Virus CTB-Locker Ayuda!

Publicado en 'Seguridad Informática' por dereckalex19, 5 Feb 2015.





  1. dereckalex19

    dereckalex19 Miembro nuevo

    Registro:
    17 Dic 2008
    Mensajes:
    8
    Likes:
    2




    Buenos días,

    El día de ayer llegó un correo con un archivo adjunto y al abrirlo se ejecutó un virus que decía que mis documentos habían sido encriptados y que tengo que pagar $ 750 aprox para que pueda recuperarlos.

    Imagen del virus: (disculpen, no puedo agregar imágenes y espacié los links)
    www. dropbox. com/s/p6nl8ih1e9bn3gw/IMG-20150204-WA0000.jpg?dl=0

    El virus se pudo eliminar, pero mis archivos no se pueden abrir porque el virus añadió una extensión a los archivos. Al borrar la extensión y querer abrirlos el excel los abre con caracteres extraños.

    Imagen del extension del archivo:
    www. dropbox. com/s/4udh4ceo0mi9935/Captura.PNG?dl=0

    Imagen del Excel:
    www. dropbox. com/s/ad5jnnwiktly4z6/Captura3.PNG?dl=0


    No tengo backups, y mi información es muy importante, por favor alguien me puede ayudar.
     


  2. Marlop

    Marlop Miembro de bronce

    Registro:
    23 Jul 2007
    Mensajes:
    2,082
    Likes:
    280
    porque abres emails de desconocidos ? o spam

    pasale malwarebytes asntimalware
     
  3. mickeas

    mickeas Miembro de plata

    Registro:
    4 Ene 2013
    Mensajes:
    3,242
    Likes:
    850
    [​IMG]
     
    A Kurowaru, AlexBucefalo, elanty y 1 otra persona les gustó este mensaje.
  4. fredyac

    fredyac Miembro de plata

    Registro:
    4 May 2010
    Mensajes:
    3,736
    Likes:
    781
    Ya fuiste, si realmente deseas recuperar la informacion no te queda otra que pagar y para evitar futuros problemas similares date una leida a esta pagina.
     
  5. elanty

    elanty Miembro de bronce

    Registro:
    22 Mar 2012
    Mensajes:
    1,157
    Likes:
    236
    q noob, por ver porno mira lo q pasa, como vas a descargar cosas q no sabes su procedencia, seguro era un icono de zip con extension .exe, existe un programa de nombre ShadowExplorer-0.9 que pueda ayudarte buscalo en google o en taringa
     
    A Digitekperu le gustó este mensaje.
  6. jreyes1985

    jreyes1985 Miembro diamante

    Registro:
    9 Ago 2013
    Mensajes:
    13,017
    Likes:
    2,146
    Recupera tus datos en modo seguro si no puedes allí entonces saca tu hdd y recuperarlo como externo, vuelve a formatear tu pc, he visto muchos casos como el tuyo y todos fueron por porno
     
  7. gnox

    gnox Miembro maestro

    Registro:
    3 Ene 2013
    Mensajes:
    793
    Likes:
    252
  8. dereckalex19

    dereckalex19 Miembro nuevo

    Registro:
    17 Dic 2008
    Mensajes:
    8
    Likes:
    2
    La verdad fue un usuario del área de contabilidad, le llegó un correo con un archivo adjunto .zip que decía contabilidad @ solutions.com.pe, lo abrió y se ejecutó.

    Ya le pasé el malwarebytes y lo eliminó pero ya dejó encriptados todos los archivos excel, libros txt de la sunat, word.

    Tiene un endpoint bitdefender que no detectó la amenaza y el firewall no está filtrando los correos que llegan al servidor, y están lloviendo spam.

    Lo de shadow explorer es para ver instantáneas o "versiones anteriores" que genera el mismo Windows si es que está activado.

    gnox recien veo esa noticia en el Comercio, estas semanas estuve tan ocupado trabajando y ni tiempo de ver noticias.

    pdta.
    Que fea troleada que me dieron.
     
    A Digitekperu le gustó este mensaje.
  9. xlegionariox

    xlegionariox Miembro de oro

    Registro:
    25 Feb 2012
    Mensajes:
    7,598
    Likes:
    1,020
    Uhmm y si restauras a una fecha anterior al virus?
     
  10. dereckalex19

    dereckalex19 Miembro nuevo

    Registro:
    17 Dic 2008
    Mensajes:
    8
    Likes:
    2
    El único punto de restauración es de una hora después de la infección.
     
  11. AngelErick

    AngelErick Miembro de plata

    Registro:
    13 Ago 2012
    Mensajes:
    2,612
    Likes:
    555
    Ala fuck que pagen y ps llorar no mas xq las nuevas mutaciones del cryptolocker todavia no hay alguna solucion
     
  12. OSUM2010

    OSUM2010 Miembro de bronce

    Registro:
    31 Ago 2010
    Mensajes:
    1,769
    Likes:
    215
    Ya fue la data echale tierra normas, para la próxima , has un backup periódicos de cada PC de la empresa.
     
    A Digitekperu le gustó este mensaje.
  13. PSaitox

    PSaitox Miembro maestro

    Registro:
    26 Ene 2015
    Mensajes:
    629
    Likes:
    108
    Al final como te fue?
     
  14. dereckalex19

    dereckalex19 Miembro nuevo

    Registro:
    17 Dic 2008
    Mensajes:
    8
    Likes:
    2
    Sigo buscando métodos para desencriptar los archivos y nada aún. No quiero dar por perdida la info.
     
    A Digitekperu le gustó este mensaje.
  15. imeireparo

    imeireparo Miembro de bronce

    Registro:
    8 Ene 2015
    Mensajes:
    2,008
    Likes:
    168
    lo mejor es que lo formatees seguramente el virus aun debe estar dentro de registro de Windows escondido ala espera que se active si conoces la persona que te envió el correo infectado ponte en contacto con el par que no saiga infectando a otros pc
    da gracias que no te haya invadido tus cuentas de correo que suele pasar estos espam troyanos se a dueñan de tus correos cambiándote la contraseña y us

    usar para infectar alos de tu agenda

    has intentado recupera tus archivos como si los hubieras borrdao por herror
    recuba te puede ayudar bajatelo de piriform
    -https://www.piriform.com/recuva
     
    A Digitekperu le gustó este mensaje.
  16. aLexei.net

    aLexei.net Miembro frecuente

    Registro:
    11 Jun 2009
    Mensajes:
    88
    Likes:
    16
    Se trata de un rasonwaring, secuestro de dispositivo.
    No existe forma de recuperar la data perdida, ya que el nivel de criptologia para cifrar esta data es unica.
    Para explicarte un poco, es como poner una llave con candado a tus directorios el cual solo el propietario del candado puede abrila.
    La aplicacion de ingeneria inversa, puede dar un resultado, ya que se tendria que analizar la logica del cifrado, pero esto puede tomar desde dias hasta meses, el costo por hacer este analisis es alto no solo en recursos tecnicos.

    Da tu informacion por perdida.
    revisa este post:
    http://articulos.softonic.com/como-defender-tus-archivos-contra-cryptolocker-y-cryptowall
    publica unas una fotos del correo porfavor.

    Aca hay una solucion, que solo te garantiza en 10 % de la data, a través de shadow explorer


    Rogaria que incluyas por mp: el link asociado
     
  17. dereckalex19

    dereckalex19 Miembro nuevo

    Registro:
    17 Dic 2008
    Mensajes:
    8
    Likes:
    2
    Gracias por la info. Me parece que ese virus usa al criptografía asimétrica.

    Al final la data se perdió completamente, al final se reinstaló el SO en el equipo.

    Tengo las imágenes del mensaje en mi dropbox, pero aún no puedo postear Links.
     
  18. ricardoegz

    ricardoegz Miembro de plata

    Registro:
    30 Dic 2012
    Mensajes:
    3,151
    Likes:
    582
    Y tu antivirus no lo neutralizó??........
     
  19. aLexei.net

    aLexei.net Miembro frecuente

    Registro:
    11 Jun 2009
    Mensajes:
    88
    Likes:
    16
    Es asimétrico, usa RSA y AES (cifrado de data).
    A pesar de ser estándares conocidos la robustez criptologica juega en contra.

    A mis clientes si les logre recuperar el 80% de data con shadown explorer, pero depende mucho del tiempo de respuesta.
    El nivel de ofuscación es alto, y encima usa covert channel para comunicación, https, en virus total para el cryptowall 3.0(lo ultimo en ransomware virus) de 55, 40 antivirus ya reconocen su firma.
     
    A Digitekperu le gustó este mensaje.
  20. OSUM2010

    OSUM2010 Miembro de bronce

    Registro:
    31 Ago 2010
    Mensajes:
    1,769
    Likes:
    215
    Ese tipo de malware se propaga a través e del internet cuando haces click en enlaces o habres un email. Para la próxima ponte un buen antivirus ,un buen firewall. Y se cautoleso con el uso del internet.

    Salu2
     
    A Digitekperu le gustó este mensaje.