.Encrypted

X

xino #1 Abr '15

Buenos días sabios de MV.

Comento un poquito la situación en la cual tengo los 3 pc's del curro, que ayer mi jefa abrió un correo electrónico supuestamente de "Correos" creyendo que era un certificado y tachan ! se colo el troyano xD

En fin estoy intentando buscar una solución pero no logro que el antivirus localice la amenaza y lo limpie.
Estoy con el malwarebytes, si alguien tiene algo en lo que orientarme o ayudarme se lo agradecería.

Si cambio a un archivo supuestamente encryptado el formato que tiene el nombre, es decir si el nombre del archivo es "archivo.pdf.encrypted" le borro el .encrypted vuelve a su formato original y puedo volver abrirlo, pero hacer eso con toda la documentación que tengo es una salvajada.... XD a ver si alguien puede ayudarme con la situación.

Tengo copias de seguridad pero no quiero volver a una copia anterior asta que sepa con certeza que esta limpio el pc, no ?

Gracias de antebrazo ;D

Pintado #2 Abr '15

#1 http://www.forospyware.com/t265611.html

itonny #3 Abr '15 Inocente

#1 Siento decirte que en nuestra empresa nos ha pasado lo mismo por culpa de un lerdo xD y bueno, no hay solución posible a no ser que tengas copias de seguridad o versiones anteriores del archivo encriptado, también puedes pagar a los rusos que te infectaron para que te pasen un ejecutable para desencriptar los archivos (es veridico xD).

http://www.shadowexplorer.com/downloads.html con esto puedes explorar las versiones anteriores de tus documentos encriptados (si las hay xd).

Es una putada lo del cryptlocker y eso enseñara a tu jefa a ir con mas ojo a la hora de recibir correos. Espero que tengáis una copia de seguridad

1

garlor #4 Abr '15

si lo unico que quieres hacer es cambiar el nombre de todos los archivos quitando el .encrypted hay decenas de programas por internet, tanto gratuitos como de pago que hacen eso, preguntale al señor google por renombrar grupos de archivos o algo similar

de todas formas con un excel en 5 minutos se puede preparar un .bat que lo haga

2 respuestas

itonny #5 Abr '15 Inocente

#4 xDDDDD Hombre cualquier script le quita el encrypted de la extension pero ninguno y pongo la mano en el fuego te lo desencripta.

3 1 respuesta

term1 #6 Abr '15

Se transmite vía red?

1 respuesta

Nucklear #7 Abr '15 BugHunter

#4 xD Pero tio...

#1 Lo primero sería saber que tipo de ransomware te ha infectado, existen muchos tipos y algunos utilizan un tipo de cifrado debil que es posible descifrar.

El correo que recibisteis, si tiene algun archivo puedes subirlo a http://www.virustotal.com y cuando lo tengas si puedes pon un screenshot por aqui para que pueda guiarte.

1 respuesta

itonny #8 Abr '15 Inocente

#7 Es un crypt0locker, en mi oficina fueron infectados hace poco xD. Recibio una chica de administracion un correo de "correos" con un archivo adjunto .exe y lo ejecuto.

#6 Se transmite via red, pilla todo lo que este compartido

2 respuestas

Nucklear #9 Abr '15 BugHunter

#8 Cryptolocker es uno de los muchos ransomware que hay por ahí. Para poder descifrar los archivos es necesario saber cual es y analizar que tipo de cifrado tiene.

Que cifre los archivos compartidos no significa que se transmita por red, es que tu PC tiene permisos de escritura sobre esos archivos.

1 1 respuesta

itonny #10 Abr '15 Inocente

#9 Perdona, compartido, unidades virtuales y todos los ordenadores bajo el mismo dominio.

Y bueno aqui teneis todo tipo de informacion: http://www.forospyware.com/t498493-2.html#post2430892

Y por otra parte en su dia me puse en contacto con FireEye que junto a otras empresas montaron un metodo para desencriptar estos archivos y se dedican a todo lo relacionado con seguridad informatica, su herramienta no me funciono con esta nueva variedad y lo comunique, esta fue la respuesta:

"Good afternoon Andoni,

I’m very sad to read that, these are really nasty threats. The sad fact is these threats use military grade encryption. Without a backup or the encryption key there's virtually no way to recover the data. We had some success when we built the site https://www.decryptcryptolocker.com/ because we have been able to capture some data that helped us to decrypt the files. The threat has now evolved unfortunately. We might be able to capture other decryption keys on the new samples you have been hit by but there is no guarantee for that.

We would have helped though if you had some FireEye products on your network and emails and we would have caught it prior to the infection and the encryption. But in terms of recovery, there is not much we can do right now and I feel really sorry for that.

I'm at your disposal for any further information.

Regards,
Valérian Rossigneux"
https://www.fireeye.com/

De momento nadie ha conseguido desencriptarlo y la gran mayoria de empresas que han sido infectadas y no contaban con backups han pasado por caja para que el creador del ransomware le desencripte sus archivos a traves de un .exe que pasan una vez pagada la cantidad y obviamente solo sirve para la traza concreta que ha infectado la red por lo tanto ese programa no sirve para desencriptar a otras personas con el mismo ransomware. Si no recuerdo mal eran unos 300€ los 5 primeros dias y si tardas mas te subian el precio a 600-800€.

Nucklear #11 Abr '15 BugHunter

Vale, ¿y que de lo que yo he dicho no concuerda con lo que tu dices?

1 respuesta

itonny #12 Abr '15 Inocente

#11 Nada xD tenia pensado aclararte lo de la red y me he ido por las ramas y me he flipado a poner info xD. Por lo menos el que lea esto no perdera el tiempo como yo hice en su momento intentando buscarle solucion a algo en lo cual no tengo capacidad para hacerlo.

1 respuesta

Nucklear #13 Abr '15 BugHunter

#12 El tema es que hay muchos tipos de ransomware, hay variantes cuyo cifrado ya se ha roto como el virus de la policía y otras variantes como las últimas versiones de cryptolocker que utilizan un cifrado mas fuerte por eso le digo a #1 que se asegure de la versión del virus que es.

Las claves de cifrado pueden ser extraídas de memoria durante el proceso de cifrado por lo que es muy importante que conserve el archivo que ha causado la infección. Si es necesario se puede poner en contacto con algún especialista para que lo despliegue en un sandbox y lo analice. En mi caso no soy especialista en análisis de malware y menos de ransomware pero podría indicar a algunos españoles que saben del tema.

garlor #14 Abr '15

#5 mi respuesta parte de la asuncion del OP expresada en

le borro el .encrypted vuelve a su formato original y puedo volver abrirlo, pero hacer eso con toda la documentación que tengo es una salvajada

X

xino #15 Abr '15

Buenos días chicos

Perdonar que no entrara ayer para manteneros informados, pero salí del despacho a las 9 y pico de la noche intentando solucionar lo que ocurría.

Al final quitamos el virus y volvimos con una copia de seguridad todos los archivos encryptados que teníamos, lo bueno es que no llego a encryptar todo los archivos que teníamos, pero los que no estaban en red o en la copia de seguridad los perdimos... de momento los tengo guardados por si sale algún desencrypted o algo como ocurrio el año pasado que subías a una web un archivo y después te mandaban por mail el ejecutable xD

Lo bueno es que con la copia de seguridad que tenemos en un disco externo podemos recuperar todo lo que encrypto que es lo que verdaderamente importa.

PD: quitando la extensión .encrypte volvía a su formato original pero no podia volver abrirlo, lerdo de mi que pensaba que si XD

Gracias chicos !

2 respuestas

Nucklear #16 Abr '15 BugHunter

#15 Eso de subir documentación interna de una empresa a una web no lo veo yo claro eh xD

1 respuesta

X

xino #17 Abr '15

#16 no si no esta subido, es un disco duro externo y cuando me refiero en red, es los propios ordenadores que comparten carpetas. No tenemos nada subido en ninguna web xD

De todas formas tenemos todos los archivos en fisico, pero escanear y volver a meterlo todo es una putada con todas las letras XD

1 respuesta

Nucklear #18 Abr '15 BugHunter

#17 Me refería a esto:

"de momento los tengo guardados por si sale algún desencrypted o algo como ocurrio el año pasado que subías a una web un archivo y después te mandaban por mail el ejecutable xD"

1 respuesta

X

xino #19 Abr '15

#18 ah pero eso solo necesitas subirle un archivo que este infectado a la web para que reconozca como esta encryptado, te dicen en la misma web que subas un archivo que no comprometa nada, que no tenga información vamos... xD

term1 #21 Abr '15

#8 En mi caso llegó un portátil infectado y sin antivirus, el tiempo que lo conecté a la red fue hasta que salio el escritorio de Windows y vi la sorpresa, poco tardé en sacarlo....

De todos modos en la empresa está Symantec y ya lo tiene en su lista, espero que no sea una variante recién sacada.

PD: Tenía entendido que los ransomware no infectaban por red.

2 respuestas

itonny #22 Abr '15 Inocente

#21 El de correos es bastante nuevo pero desconozco si ya hay alguno que lo detecte bien. Yo tuve que pasar un antivirus exclusivo de ransomware ya que malwarebytes no lo veía ni avast en su momento. Fue con eset si no recuerdo mal recuerdo http://www.eset.com/int/about/press/articles/malware/article/new-cryptolocker-type-ransomware-strikes-in-europe-and-latin-america/ concretamente este es el link http://malwarefixes.com/eset-rogue-application-remover-erar-free-scanner-download/

1

garlor #23 Abr '15

#21 no infectan por red, encriptan

1 respuesta