virus Rapid Ransomware ayuda urgente !!!!

Mala solución.

-Mira a ver si en los archivos cifrados sigues teniendo alguna versión antigua en la pestaña de Propiedades > "Versiones anteriores".
-Restaura el equipo a un punto anterior
-Intenta pasar algún programa de recuperación avanzada de datos (Recuva, GetDataBack, etc...) a ver si son capaces de recuperar algo pasado de entre algún resto que pudiera quedar en el disco duro.

Si nada da resultado, tendrás que dar los datos por perdidos o empezar a plantearte el pago del rescate (aunque esto último jamás se recomienda).

Mucho ánimo.

Restaura algun backup que tengas. Tienes algun backup, verdad?

Edito: Prueba con esto --> https://www.nomoreransom.org/es/index.html

Suerte!

no hay suerte !

Nos entró en una empresa hace 2 semanas. No hay solucion, mas que el formateo con tus copias de seguridad.

Nos encriptó dropbox, discos externos de copias, todo...

Nos salvó el otro disco de copias que no estaba pinchado, un desastre. Lo tenemos denunciado a la policia y pidimos ayuda al CERTSI. No hubo suerte.

haripoter escribió:Nos entró en una empresa hace 2 semanas. No hay solucion, mas que el formateo con tus copias de seguridad.

Nos encriptó dropbox, discos externos de copias, todo...

Nos salvó el otro disco de copias que no estaba pinchado, un desastre. Lo tenemos denunciado a la policia y pidimos ayuda al CERTSI. No hubo suerte.

¿Cómo os entro? [Para que otros usuarios lo puedan evitar].

Newton escribió:

haripoter escribió:Nos entró en una empresa hace 2 semanas. No hay solucion, mas que el formateo con tus copias de seguridad.

Nos encriptó dropbox, discos externos de copias, todo...

Nos salvó el otro disco de copias que no estaba pinchado, un desastre. Lo tenemos denunciado a la policia y pidimos ayuda al CERTSI. No hubo suerte.

¿Cómo os entro? [Para que otros usuarios lo puedan evitar].

Por increíble que parezca no lo sabemos. Tenemos Kaspersky de pago (versión Endpoint de empresa) y a priori no se abrió ningún correo sospechoso...
Kaspersky hace oidos sordos a que ninguna proteccion haya funcionado

haripoter escribió:Nos entró en una empresa hace 2 semanas. No hay solucion, mas que el formateo con tus copias de seguridad.

Nos encriptó dropbox, discos externos de copias, todo...

Nos salvó el otro disco de copias que no estaba pinchado, un desastre. Lo tenemos denunciado a la policia y pidimos ayuda al CERTSI. No hubo suerte.

Lo de dropbox lo podrás recuperar via web ya que existen las versiones anteriores de cada archivo, y en sino en eliminados.

una pregunta un tanto tonta, pero pregunta al final y al cabo.

Si se infecta un ordenador y tiene conectado un disco duro externo que esta apagado (de estos que van con su caja externa, pero la tienes desenchufada)... doy por hecho que no se contagia a ese disco duro externo, ya que no esta encendido, correcto?? O de alguna forma al estar apagado, se queda como en espera y en cuanto lo enciendas ya se contagia?? (que me extrañaria).

gracias!

ryuks escribió:una pregunta un tanto tonta, pero pregunta al final y al cabo.

Si se infecta un ordenador y tiene conectado un disco duro externo que esta apagado (de estos que van con su caja externa, pero la tienes desenchufada)... doy por hecho que no se contagia a ese disco duro externo, ya que no esta encendido, correcto?? O de alguna forma al estar apagado, se queda como en espera y en cuanto lo enciendas ya se contagia?? (que me extrañaria).

gracias!

Si no lo tienes conectado en principio no se va a infectar, ahora a la que lo conectes y si el ransomware sigue activo es bastante probable que te salte tambien.

luciferfran escribió:Lo de dropbox lo podrás recuperar via web ya que existen las versiones anteriores de cada archivo, y en sino en eliminados.

Venía a decir esto.

Dropbox, Google Drive, One Drive y seguro que otros servicios similares suelen guardar versiones anteriores de los archivos durante un tiempo. Por aquí puede haber algo de salvación todavía.

ryuks escribió:una pregunta un tanto tonta, pero pregunta al final y al cabo.

Si se infecta un ordenador y tiene conectado un disco duro externo que esta apagado (de estos que van con su caja externa, pero la tienes desenchufada)... doy por hecho que no se contagia a ese disco duro externo, ya que no esta encendido, correcto?? O de alguna forma al estar apagado, se queda como en espera y en cuanto lo enciendas ya se contagia?? (que me extrañaria).

gracias!

¿Si lo tienes apagado que sentido tiene tenerlo conectado?
Si es para usos ocasionales, mejor tenerlo desconectado; enchufarlo y encenderlo cuando realmente lo vas a utilizar.
Cómo comentan, si el bicho estuviera en el equipo, a nada que detecte una nueva unidad, es muy probable que vaya a por ella

Buenas,

Me paso un caso igual con otro virus que encriptaba.
Yo lo resolví, de la siguiente manera:
Si es un Windows 7 y tiene activado las versiones anteriores o restaurar sistema, hay un programa shadow explorer que recupera estas versiones anteriores o restauración del sistema por lo tanto puedes recuperar archivos, que es lo que yo hice.
Si no tienes Windows 7 y lo de las versiones anteriores pues te tocara investigar.
Esto no es una solución muy valida pero posiblemente por lo menos puedas recuperar datos, que de otra manera no tendrías.

Un saludo y suerte.

PD: lo hice desde otro pc y el hd que estaba infectado lo puse en un adaptador usb, desde el pc instale ese programa y luego restaure los ficheros que había en las versiones anteriores o restauración en otro lugar y así recupere información.

por mi experiencia, el ransomware hace un barrido al PC infectado, una vez terminado el barrido lo que conectes ya no se infecta. Si el HDD externo esta apagado no se infecta, me he enfrentado a 4 o 5 versiones de estos ransomwares.

Ya digo que el CERTSI ayuda y mucho, por correo todo.

A nosotros nos pasó con el RANSOMWARE ARENA...menuda jodida nos pasó....teníamos una copia de la información de un disco duro almacenado con una copia de hacía 7 o 8 meses.......y del programa de gestión, tuvimos suerte...que una carpeta de copia interna del programa tenía que pedir siempre permisos para entrar y no se cifró! Menuda suerte..!


Ahora utilizamos IPERIUS BACKUP, que nos permite hacer copia a GOOGLE DRIVE, DROPBOX (pero sin tener sincronizada la unidad como una unidad)...o sea....cuando tiene que hacer la copia, se conecta mediante usuario contraseña y sube la información.....no crea unidad de sincronización (no se si me explico). Utiliza un sistema "access token", para autenticar....y sube la copia.

Se puede seleccionar que si detecta que la información está cifrada por un ransomware no haga copia (aunque no sé si realmente ésta opción es efectiva).

Utilizamos una cuenta gratuita de GOOGLE DRIVE con 15 Gb, tenemos de sobras.....

Podéis utilizar por ejemplo 3 cuentas de google drive gratis, y alternar por si acaso. no? Para recuperar un cifrado es chungo.... cabe esperar..

haripoter escribió:por mi experiencia, el ransomware hace un barrido al PC infectado, una vez terminado el barrido lo que conectes ya no se infecta. Si el HDD externo esta apagado no se infecta, me he enfrentado a 4 o 5 versiones de estos ransomwares.

Ya digo que el CERTSI ayuda y mucho, por correo todo.

eso no es del todo correcto, en mi caso incluso habiendo terminado de encriptar todos loarchivos, el virus quedaba latente y encriptaba los nuevos archivo que se generaran.
la unica solucion ha sido formatear.

jordigahan escribió:

haripoter escribió:por mi experiencia, el ransomware hace un barrido al PC infectado, una vez terminado el barrido lo que conectes ya no se infecta. Si el HDD externo esta apagado no se infecta, me he enfrentado a 4 o 5 versiones de estos ransomwares.

Ya digo que el CERTSI ayuda y mucho, por correo todo.

eso no es del todo correcto, en mi caso incluso habiendo terminado de encriptar todos loarchivos, el virus quedaba latente y encriptaba los nuevos archivo que se generaran.
la unica solucion ha sido formatear.

Eso no lo sabia, a mi nunca me paso. En cualquier caso, aunque el virus pare, es obligatorio formatear practicamente.

lolololito escribió:Ahora utilizamos IPERIUS BACKUP, que nos permite hacer copia a GOOGLE DRIVE, DROPBOX (pero sin tener sincronizada la unidad como una unidad)...o sea....cuando tiene que hacer la copia, se conecta mediante usuario contraseña y sube la información.....no crea unidad de sincronización (no se si me explico). Utiliza un sistema "access token", para autenticar....y sube la copia.

Muy interesante... Para unas carpetas de trabajo que no ocupan mucho, esta función me vendría de perlas. ¿Sabes si funciona también en la versión gratuita de Iperius, o solo en la de pago?

Y en cuanto al ransomware, en mi trabajo también entró el año pasado. La única pista que dió fue que el equipo en el que entró se ralentizó cosa mala de golpe (estaría encriptando a saco) y tuvimos la precaución de quitar el cable de red. Nos salvamos de milagro, ya que afectó únicamente al disco del PC local. Nos dijeron (no sé si será verdad) que la variante del virus que nos tocó, va encriptando unidad por unidad comenzando por la del sistema y después se "desplaza" al resto de discos (locales, en red, sincronizados, etc.)

Yo, que siempre me paso de cauto, tengo 3 copias locales de mis archivos importantes y una más en la nube. Además, las fotos que no quiero perder pase lo que pase, las tengo en DVD (menudas palizas a grabar que me he metío) porque ahí si que no entra un virus (otra cosa será que dentro de 10 años no se lean....)...

pichuki escribió:

lolololito escribió:Ahora utilizamos IPERIUS BACKUP, que nos permite hacer copia a GOOGLE DRIVE, DROPBOX (pero sin tener sincronizada la unidad como una unidad)...o sea....cuando tiene que hacer la copia, se conecta mediante usuario contraseña y sube la información.....no crea unidad de sincronización (no se si me explico). Utiliza un sistema "access token", para autenticar....y sube la copia.

Muy interesante... Para unas carpetas de trabajo que no ocupan mucho, esta función me vendría de perlas. ¿Sabes si funciona también en la versión gratuita de Iperius, o solo en la de pago?

Y en cuanto al ransomware, en mi trabajo también entró el año pasado. La única pista que dió fue que el equipo en el que entró se ralentizó cosa mala de golpe (estaría encriptando a saco) y tuvimos la precaución de quitar el cable de red. Nos salvamos de milagro, ya que afectó únicamente al disco del PC local. Nos dijeron (no sé si será verdad) que la variante del virus que nos tocó, va encriptando unidad por unidad comenzando por la del sistema y después se "desplaza" al resto de discos (locales, en red, sincronizados, etc.)

Yo, que siempre me paso de cauto, tengo 3 copias locales de mis archivos importantes y una más en la nube. Además, las fotos que no quiero perder pase lo que pase, las tengo en DVD (menudas palizas a grabar que me he metío) porque ahí si que no entra un virus (otra cosa será que dentro de 10 años no se lean....)...

Buenos días, pues en la versión gratuita no permite subir online....creo que tenemos la de pago de 69€ (que tampoco es mucho).....Veo que para un ordenador de escritorio por 29€ tienes el soft...nosotros lo utilizamos en server y 69€..

https://www.iperiusbackup.com/backup-so ... ndows.aspx

lolololito escribió:

pichuki escribió:

lolololito escribió:Ahora utilizamos IPERIUS BACKUP, que nos permite hacer copia a GOOGLE DRIVE, DROPBOX (pero sin tener sincronizada la unidad como una unidad)...o sea....cuando tiene que hacer la copia, se conecta mediante usuario contraseña y sube la información.....no crea unidad de sincronización (no se si me explico). Utiliza un sistema "access token", para autenticar....y sube la copia.

Muy interesante... Para unas carpetas de trabajo que no ocupan mucho, esta función me vendría de perlas. ¿Sabes si funciona también en la versión gratuita de Iperius, o solo en la de pago?

Y en cuanto al ransomware, en mi trabajo también entró el año pasado. La única pista que dió fue que el equipo en el que entró se ralentizó cosa mala de golpe (estaría encriptando a saco) y tuvimos la precaución de quitar el cable de red. Nos salvamos de milagro, ya que afectó únicamente al disco del PC local. Nos dijeron (no sé si será verdad) que la variante del virus que nos tocó, va encriptando unidad por unidad comenzando por la del sistema y después se "desplaza" al resto de discos (locales, en red, sincronizados, etc.)

Yo, que siempre me paso de cauto, tengo 3 copias locales de mis archivos importantes y una más en la nube. Además, las fotos que no quiero perder pase lo que pase, las tengo en DVD (menudas palizas a grabar que me he metío) porque ahí si que no entra un virus (otra cosa será que dentro de 10 años no se lean....)...

Buenos días, pues en la versión gratuita no permite subir online....creo que tenemos la de pago de 69€ (que tampoco es mucho).....Veo que para un ordenador de escritorio por 29€ tienes el soft...nosotros lo utilizamos en server y 69€..

https://www.iperiusbackup.com/backup-so ... ndows.aspx

Muchas gracias por esta info, me va a venir que ni pintado para la oficina

@lolololito Muchas gracias...

karl_kox escribió:

lolololito escribió:

pichuki escribió:
Muy interesante... Para unas carpetas de trabajo que no ocupan mucho, esta función me vendría de perlas. ¿Sabes si funciona también en la versión gratuita de Iperius, o solo en la de pago?

Y en cuanto al ransomware, en mi trabajo también entró el año pasado. La única pista que dió fue que el equipo en el que entró se ralentizó cosa mala de golpe (estaría encriptando a saco) y tuvimos la precaución de quitar el cable de red. Nos salvamos de milagro, ya que afectó únicamente al disco del PC local. Nos dijeron (no sé si será verdad) que la variante del virus que nos tocó, va encriptando unidad por unidad comenzando por la del sistema y después se "desplaza" al resto de discos (locales, en red, sincronizados, etc.)

Yo, que siempre me paso de cauto, tengo 3 copias locales de mis archivos importantes y una más en la nube. Además, las fotos que no quiero perder pase lo que pase, las tengo en DVD (menudas palizas a grabar que me he metío) porque ahí si que no entra un virus (otra cosa será que dentro de 10 años no se lean....)...

Buenos días, pues en la versión gratuita no permite subir online....creo que tenemos la de pago de 69€ (que tampoco es mucho).....Veo que para un ordenador de escritorio por 29€ tienes el soft...nosotros lo utilizamos en server y 69€..

https://www.iperiusbackup.com/backup-so ... ndows.aspx

Muchas gracias por esta info, me va a venir que ni pintado para la oficina

pichuki escribió:@lolololito Muchas gracias...

de nada.....para eso nos tenemos aquí...para ayudarnos y guiarnos no?.....

Buenas.

¿Pudiste recuperar algún archivo importante? O simplemente formateaste todo y lo diste todo por perdido.

por el momento no he podido recuperar nada, como tengo varios discos duros, he formateado el del sistema y el de los archivos personales lo guardare un temporada haber si hay suerte.

Este tipo de virus, los Ransomware ¿afectan también a carpetas compartidas que estén ubicadas en otro equipo de la misma red SMB?
Gracias

Por norma general, suelen atacar a todo dato expuesto: Unidades USB conectadas, particiones montadas y comparticiones de Windows (SMB) incluidas.

JuananBow escribió:Por norma general, suelen atacar a todo dato expuesto: Unidades USB conectadas, particiones montadas y comparticiones de Windows (SMB) incluidas.

Joder... Pues a ver como me organizo para dejar inaccesible un disco duro.
Igual puedo conectar un disco externo USB directamente al NAS y que solamente el NAS pueda acceder a él desde su propio sistema operativo, y que mi PC windows haga las copias de seguridad periodicas a través del NAS ¿no?
Es un Sinology.

Gracias.

Puedes tener 2 usuarios para acceder al NAS. Uno con acceso de sólo lectura y otro con acceso de escritura. Si quieres acceder leer los datos, que sea en modo de sólo lectura; y sólo cuando estés realizando la copia de seguridad, se monta la unidad con acceso de escritura.

JuananBow escribió:Puedes tener 2 usuarios para acceder al NAS. Uno con acceso de sólo lectura y otro con acceso de escritura. Si quieres acceder leer los datos, que sea en modo de sólo lectura; y sólo cuando estés realizando la copia de seguridad, se monta la unidad con acceso de escritura.

Eso es PERFECTO.
GRACIAS

Por curiosidad, ¿cuanto tarda un filecoder en encriptar todos los archivos de una unidad?
Leer he leído bastante sobre el tema, pero obviamente no sé como sería un ataque real.

pues calcula... en unas 2 horas me encripto unos 3TB

jordigahan escribió:por el momento no he podido recuperar nada, como tengo varios discos duros, he formateado el del sistema y el de los archivos personales lo guardare un temporada haber si hay suerte.

¿Me puedes enviar un archivo para ver si puedo hacer algo? Una foto, un pdf. Vamos que no sea muy pesado. Envíamelo comprimido en un archivo zip.

aqui te dejo una foto.

jordigahan escribió:aqui te dejo una foto.

Se lo he pasado a la empresa que me suele recuperar discos duros y archivos con ransomware. Ya te comento algo

Algo de información sobre cómo actúa Rapid Ransomware aunque parece que hay distintas versiones.

ID - Ransomware: para subir una muestra del fichero encriptado y poder identificar de qué ransomware se trata.

En mi empresa hemos lidiado con decenas de casos y no hay solución alguna. Sólo tirar de backups o si no te queda otra, pagar el rescate. Como dato, la mayoría de los casos de infección son por culpa del usuario, que recibe un correo de Seur, Correos, Hacienda... con una notificación urgente y un enlace. Podéis imaginaros el resto.
Las variantes que yo he visto encryptan todos los HDD locales, las unidades externas y las unidades de red conectadas.

jordigahan escribió:aqui te dejo una foto.

Me han comentado que todavía no hay nada porque es una nueva variante de Rasonware.

Hay que esperar a ver si sale algo.

lastima, toca esperar...

solo coimentar que no me ha llegado ningun correo raro.

jordigahan escribió:lastima, toca esperar...

solo coimentar que no me ha llegado ningun correo raro.

Si tienes escritorio remoto activo (y además IP estática) , sin ningún tipo de VPN también te puede pasar.....

Pero esto solo a afecta a empresas y por ejemplo un usuario que se le está haciendo un seguimiento de documentos que puedan ser sensibles al secuestro o ¿cómo?

O es todo al azar, no lo entiendo, llevo montón de años sin usar antivirus y cero problemas.

joseee24 escribió:Pero esto solo a afecta a empresas y por ejemplo un usuario que se le está haciendo un seguimiento de documentos que puedan ser sensibles al secuestro o ¿cómo?

O es todo al azar, no lo entiendo, llevo montón de años sin usar antivirus y cero problemas.

Da igual el tipo de documentos que tengas.

Esto afecta a todos y los antivurs no detectan este tipo de amenazas.

alex120 escribió:

joseee24 escribió:Pero esto solo a afecta a empresas y por ejemplo un usuario que se le está haciendo un seguimiento de documentos que puedan ser sensibles al secuestro o ¿cómo?

O es todo al azar, no lo entiendo, llevo montón de años sin usar antivirus y cero problemas.

Da igual el tipo de documentos que tengas.

Esto afecta a todos y los antivurs no detectan este tipo de amenazas.

OK grax me queda claro.

Había pensado que si queréis utilizar el IPERIUS para hacer copias locales por ejemplo,..tiene 2 opciones para que antes de la copia realice una tarea y después de la copia otra....

No se si un ransomware afecta a una unidad que no esté montada....pero se podria utilizar el comando MOUNTVOL para montarla, y cuando acabara la copia desmontar con el mismo comando...(El gran @JuananBow al que siempre agradezco...me aconsejó también hacer un SCRIPT con DISKPART)

Alguien sabe si afecta un RANSOMWARE a una unidad no montada? Así. antes de iniciar la copia, la unidad quedaría montada, haría la copia a USB, y al finalizar desmontaría la unidad....

en mi caso las copias de seguridad se alojaban en un servidor Linux. El tema para evitar estos problemas, precisamente fue que fuera el Linux quien se conectara al Windows y descargara los ficheros con rsync cada X horas al dia (ya que si un fichero no ha cambiado... no se copiaba, asi que iba rapido). No nos llego a entrar, pero si hubiera entrado, el Linux se hubiera descargado una copia de los archivos .crypted pero con luego desde linux hacer un rm -rf *.crypted solventado, luego format al pc que ha provocado la infeccion y restauracion de ficheros.

Joder no se como se os meten este tipo de cosas xD.

A mi el único virus que me ha entrado fue el saser o el blaster hace ya una pila de años, pero de momento ni el famoso virus de la policía ni ningún rasonware .

Seifer10 escribió:Joder no se como se os meten este tipo de cosas xD.

A mi el único virus que me ha entrado fue el saser o el blaster hace ya una pila de años, pero de momento ni el famoso virus de la policía ni ningún rasonware .

Bueno... pues... ¿enhorabuena?

Me ha infectado el mismo virus el domingo, me ha encriptado mi media center y los 2 discos externos que tenia conectados por usb

Seguramente entro por el escritorio remoto, ya que en ese ordenador no tengo correos, ni siquiera lo utilizo para descargar o navegar; pero tengo abierto un puerto (no el estandar) para conectarme por remoto.

El virus creo que ya lo he eliminado, he istalado el SypHunter, Bitdefender y Malwarebytes

Estoy viendo si puedo recuperar algo porque que se ve que de momento es imposible desencriptarlos pero con herramientas de recuperación igual y se puede salvar versiones del fichero...

Saludos!

Recomiendo que uséis bitdefender ya que todo lo que haga cambios en una carpeta lo bloquea hasta que le deis permisos...

belenjer escribió:Me ha infectado el mismo virus el domingo, me ha encriptado mi media center y los 2 discos externos que tenia conectados por usb

Seguramente entro por el escritorio remoto, ya que en ese ordenador no tengo correos, ni siquiera lo utilizo para descargar o navegar; pero tengo abierto un puerto (no el estandar) para conectarme por remoto.

El virus creo que ya lo he eliminado, he istalado el SypHunter, Bitdefender y Malwarebytes

Estoy viendo si puedo recuperar algo porque que se ve que de momento es imposible desencriptarlos pero con herramientas de recuperación igual y se puede salvar versiones del fichero...

Saludos!

SpyHunter es un software fraudulento. Mal empiezas instalando programas de ese tipo.

En cuanto al ransomware, dependiendo de la versión y de la extensión que tengan, hay casos en los que se puede recuperar los datos (un mínimo de ellos) y otros en los que hay que esperar a una solución.

Normalmente, los programas de recuperación de archivos no suelen ser capaces de recuperar nada. A unas malas podrías probar en modo fuerza bruta con Ontrack Easy Recovery o con Easeus Data Recovery, y a ver si suena la flauta, aunque tardará cientos de horas. Por supuesto, estos programas hay que instalarlos en una partición o disco duro diferente al afectado y guardar los archivos recuperados en ese otro disco duro partición. Esto es así, por si hubiese alguna copia de algunos de esos archivos eliminados en algún sector del disco duro.

Las copias de seguridad son fundamentales hacerlas periódicamente, pero parece que solamente aprendemos a base de palos.

Brutico escribió:Recomiendo que uséis bitdefender ya que todo lo que haga cambios en una carpeta lo bloquea hasta que le deis permisos...

Windows 10 ya trae incorporada directivas de seguridad contra ransomwares. Si no se utiliza Windows 10, ese tipo de programas aunque pueden ser efectivos, hay casos es los que no sirven de nada. De hecho, el mejor programa anti-ransomware existente (ahora de pago en sus últimas versiones) llamado CryptoPrevent, indica en la faq de su web que la mejor prevención es una copia de seguridad.

Flanders escribió:Las copias de seguridad son fundamentales hacerlas periódicamente, pero parece que solamente aprendemos a base de palos.

Y en un HDD separado del PC principal ya que de nada sirve tener un HDD especifico para copias de seguridad si este HDD en el momento de la infección esta conectado.
Ya que incluso dependiendo del caso...ni quitando la letra de la unidad logras nada.
Tuve un cliente que tenia un HDD interno para copias de seguridad y lo que hacia era quitarle la letra a la unidad desde windows y volverla a poner cada vez que iba ha hacer una copia de seguridad.
Pues bien si bien es cierto que esto suele "bastar" en la mayoría de casos....no se que Ransomware se le metió que le encripto hasta la partición sin letra asignada

Saludos