Virus ficheros encriptados pagar bitcoin

Archivado
EDITO: Edito porque la gente no lee...NO QUIERO DESENCRIPTARLOS busco una forma facil de localizar los archivos que me hayan podido encriptar, porque imagino que se quedo a medias o algo porque todos los ficheros que he provado los puedo abrir sin problemas, pero tengo muchas cosas en el disco duro y quisiera saber los ficheros afectados, sin abrir uno por uno.


Hola, mirad estaba mirando en mis segundos discos duros y me encontrado este regalito.
Imagen
Imagen
Hace poco me infecte asi que puede que tenga que ver con ese dia.
El problema no es recuperar los ficheros, ya que si fuera por eso segun tengo entendido tendria que joderme casi seguro porque de momento o pagas o pagas o almenos esto havia oido recientemente de estos virus.

El problema es que no se cuales han encriptado porque de momento no encontrado ninguno XD XD He visto más carpetas con estos ficheros peor los ficheros que hay los que he ido provando estan enteros :S no se si fue un fail del virus o si lo quite a tiempo o que ocurrio :S

Alguien sabe si haya alguna forma de contrar los que hayan tocado, les cambian la extension o algo? Esque estos discos duros los toco poco y la verdad no tengo ni idea de que hay XD XD Pero claro me joderia que un dia me encuentre alguna cosa que me falte y entonces ya no pueda recuperarla , porque la borre de una segunda copia porque aqui ya lo tenia o algo por el estilo.
Ni te molestes en intentar desencriptarlos.
Mucha gente ha pagado y no ha recuperado sus ficheros.

Normalmente son derivados de CyptoLocker, por lo que usan claves RSA de 2048bits para encriptarlos o inclusive claves de 4096bits.

A mi también me pasó en la empresa, uno de los trabajadores le dio clic a un correo de Correos sobre un paquete y me encriptó un HDD de 750gb con toda la facturacion y demás. Suerte que todos los equipos se copian a un servidor.
ZeroData escribió:Ni te molestes en intentar desencriptarlos.
Mucha gente ha pagado y no ha recuperado sus ficheros.

Normalmente son derivados de CyptoLocker, por lo que usan claves RSA de 2048bits para encriptarlos o inclusive claves de 4096bits.

A mi también me pasó en la empresa, uno de los trabajadores le dio clic a un correo de Correos sobre un paquete y me encriptó un HDD de 750gb con toda la facturacion y demás. Suerte que todos los equipos se copian a un servidor.


Pero ha ver la gente aqui en eol se lee los posts? XD SI es que no quiereo desencriptarlos ya se que no se puede... Lo que quiero es encontrar que ficheros que me han encriptado...
Estos discos duros casi no los uso y no recuerdo muy bien lo que tengo y lo que no y son muchos ficheros y claro debo tener algun fichero encriptado...pero no se cuales sin tener que abrir uno por uno y queria saber cuales són. Porque luego pueda saber que puedo recuperar de otra copia, que he perdido definitivamente etc... porque de momento no encontrado ninguno encriptado :S.
Deberías leer esto si aún te queda un mínimo de esperanza por sacar información de tu disco duro:

http://www.redeszone.net/2015/06/04/loc ... dimientos/

Salu2
No se si se cambian de extensión, la verdad es que hay tantas variantes... podrías buscar los archivos ordenados por fecha de modificación, si no sueles usar el disco, pues quizas los más recientes sean los modificados. Ademas ya tienes las fechas de los archivos de ayuda del virus como referencia.

Supongo que sobra que te advierta que tengas cuidado de no infectarte otra vez, por si el virus esta en algun lado del disco duro, sobretodo en el autorun.
WaterDark escribió:No se si se cambian de extensión, la verdad es que hay tantas variantes... podrías buscar los archivos ordenados por fecha de modificación, si no sueles usar el disco, pues quizas los más recientes sean los modificados. Ademas ya tienes las fechas de los archivos de ayuda del virus como referencia.

Supongo que sobra que te advierta que tengas cuidado de no infectarte otra vez, por si el virus esta en algun lado del disco duro, sobretodo en el autorun.


Los archivos modificados se renombran por *.encrypted
Aun asi, los originales suelen ser ficheros "profesionales" es decir:
- Documentos PDF
- Imagenes
- Documentos DOC
- Documentos TXT
- Archivos ZIP y RAR.
ZeroData escribió:
WaterDark escribió:No se si se cambian de extensión, la verdad es que hay tantas variantes... podrías buscar los archivos ordenados por fecha de modificación, si no sueles usar el disco, pues quizas los más recientes sean los modificados. Ademas ya tienes las fechas de los archivos de ayuda del virus como referencia.

Supongo que sobra que te advierta que tengas cuidado de no infectarte otra vez, por si el virus esta en algun lado del disco duro, sobretodo en el autorun.


Los archivos modificados se renombran por *.encrypted
Aun asi, los originales suelen ser ficheros "profesionales" es decir:
- Documentos PDF
- Imagenes
- Documentos DOC
- Documentos TXT
- Archivos ZIP y RAR.


Eso es. Hace poco tuve que pelear con un ransomware de estos y los encriptados habían cambiado la extensión a la que dice el compañero. Para borrarlos, tan fácil como poner en el buscador de windows *.encrypted y te aparecen todos. Ahora bien, les suele llevar un rato encriptar todos los archivos, así que si tuviste reflejos y apagaste el pc rápidamente, es probable que no le diera tiempo a infectar más que un puñado.
Pues de momento no encontrado ninguno con extensión encrypted, he provado variantes encrypt, encriptado,... pero nada... de momento parece que me salve, algo debio fallar del virus... [boing]
Aun así seguiré buscando por la fecha de modificación que no se me había ocurrido porque me sorprende que tengas esos fichero que me dicen que pague y demás... en varios sitios pero ni uno encryptado... ¬_¬
A un compañero de trabajo le aparecio ese "virus" y por mas que buscó, no encontró nada encriptado, así que lo unico que hizo fue eliminar el virus y asunto terminado.
En este hilo (aquí mismo, en esta primera página) se habla del tema desde hace tiempo:
hilo_problema-con-ransomware-o-secuestrador-de-ficheros_2093102

Es posible que el disco externo se infectara estando conectado a otro equipo, o a un NAS visible en la red local (con algún equipo infectado también en la misma red), o que se lo dejaras a alguien que tiene el ransomware, a saber.
¿Sabes si tenías a la vista la partición de recuperación del ordenador o algún archivo especialmente grande? En el otro hilo había quien había tenido un problema con ese virus pero que no había llegado a cifrar apenas nada porque se había "atragantado" cifrando el archivo install.wim de la instalación de Windows (que viene a pesar de 3 GB en adelante [+risas]). Tal vez aquí haya pasado lo mismo y el virus se haya bloqueado cifrando algo enorme y no le haya dado tiempo a continuar.

En cualquier caso, vete haciendo pruebas y vete probando distintos archivos en las distintas carpetas para ver si sigues teniendo acceso a ellos. Y comprueba que no tengas ficheros con extensiones raras. Recuerdo haber visto una variante del virus que añadía una extensión de 4 letras al archivo en lugar del .encrypted o similares.
10 respuestas
Archivado
Volver a General