Virus Ransom32

Hola, o pagas o no hay manera de recuperar el sistema.
Solución simple formatear + una antivirus bueno como bitdefender internet security + una cuenta como local, tener el navegador actualizado, no usar flash player y tener un bloqueador javascript.

No hay garantías de que pagando vayas a recuperar nada. Así que la única solución que te queda es formatear el disco, volver a instalar Windows y tomar las medidas oportunas para que nada de esto vuelva a sucederte.

Los datos es muy probable de que los hayas perdido. Si te interesa intentar recuperar algo, prueba a examinar la función de Versiones Anteriores a ver si de casualidad. Busca también si hay alguna empresa de antivirus que ofrezca alguna aplicación que permita descifrar los archivos para ese ransomware. Y, en última instancia, realiza un escaneo y recuperación de datos avanzado con algún programa tipo GetDataBack o Recuva.

Ok, gracias a ambos. Pagar no es una opción, voy a formatear y si recupero algo bien, si no mala suerte. Me da un poco de rabia porque es la primera vez en mi vida que me pasa algo algo así, y suelo tener cuidado. Tenía instalados el Avast y el MalwareBytes Antimalware, pero no han evitado nada . En fin, la ocasión de actualizar a Windows 10.

Primero tendrías que saber de que variante se trata; no son pocos los ramsonwares posibles.

Algunos enlaces/lecturas que te pueden venir bien:

http://blogs.protegerse.com/laboratorio ... t-y-petya/

https://www.incibe.es/blogs/post/Seguri ... Ransomware

http://www.welivesecurity.com/la-es/201 ... ansomware/

http://www.securitybydefault.com/2014/0 ... -beta.html

Desconecta el equipo de la red

Newton escribió:Primero tendrías que saber de que variante se trata; no son pocos los ramsonwares posibles.

Algunos enlaces/lecturas que te pueden venir bien:

http://blogs.protegerse.com/laboratorio ... t-y-petya/

https://www.incibe.es/blogs/post/Seguri ... Ransomware

http://www.welivesecurity.com/la-es/201 ... ansomware/

http://www.securitybydefault.com/2014/0 ... -beta.html

Desconecta el equipo de la red

Como he puesto en el título, es Ransom32, una variante de ransomware vía javascript que ataca a cualquier sistema operativo (Windows, Linux o IOS).

Te comprendo perfectamente, porque a mí me entró en agosto del pasado año, aunque en mi caso era Cryptowall 3.0.
En su día abrí un hilo sobre ello: Cryptowall 3.0, un virus letal

Échale un vistazo porque igual sacas alguna información aprovechable; eso sí, de los datos creo que puedes olvidarte.
Yo tenía (y sigo teniendo) Windows XP, pero veo que tener un S.O. más reciente no garantiza nada.

Ánimo

Buenas,

He tenido que lidiar con unos cuantos virus de estos y la verdad que es jodido,

dejo una muy buena información para el que se quiera enterar de como va el tema.

https://www.ccn-cert.cni.es/informes/in ... /file.html

Un saludo.

Kemyi escribió:

Newton escribió:Primero tendrías que saber de que variante se trata; no son pocos los ramsonwares posibles.

Algunos enlaces/lecturas que te pueden venir bien:

http://blogs.protegerse.com/laboratorio ... t-y-petya/

https://www.incibe.es/blogs/post/Seguri ... Ransomware

http://www.welivesecurity.com/la-es/201 ... ansomware/

http://www.securitybydefault.com/2014/0 ... -beta.html

Desconecta el equipo de la red

Como he puesto en el título, es Ransom32, una variante de ransomware vía javascript que ataca a cualquier sistema operativo (Windows, Linux o IOS).

https://www.f-secure.com/v-descs/trojan ... nsom.shtml
Perdona, Ransom32 no lo conocía, por lo visto empezó a ser bastante popular a partir de Enero.

Kemyi escribió:
Como he puesto en el título, es Ransom32, una variante de ransomware vía javascript que ataca a cualquier sistema operativo (Windows, Linux o IOS).

Lo dudo mucho, segun eset http://www.welivesecurity.com/la-es/2016/01/07/ransom32-nuevo-filecoder/:

El archivo malicioso, chrome.exe, intenta hacerse pasar por el conocido navegador Chrome.

Y no creo que muchos usuarios de linux o mac ejecuten exe's. Y mucho menos para un programa que existe nativo.

He estado leyendo sobre el tema buena parte de hoy, porque no tengo ni idea de cómo ha entrado, seguro que no por mail y seguro que tampoco por descargar un ejecutable del chrome (que llevaba instalado ya como 2 años) y el tema es que por lo visto hay bastantes posibilidades. En todas las webs comentan que es uno de los primeros ransomware que afecta a los otros dos sistemas operativos, así que si no es por un .exe de otra forma será...

Vulnerabilidad del navegador, plugin Java o Flash.

Kemyi escribió:He estado leyendo sobre el tema buena parte de hoy, porque no tengo ni idea de cómo ha entrado, seguro que no por mail y seguro que tampoco por descargar un ejecutable del chrome (que llevaba instalado ya como 2 años) y el tema es que por lo visto hay bastantes posibilidades. En todas las webs comentan que es uno de los primeros ransomware que afecta a los otros dos sistemas operativos, así que si no es por un .exe de otra forma será...

En el blog de Malwarebytes donde explican cómo funciona hablan de que se descarga precisamente una instalación de Chrome (en realidad es un rar autoextraible que lo instala). Adaptar el paquete para los otros sistemas no parece complicado al existir versiones de Chrome y Tor (lo usan para la comunicación) para diferentes sistemas operativos. Luego ya el "regalito" es un ejecutable JavaScript, que también se compila según el sistema de destino.

En este blog hay más información, en especial de esta última parte, que lo convierte en fácil de portar a otras plataformas.

Otra cuestión, mientras preparo el formateo: el mensaje de que mis datos estaban secuestrados y de que pagase para recuperarlos saltó ayer, pero entiendo que el virus podría llevar desde varios días antes en el ordenador, por lo que me gustaría poder comprobar un disco duro y un pendrive que se conectaron antes... ¿Qué programa me recoméndais pasarles que me detecte si son portadores del Ransom32? Porque por ejemplo en el caso del ordenador el MalwareBytes Antimalware no me llegó a detectar nada.

Kemyi escribió: ¿Qué programa me recoméndais pasarles que me detecte si son portadores del Ransom32? Porque por ejemplo en el caso del ordenador el MalwareBytes Antimalware no me llegó a detectar nada.

Para este virus, lo que usamos habitualmente no sirve de nada; de hecho, ni MalwareBytes Anti-Malware ni Dr. Web Cure it! son capaces de detectarlo. Yo logré eliminarlo sin formatear usando Kaspersky Rescue Disk 10, aunque, lógicamente, perdí todos los datos encriptados.

Desde entonces instalé Panda USB Vaccine y Bitdefender Anti-Ramsonware; además de uBlock Origin, No Script y HTTPS everywhere como complementos de FireFox.

En mi caso tampoco noté la infección de repente (de hecho, a día de hoy sigo sin saber cómo entró); así que imagino que fue un proceso lento porque sí que es cierto que el portátil se calentaba más de lo habitual y tanto el disco duro como el ventilador mostraban una actividad frenética.

Para detectar Ransomware Anti Ransom

Ni antivirus ni nada de eso, son tonterias

Lo que se tiene que hacer es usar usuario limitado, manejar bien los permisos de administrador para evitar que ningun directorio o archivo este con permisos equivocados, desabilitar la mierda de UAC e installertrust, y aplicar un sandbox al navegador

La verdad que el sandbox es alternativo, yo con tener los permisos bien puestos me sobra, pero si se es toquete, o no se quiere preocupar por lo que se le da doble click, es indispensable

Neo Cortex escribió:

Kemyi escribió: ¿Qué programa me recoméndais pasarles que me detecte si son portadores del Ransom32? Porque por ejemplo en el caso del ordenador el MalwareBytes Antimalware no me llegó a detectar nada.

Para este virus, lo que usamos habitualmente no sirve de nada; de hecho, ni MalwareBytes Anti-Malware ni Dr. Web Cure it! son capaces de detectarlo. Yo logré eliminarlo sin formatear usando Kaspersky Rescue Disk 10, aunque, lógicamente, perdí todos los datos encriptados.

Desde entonces instalé Panda USB Vaccine y Bitdefender Anti-Ramsonware; además de uBlock Origin, No Script y HTTPS everywhere como complementos de FireFox.

En mi caso tampoco noté la infección de repente (de hecho, a día de hoy sigo sin saber cómo entró); así que imagino que fue un proceso lento porque sí que es cierto que el portátil se calentaba más de lo habitual y tanto el disco duro como el ventilador mostraban una actividad frenética.

Me los apunto.

Yo momento lo que he hecho es formatear a Windows 8.1 de fábrica, entrar en modo seguro y conectar mi disco duro (en el que está mi backup de hace pocos días, y que me preocupaba que estuviese también infectado). Las fotos y demás se ven sin problemas, ¿eso es que está a salvo? ¿O puede que haya sido infectado y hasta dentro de unos días no me lleve la desagradable sorpresa?

En fin, ahora que tengo el PC limpio voy a aprovechar para dar el salto a Windows 10 mientras sigue siendo gratuito, aunque primero tengo que instalar el update de Windows 8.1. En su día esas actualizaciones me saltaban solas, pero supongo que habrá manera de forzarlo a actualizar, voy a buscar cómo, que me gustaría dejar ya hoy el sistema operativo actualizado al 10 y mañana dedicarlo a volver a instalar todos mis programas (empezando por antivirus y antimalware...). Ojalá el disco duro no esté comprometido y toda esta historia se quede sólo en el susto y en media semana perdida...


P.D.: he oído hablar muy bien también de Emsisoft como software para prevenir estos ransomware, ¿alguno de aquí tiene una opinión sobre este antimalware? No es de los típicos, o al menos yo no lo conocía.

Hace 2 años y medio nos entró una versión para Windows Server de este bicho, y encriptó las bases de datos.
Se hacían respaldos semanales en un disco usb, pero el día que sucedió esto el disco estaba conectado.

Intentamos de todo sin resultados, y no quedó otra que recurrir a la última opción en estos casos, pasar por caja.



Este fue el mensaje que recibimos después de hacerles el pago


Me sorprendió el mensaje al estilo prestador de un servicio.
Unos meses después nos contacta una víctima de este virus, diciendo que fue infectada por este virus y que cuando pidió garantías, recibió una lista de los correos de algunos "clientes satisfechos", entre los cuales estabamos nosotros.

Es un negociazo el que tienen montado esta gente.

@Neo Cortex Por eso me pille Bitdefender y por que lo trae... y lleva varios años en el puesto numero 1 en las webs que analizan antivirus y tiene servicio tecnico 24 horas del día y en español, ingles y otros idiomas. 5 euros + iva 2 años de antivirus con cortafuegos no esta mal.

Kemyi escribió: Las fotos y demás se ven sin problemas, ¿eso es que está a salvo? ¿O puede que haya sido infectado y hasta dentro de unos días no me lleve la desagradable sorpresa?

En principio, yo diría que está limpio. De todos modos, ¿no te dejó archivos similares a los siguientes?
HELP_DECRYPT.HTML
HELP_DECRYPT.TXT
HELP_DECRYPT.URL
HELP_DECRYPT.PNG

En realidad, esos archivos no son el virus en sí mismo, sino las advertencias que te salen al intentar abrir un archivo.

-----

@Brutico
Sí, Bitdefender es una buena herramienta contra este tipo de infecciones; incluso tienen una opción gratuita.

La verdad es que son lo peor, se hacen de oro destrozando a la gente. He leído casos de todo tipo: a nivel personal gente que ha perdido las fotos de los últimos años, a nivel empresarial te puedes imaginar (que de hecho son habitualmente los que terminan pagando) e incluso había afectado a algunos hospitales que perdieron los datos de los pacientes...una gracia vamos. Y lo peor es que casos como este ransom32 empiezan a ser virus on demand, lo que hace que se multipliquen todavía más los casos de infecciones porque cualquiera tiene acceso a ellos .


P.D.: @Brutico supongo que sería alguna oferta, ¿no? Ahora por lo que veo en su web el pack más barato son unos 30€.


Edit:

Neo Cortex escribió:

Kemyi escribió: Las fotos y demás se ven sin problemas, ¿eso es que está a salvo? ¿O puede que haya sido infectado y hasta dentro de unos días no me lleve la desagradable sorpresa?

En principio, yo diría que está limpio. De todos modos, ¿no te dejó archivos similares a los siguientes?
HELP_DECRYPT.HTML
HELP_DECRYPT.TXT
HELP_DECRYPT.URL
HELP_DECRYPT.PNG

En realidad, esos archivos no son el virus en sí mismo, sino las advertencias que te salen al intentar abrir un archivo.

-----

No, lo he estado comprobando y no había nada extraño, ni a la vista ni en archivos ocultos.

Son keys de esas baratas https://www.g2a.com/bitdefender-interne ... lobal.html @Kemyi

Brutico escribió:Son keys de esas baratas https://www.g2a.com/bitdefender-interne ... lobal.html @Kemyi

Gracias por la info, cuando tenga un ratillo le echo un ojo.

Kemyi escribió: No, lo he estado comprobando y no había nada extraño, ni a la vista ni en archivos ocultos.

Entonces yo creo que lo has eliminado por completo, pero tampoco soy un gurú en esto

Se me olvidó comentar que aunque yo logré evitar el formateo, tuve que reinstalar algunos programas que dejaron de funcionar porque el virus encriptó algunos archivos necesarios para su funcionamiento.

@Neo Cortex
@JuananBow

Una pregunta para vosotros y para el resto de usuarios del hilo (y los que se presenten).
Este tipo de malware ¿Pasa en serio desapercibido hasta que es demasiado tarde?
Lo digo porque no me entra en la cabeza que un software (sea el que sea) pueda encriptar TB de datos sin que te des cuenta:

1) consumo de la CPU y Ram disparados.
2) Lentitud general debido a lo anterior
3) Uno o varios procesos consumiéndote toda/gran parte de la ram
4) Y por ultimo horas y horas que debe tardar en hacerlo.

Yo por ejemplo en este equipo desde el cual estoy escribiendo ahora mismo tengo unos 8TB de datos repartidos entre 6 hdd (5 vistos desde windows porque uno de ellos estar en Raid1)

No concibo que un malware de este estilo pueda encriptar todos los archivos (hablamos de mas de 12 millones (8TB EN TOTAL)) y de esos 8TB del total 6TB son archivos de vídeo\Proyectos de edición pesadísimos (varias decenas de GB por proyecto/vídeo).
Vamos que debe tardar su tiempo en cifrar cada archivo (la CPU y Ram disparadas) algo que si o si notas (y mas yo que monitoreo eso de forma contante en el propia barra de tareas.

¿Me estoy equivocando? ¿Realmente no notas nada hasta que ya es demasiado tarde?

Saludos

remyeol escribió:En el blog de Malwarebytes donde explican cómo funciona hablan de que se descarga precisamente una instalación de Chrome (en realidad es un rar autoextraible que lo instala). Adaptar el paquete para los otros sistemas no parece complicado al existir versiones de Chrome y Tor (lo usan para la comunicación) para diferentes sistemas operativos. Luego ya el "regalito" es un ejecutable JavaScript, que también se compila según el sistema de destino.

En este blog hay más información, en especial de esta última parte, que lo convierte en fácil de portar a otras plataformas.

No dice eso. Dice que se ha programado con un IDE multiplataforma y que, si portan el resto de programas: chrome.exe, ffmpegsumo.dll, nw.pak, rundll32.exe, s.exe, msgbox.vbs y u.vbs, puede que, en teoria, afectaran a linux y mac. Además de que no se ha dado ningun caso de este malware fuera del entorno windows.

This also means, that at least in theory, Ransom32 could easily be packaged for both Linux and Mac OS X. That being said at this point we haven’t seen any such packages, which at least for the moment makes Ransom32 most likely Windows-only.

Y si quieres infectar asi un linux tienes que tener permisos sobre el ejecutable para cambiarlo que no vas a tener sin ser root.

@Perfect Ardamax
Ya comenté que lo único que noté fue más actividad del ventilador y del disco duro; y que el portátil se calentaba mucho.
Por otra parte, lo que encripta son los documentos y en mi caso tendría unos 20 GB como mucho (un par de películas en DVD9 y mucha música en mp3; el resto serían archivos de Office, algunas fotos y poco más).

Yo creo que me infectó el equipo en una de esas páginas puente que se abren antes de acceder a un DLC de descarga, pero de lo que estoy seguro es que no hice doble click sobre ningún archivo ni sobre ningún exe.

Y el antivirus (Panda free) me avisaba de que el sistema había encontrado una amenaza y debía reiniciarse para eliminarla completamente, pero cuando se reiniciaba volvía a aparece de nuevo ese mensaje.

Como supuse que era un virus, inicié en modo seguro y esa fue mi perdición, ya que en ese modo el virus se propagó a lo bestia (qué ironía que se llame modo seguro). Le llevó un par de horas

@Neo Cortex

¿Solo Documentos?
¿Vídeo / Música/ software no?

Si es solo documentos pues tendré unos 50GB

Saludos

@Perfect Ardamax
Me expresé mal, afecta a todo lo que no sean programas; es decir música, vídeos, pdf, jpeg, doc, excel, cdr, etc.
Y a algunos programas les encripta ciertos archivos que impiden su normal funcionamiento (por ejemplo, yo tuve que volver a instalar Corel, JDownloader, Primo PDF y alguno más que no recuerdo).

Los escenarios son muchos y muy variados. En tu caso, con 8TB de información y archivos tan grandes puede ser bastante difícil que pase desapercibido, pero en una gran mayoría de los casos donde los documentos no son más pesados que un puñado de MB unido a un mal mantenimiento del ordenador que hace que la mayor parte del tiempo esta procesando, consumiendo recursos y accediendo al disco, debido a la demás mierda, el disfraz está asegurado.

La ineptitud de muchos usuarios puede llegar a ser antológica también. Existen casos de recibir el famoso "Aviso de certificado de correos", ejecutar el archivo adjunto y al ver que no funciona, pasarlo el usuario a un pendrive para que lo ejecute el compañero en su equipo a ver si es que es cosa de su ordenador. O picar y descargar cebos tan burdos como "Download Juego de Tronos All Seasons.exe" o "All Crack Games Keygen Battlefield FIFA.exe".

El usuario es en la mayoría de los casos el que pone en grave peligro al sistema.

JuananBow escribió: La ineptitud de muchos usuarios puede llegar a ser antológica también (...) El usuario es en la mayoría de los casos el que pone en grave peligro al sistema.

No te quito la razón, pero es que se trata de una lucha desigual; es como si Íñigo Errejón se enfrenta a Mike Tyson.

Por un lado están los grupos de ciberdelincuentes que tienen amplios conocimientos informáticos y su intención consiste en infectar el mayor número de equipos de la forma más rápida posible, para lo cual aprovechan cualquier vulnerabilidad, tanto de los equipos como de los usuarios. Y por otro lado, están los usuarios, que en su mayoría son eso, simples usuarios que no son conscientes de las amenazas que les rodean.

Porque quiero pensar que nadie en su sano juicio dice: "Anda, mira, un virus; voy a permitir que me infecte el equipo y me tenga varios días preocupado por los daños que va a causarme". Lo que sí es cierto es que hace falta un cambio en el comportamiento y una "educación básica preventiva" que evite en mayor o menor medida estas situaciones.

En cualquier caso, ¿quién tiene todos los programas originales en su equipo? ¿Quién no se ha descargado películas, música o programas de Internet?. Es que incluso descargando un programa gratuito de la página oficial, viene con "sorpresa" (por ejemplo, aTube Catcher, JDownloader o MiPony traen de regalo Istasurf, OpenCandy, Babylon Search o Lollipop, bien sea en el propio programa o en las actualizaciones posteriores).

Yo sí que noté que algo estaba mal (y que era un virus seguro) porque me desactivó los antivirus. Bueno, el avast no, pero el MalwareBytes Antimalware y el CCleaner sí (en el sentido de «desrregistrarlos» y que me volviese a pedir la clave de producto al acceder a ellos). Pero no tuve margen de acción: entré en modo seguro, los activé y pasé la trinidad AdwCleaner - MalwareBytes - CCleaner, que no me detectaron absolutamente nada, y al reiniciar y volver al modo normal me saltó el mensaje de marras.

Así que supongo que sí, notarlo lo notas, pero al menos en mi caso no tuve ni tiempo ni el conocimiento suficiente para pararlo a tiempo.

Viendo todo el panorama con los ransom tengo una duda bastante noob.

Veo que una de las mejores prevenciones es utilizar un user sin privilegios de administrador. Si solo tienes un user si le quitas privilegios de administrador entonces no puedes instalar programas, actualizaciones, ni hacer nada no? Entonces como va el tema, hay que tener dos users, hay algun password para entrar en modo administrador si solo tienes un user?

Es que no sé cómo va todo esto ya que yo siempre he usado user como administrador porque siempre he ido con cuidado pero mi padre con su portatil descarga cosillas y ya he visto algun archivo ejecutable sospechoso en la carpeta de descargas, que menos mal que parece que no lo ha abierto, porque le he dicho que si ve algo raro que no toque nada.

Me gustaría ponerle el user sin privilegios de administrador pero que no tenga problemas si hay alguna actualización o algo. Él no instala programas ni nada porque se lo hago yo. El portatil está con W10 y le he dejado solo el Windows Defender porque con antivirus va algo lento el ordenador.

Qué me recomendais hacer? Preferiría que solo tuviera un user porque el portatil ese solo lo utiliza él y que no se haga líos.

Rodie escribió:Viendo todo el panorama con los ransom tengo una duda bastante noob.

Veo que una de las mejores prevenciones es utilizar un user sin privilegios de administrador. Si solo tienes un user si le quitas privilegios de administrador entonces no puedes instalar programas, actualizaciones, ni hacer nada no? Entonces como va el tema, hay que tener dos users, hay algun password para entrar en modo administrador si solo tienes un user?

Es que no sé cómo va todo esto ya que yo siempre he usado user como administrador porque siempre he ido con cuidado pero mi padre con su portatil descarga cosillas y ya he visto algun archivo ejecutable sospechoso en la carpeta de descargas, que menos mal que parece que no lo ha abierto, porque le he dicho que si ve algo raro que no toque nada.

Me gustaría ponerle el user sin privilegios de administrador pero que no tenga problemas si hay alguna actualización o algo. Él no instala programas ni nada porque se lo hago yo. El portatil está con W10 y le he dejado solo el Windows Defender porque con antivirus va algo lento el ordenador.

Qué me recomendais hacer? Preferiría que solo tuviera un user porque el portatil ese solo lo utiliza él y que no se haga líos.

Lo mejor es tener un usuario para uso diario que tenga menos privilegios.

Cuando te toque hacer alguna labor de mantenimiento/instalación accedes con el usuario administrador. Según en que Windows creo que muestra la opción de Ejecutar cómo administrador ...

Informe de Amenazas CCN-CERTI A - 01/16 MEDIDAS DE SEGURIDAD CONTRA RANSOMWARE.

@JuananBow
Haber chicos os vais a reír un ratito con lo que os voy a decir... (pero necesito vuestra ayuda )

Veréis debido a lo comentado en el hilo esta mañana "en un momento de lucidez recién levantado" me he puesto a jugar con
"Las Directivas de seguridad local"

Bien la cuestión es que... (Me he pasado de seguridad ) todo todo lo que intento ejecutar (y ahora no puedo cambiarlo porque) me salta con el siguiente error que dice así:

La directiva de grupo bloqueo este programa. Para obtener mas información póngase en contacto con el administrador del sistema

Ni que decir tiene que... "YO SOY EL ADMINISTRADOR"

Bien dicho mensaje me sale en todas todas y cada una de las aplicaciones que intento ejecutar (hasta en el propio Editor de directivas por lo que no me deja abrirlo para cambiarlas )

Casualmente tenia ejecutado Firefox mientras hacia los cambios por lo que puedo seguir escribiendo mientras no me de por cerrar el navegador)

Se exactamente que he tocado y en donde la he cagado (eso me pasa por estar recién levantado) os cuento:

Dentro de Directivas Locales (a la cual he accedido desde Herramientas Administrativas en Panel de Control) me he ido al apartado "directivas de restricción de software"
En ese apartado me he ido a "Niveles de Seguridad" y dentro de ese apartado le he puesto como predeterminado "No Permitido"

Después me he ido aquí (y he puesto esa configuración) (la imagen es de google)



Yo en mi lucidez mañanera no he caído en algo sumamente estúpido he importante y es que "Administrador" para Windows solo hay uno y es la cuenta Administrador de Modo seguro. El resto de "Administradores" para Windows son "Administradores Locales"
Y ha sido esta parte (puesta en la imagen) donde me he hecho el harakiri yo mismo (dado que yo para windows soy un administrador local).

Bien si no recuerdo mal la cuenta "Administrador" por defecto esta oculta en Windows 7 (hace tiempo que no accedo a modo seguro) pero juraría que no he cambiado dicha directiva (para hacer visible dicha cuenta).
¿Significa eso que incluso accediendo a modo seguro estaré jodido?


Por otro lado en el apartado "Tipo de Archivos Designados" (que se ve también en la imagen) he agregado también los archivos ".dll" lo cual implica que al ser yo un "Administrador Local" en el próximo reinicio no se si Windows podrá acceder a mi propia cuenta .


¿Puedo de alguna manera cambiar las directivas?

De momento todos los softwares que tenia abiertos siguen funcionando pero no se yo lo que puede pasar si reinicio.

Decir que el Ordenador tiene 3 cuentas visibles
La mía con derechos administrativos (soy administrador local)
Una limitada (Uso general familiar)
Una de Invitado donde solo se permite acceso al los USB y la impresora para Imprimir.

Edsito2: Windows Update me acaba de decir que no se a podido instalar una Actualización (tengo mis sospechas de por que puede ser... )

Saludos

@Perfect Ardamax

No hay tal cosa como admin local o de modo seguro, lo que pasa es que a partir de vista, realmente el sistema de seguridad es una basura, y han metido porqueria varias con uac, pero no vamos a eso


Boton derecho sobre una aplicacion, ejecutar como administrador, abre o no? deveria abrir


Si abre bien, abri una terminal como admin, y escribi, "net user Administrador /active:yes" con eso activaras la admin oculta, logeate, y restaura el desastre de los permisos de directiva

Puede que sea flash lo que te infecto el sistema.
http://es.gizmodo.com/la-enesima-vulner ... 1769820583

theelf escribió:No hay tal cosa como admin local o de modo seguro, lo que pasa es que a partir de vista, realmente el sistema de seguridad es una basura, y han metido porqueria varias con uac, pero no vamos a eso

Boton derecho sobre una aplicacion, ejecutar como administrador, abre o no? deveria

Si abre bien, abri una terminal como admin, y escribi, "net user Administrador /active:yes" con eso activaras la admin oculta, logeate, y restaura el desastre de los permisos de directiva

NO ni con esas jajajaja (esas dos cosas fueron lo primero que probé) (no lo de "como administrador" no lo de activar la cuenta administrados desde CMD) (En el CMD me decía que no existía tal cuenta (putada jajaja))

Pero no te preocupes que ya lo he solucionado.
Lo que he hecho a sido lo siguiente:

@JuananBow
1) Ejecutar
2) MMC (ni idea de como es que seguía funcionando)
3) Archivo
4) "C:\Windows\Sistem32\secpol.exe"
5) Se abren Las Directivas de seguridad locales (ALELUYA (Expresión de triunfo en mi cara)).
6) Cambiar todo a los valores anteriores Aplicar, Aceptar ....
7) Comprobar que puedo abrir los programas antes de cerrar Las Directivas de seguridad local (por si acaso)
8) Todo parece funcionar (Se ha instalado la actualización de Windows Update tambien)

Solo me quedan dos dudas
1) El nivel de seguridad predeterminado para los administradores era el Ilimitado ¿verdad? (creo que si y es el que le he puesto).
2) En la imagen de mi anterior post sigue estando marcada la opción de "Todos los Archivos" (he cambiado la segunda por la de "....Excepto los administradores locales" que supongo que sera suficiente)

Saludos

Me alegro

Ya tuve una lucha con estos sistemas de microsoft con anterioridad al pillar una tablet

http://www.elotrolado.net/hilo_windows-8-1-windows-resource-protection_2143629

Veo que ya lo has solucionado. De todas formas, la cuenta de Administrador se activa temporalmente en el momento que entramos al Modo Seguro. Si se necesita realizar alguna gestión administrativa y no se dispone de privilegios, entrar por el Modo Seguro es una solución.

Adicionalmente, si todo fallara y actuando ya en modo hacker, siempre se puede entrar en el sistema de instalación, montar el registro remotamente y editar las claves que te están molestando.

Lo que hay que hacer es cargarse el desproposito del sistema de seguridad "moderno" de windows, y tomar el control del PC manualmente, como siempre

No digo que windows vista+ mejorara increiblemente lo existente con XP de cara al novato, sin duda, XP era un desastre al traer admin por defecto, y cais ninguna buena herramienta para elevarse, pero joder... si uno ya esta puesto con el sistema, no se necesita que windows te cuide... al contrario

JuananBow escribió:...la cuenta de Administrador se activa temporalmente en el momento que entramos al Modo Seguro...

De esto no estaba seguro (hace tanto tiempo que no me veo necesitado de entrar que no podia asegurarlo (de hay que me pusiera nervioso cuando he visto que no podia habilitarla desde cmd)

JuananBow escribió:Adicionalmente, si todo fallara y actuando ya en modo hacker, siempre se puede entrar en el sistema de instalación, montar el registro remotamente y editar las claves que te están molestando.

Esto ultimo que comentas se que se podía hacer pero nunca lo he llevado acabo (nunca me he visto en la tesitura) a lo máximo que he llegado es a acceder a archivos que había en el hdd dese la instalación de windows.
Supongo que REG seria al comando a usar pero muy pocas veces lo he usado y desde luego no desde una instalación de windows (no se si variaría algo) ademas de que supongo que ¿tú ne te sabrás de memoria de que claves del registro estamos hablando verdad? (y para encontrar esas claves por san google puedes morirte).

En fin como digo no ha sido necesario nada de eso
Lo que me extraña es lo que he comentado ¿Por qué MMC desde "Ejecutar" funcionaba?
Y ante todo ¿Por qué desde MMC si he podido acceder a: C:\Windows\Sistem32\secpol.exe y sin embargo desde el propio acceso directo que esta en "Herramientas Administrativas" no podía abrirse si en ambos casos se esta llamando al mismo ejecutable?

PD: ¿Esta bien lo expuesto en las dos preguntas de mi respuesta anterior?

Saludos

secpol.exe? Estoy en XP, asi que no se si para vista+ si existe algun ejecutable, pero son extensiones de la consola de administracion, con extension msc... no exe

theelf escribió:secpol.exe? Estoy en XP, asi que no se si para vista+ si existe algun ejecutable, pero son extensiones de la consola de administracion, con extension msc... no exe

Perdón si si tienes razón tú (Pequeña ida de pinza (hoy estoy que me salgo ))
C:\Windows\system32\secpol.msc

Esta mañana cuando yo me iba a esa ruta e intentaba ejecutar secpol.msc me decía que tururu (me salia el mismo mensaje que desde Herramientas Administrativas)
Sin embargo cuando en ejecutar he abierto el MMC desde ahí si me ha dejado acceder y la cuestión es ¿por que desde MMC si?

Saludos

Por si alguno esta interesado me han hablado de HitmanPro.Kickstart. Yo no lo he probado al no estar afectado por ningún tipo de ransomware, pero tal vez a alguno le pueda ayudar

Perfect Ardamax escribió: Este tipo de malware ¿Pasa en serio desapercibido hasta que es demasiado tarde?

Sabía que tenía una foto de un mensaje que aparecía durante algunos días previos a la encriptación completa.

En su momento no le presté demasiada importancia y pensé que sería el fallo de algún programa (le hice la foto y busqué el texto tal cual en Google sin encontrar nada relacionado), pero atando cabos, quizá fuera el virus

Yo siempre voy a las directivas poniendo en ejecutar directamente "gpedit.msc"

no se si es la misma ventana, diría que si.

salu2

Están para los "más fáciles" pero parece que van actualizando los decrypters existentes para los ransomwares
https://decrypter.emsisoft.com/

Neo Cortex escribió:

Perfect Ardamax escribió: Este tipo de malware ¿Pasa en serio desapercibido hasta que es demasiado tarde?

Sabía que tenía una foto de un mensaje que aparecía durante algunos días previos a la encriptación completa.

En su momento no le presté demasiada importancia y pensé que sería el fallo de algún programa (le hice la foto y busqué el texto tal cual en Google sin encontrar nada relacionado), pero atando cabos, quizá fuera el virus

A mí con el Ransom32 no me apareció nada parecido, en ese sentido no avisa. El aviso es la pérdida de rendimiento del ordenador, pero claro, de primeras tampoco lo relacionas .