un disco duro completo,tenga las particiones que tenga?

Es que tengo un par de discos duros,con dos particiones cada uno...conectados por USB en sendas cajas exteriores.

Si no afectase primero a esos discos por USB y empezara por el disco de dentro,pues supongo que podria apagar los de fuera antes de que llegaran a coger nada.. Del disco interior ,si que tengo copia de todo en otro disco que está desconectado,por lo que podria clonar y recuperar ,pero de los exteriores no tengo copia.


La verdad es que empezar, no se por dónde empieza, pero si te puedo decir hasta dónde llega: a todo.

En el caso de mi cuñado, le encriptó hasta los ficheros que habían en la partición de recuperación del portátil (la que se usa para reinstalar el S.O., vamos). Y, por lo que he leído, llega hasta los HD en la nube que tengas, tipo dropbox, onedrive, google drive...

Vamos, que es un cabronazo de mucho cuidado.

Mi recomendación es que tengas un disco duro con la copia de seguiridad de todo. En mi caso, desde que le puse el SSD al portati, uso un HD de 1Tb para datos, y regularmente, lo copio íntegro en otro de 1Tb que siempre está apagado. Si me entra, sólo tengo que formatear el SSD y el de 1TB, reinstalar el SO, y volcar todo lo que tengo en el disco duro que siempre tengo apagado.

Aprovecha que los discos están tirados de precio para tener uno únicamente para copias de seguridad (sólo para eso, se que fastidia tener ahí un disco duro sin usar, pero es que SI lo estás usando... concretamente para evitarte disgustos).

Un saludo.
Apachusque, el ramsomware encritpta absolutamente todo lo que tengas mapeado y conectado al pc en el momento de la infección.

No hay nada que lo pare, a las malas un antivirus te dirá que ha cazado algo, pero el mal está hecho. También está cryptoprevent pero es de pago y no se hasta que punto funciona con los diferentes tipos de ramsomware.
Jar-Jar escribió:Apachusque, el ramsomware encritpta absolutamente todo lo que tengas mapeado y conectado al pc en el momento de la infección.

No hay nada que lo pare, a las malas un antivirus te dirá que ha cazado algo, pero el mal está hecho. También está cryptoprevent pero es de pago y no se hasta que punto funciona con los diferentes tipos de ramsomware.


De ahí la importancia de tener el disco duro APAGADO o desconectado, y sólo usarlo cuando haces copias. En mi caso, el disco duro no está conectado, pero es que además, la caja externa dónde está (es de 3,5") tiene un interruptor que le quita la corriente. Mis datos, ahí, están a salvo de virus, a no ser que lo conecte con el virus ya metido... Pero vamos, hablamos de ramsonware... te das cuenta enseguida, cuando tus ficheros de datos no están, cuando empiezan a fallar programas, cuando tus fotos parecen corruptas... Y en ese momento, lo último que haría sería enchufar el disco de la copia de seguridad...

Repito: el disco duro de copias, es para copias. No se usa para nada más. Es muy típico (y lo he visto en empresas incluso), hacer copias de seguridad en C:, o en una segunda partición del disco duro principal, o tener el disco duro de copias para guardar cosas y enchufado todo el día... Vale, hacer copias en un segundo disco duro te soluciona el problema de que pete el hardware, pero si hay un virus... no has hecho nada.

Por eso: copia y al cajón. Es una inversión en tu tranquilidad, y ahora mismo puedes encontrar discos USB de 1Tb por menos de 50€. No vale la pena arriesgarse.

Un saludo.
Es que o estás atento, o tienes un programa que te paralice cualquier accerso masivo al hd... porque cuando te quieres dar cuenta, lo tienes encriptado todo...

Yo recuerdo en la oficina, le pasó a una compañera, y pese q que el antivirus cazó el ataque y el comienzo de la encriptación (yo andaba en modo vacaciones, con la mente ya en otro lado), se dió cuenta a la mañana siguiente que "sus datos", habían dejado de pertenecerla, que ya eran del criptowall 3.0............. y evidentemente todo lo mapeado en su ordenador, también.

Y no creo que nadie sea tan, tan, tan gilipollas que se le ocurra conectar un disco externo a un ordenador que sabes que está infectado con ese tipo de amenazas....
Jar-Jar escribió:Es que o estás atento, o tienes un programa que te paralice cualquier accerso masivo al hd... porque cuando te quieres dar cuenta, lo tienes encriptado todo...

Yo recuerdo en la oficina, le pasó a una compañera, y pese q que el antivirus cazó el ataque y el comienzo de la encriptación (yo andaba en modo vacaciones, con la mente ya en otro lado), se dió cuenta a la mañana siguiente que "sus datos", habían dejado de pertenecerla, que ya eran del criptowall 3.0............. y evidentemente todo lo mapeado en su ordenador, también.

Y no creo que nadie sea tan, tan, tan gilipollas que se le ocurra conectar un disco externo a un ordenador que sabes que está infectado con ese tipo de amenazas....


Como se dijo en el hilo de este software en su día... he visto a gente que pide ayuda para abrir un fichero que no puede abrir en su ordenador, copiarlo en un pendrive e irse a otro ordenador a probar... y el fichero le había llegado de un remitente desconocido. No pienses que en la oficina todo el mundo sabe lo básico de seguridad... El símil es muy sencillo: es como ir a una carpintería y dejarle manejar la máquina que corta los tableros al novato. A veces damos por sentado que en estos días, todo el mundo sabe usar un ordenador... y no es así. Sería la primera copia de seguridad destruidad por el virus que ha destruido los datos originales XD XD

Por ejemplo, mi cuñado. Lo único que me había dicho hasta que descubrí el tema es que el ordenador le iba lento. Pero como es un netbook con un Celeron bajito (de aquellos que las tablet asesinaron) me dije, pues es normal. Ni le hice caso, porque fue un comentario así, como de pasada. Lo siguiente que supe fue que estaba la mitad del disco duro encriptado. Le salvó que al encriptar los ficheros gordos de la partición de recuperación, debió engancharse ahí, y el antivirus se lo cargó. Aun pude salvar cosas (con un live linux, por si acaso ;-) ), pero... debería haberse tomado más en serio que el ordenador estuviera con el uso de disco al 100% todo el rato, día tras día... Yo lo habría visto, él ni se enteró.

En fin... por una parte, incluso veo bien la existencia de estos virus. Servirán para que algo que llevo años intentando implantar, como es el hecho de que se tomen en serio las copias de seguridad, incluso en entornos domésticos, se empiece a hacer. De momento, mi cuñado se compró un disco para eso (que haga copias o no... ya lo dejo en sus manos, pero yo le insisto). Siempre lo recuerdas a todo el mundo, pero al final mi comentario acaba siendo "¿ah, que no tienes copia de seguridad? Pues si la hubieras hecho...". A ver si a partir del ramsomware la respuesta es siempre "si, aquí la tengo".

Un saludo.
Hazme caso, no hay ningun antivirus que lo cace, te podrán informar del "ataque" pero nada más.

Estoy contigo, esto implicará que la gente tenga hds para copias de seguridad, pero deberemos ir un paso más allá y es leer y comprender lo que ves en la pantalla, que este tipo de amenazas no se propagan por la nada, debes descargar un fichero y ejecutarlo.
Gracias por vuestros comentarios... @apachusque y @Jar-Jar

Efectivamente yo tengo otro disco duro para copiar y recuperar...(clonar desde BIOS con Clonecilla y volver a recuperar todo al disco principal en caso de ataque..
Por borrar todo lo que hubiera en el infectado al recibir el clonado creo que no habria que formatear antes de clonar , o asi creo que seria,pues no se hace desde Windows y pienso que el virus no tiene opción de ejecutarse o seguir haciéndolo))..

Ese disco de seguridad lo tengo montado en el interior de la caja,pero desconectado de corriente y cable de datos.. y solo lo conectaria para hacer clonado y recuperar...No hace mucho hice un clonado nuevo para que tuviera las últimas cosas que en el principal tenia..(algunos juegos y programas),,Vamos actualizar con novedades y cuando todo vá bien.

Lo que haré,será comprar un hd de al menos 1 Tera y alli poder pasar tambien las cosas que tengo en los que están por USB..Me sobra, pues los que digo, uno tiene 400 gigas y otro 250..(bueno,esa es su capacidad pero no están llenos del todo).. Y claro,mantener el que compre tambien para copias...desconectado y bien guardado.
Jar-Jar escribió:Hazme caso, no hay ningun antivirus que lo cace, te podrán informar del "ataque" pero nada más.

Estoy contigo, esto implicará que la gente tenga hds para copias de seguridad, pero deberemos ir un paso más allá y es leer y comprender lo que ves en la pantalla, que este tipo de amenazas no se propagan por la nada, debes descargar un fichero y ejecutarlo.


Pues ya te digo que a mi cuñado le paró de encriptar por alguna razón. Yo al achaco lo antivirus porque por el tiempo que estuvo dale que te pego (más de una semana seguro, porque mi cuñado decía que "últimamente" le iba muy lento), podría haber encriptado todo, y se dejó un buen montón de fotos sin encriptar... Algo pasó, desde luego. Pero, por si acaso, arranqué con live xubuntu, y pasé sólo los datos. Luego, formateo y arreando.

La verdad es que hay una sutil diferencia entre este ataque y uno que te borre todo el disco... En el segundo caso, ya se dan por perdido los datos. El "cliente" (familiar, etc), ya no te escucha cuando le dices lo de la copia. Está jodido, ha perdido todo, y no hay manera de recuperarlo.

En el caso del ramson, los datos están ahí, se ven los ficheros, pero para recuperarlo, hay que poner pasta. Esto hace que el "cliente" se implique. Se cabrea, insulta, se caga en todo, y cuando le dices que si hubiera hecho copia, ahora no estaría así, te escucha.

Por eso digo, que así más de uno aprenderá a no "dejarlo a la suerte". Sobre todo en empresas. La de sitios que tienen los datos ahí tan ricamente, incluso en empresas en las que la desaparición de esos datos supone el cierre del negocio (como una asesoría, fotógrafo, etc.). Por eso digo... un poco de miedo de vez en cuando, no les vendrá mal.

Un saludo.
apachusque escribió:En el caso de mi cuñado, le encriptó hasta los ficheros que habían en la partición de recuperación del portátil (la que se usa para reinstalar el S.O., vamos). Y, por lo que he leído, llega hasta los HD en la nube que tengas, tipo dropbox, onedrive, google drive...

Un saludo.


Los archivos del dropbox, onedrive .. solo infecta la copia local, puedes ir a otro ordernador y con la ocpion de restaurar del dropbox puede restaurar la copia anteirior. Supongo que tambien en onedrive.

El virus no puede a lo que esta fuera de su red (en este caso a la nube). Ademas se supone que solo puede acceder a lo que esta mapeado, asi que si tienes un ordenador que solo se puede accerder por ftp, ese no lo infecta.
alex120 escribió:
apachusque escribió:En el caso de mi cuñado, le encriptó hasta los ficheros que habían en la partición de recuperación del portátil (la que se usa para reinstalar el S.O., vamos). Y, por lo que he leído, llega hasta los HD en la nube que tengas, tipo dropbox, onedrive, google drive...

Un saludo.


Los archivos del dropbox, onedrive .. solo infecta la copia local, puedes ir a otro ordernador y con la ocpion de restaurar del dropbox puede restaurar la copia anteirior. Supongo que tambien en onedrive.

El virus no puede a lo que esta fuera de su red (en este caso a la nube). Ademas se supone que solo puede acceder a lo que esta mapeado, asi que si tienes un ordenador que solo se puede accerder por ftp, ese no lo infecta.


Ya, ya... digamos que sólo a lo que se puede acceder desde el administrador de ficheros. Dropbox y demás, si tienes copia local, se encripta y se sincroniza, aunque es cierto... siempre puedes recuperar la versión anterior. Pero los que tengas en carpetas compartidas de la red los encripta también, y esto es muy típico en las empresas.

Está bien diseñado el muy cabrón.

Un saludo.
100 respuestas
Archivado
1, 2, 3
Volver a General