¡Ayuda, por favor! Ransomware en mi laptop Toshiba Qosmio X75-A7180

Publicado en 'Seguridad Informática' por jerson2018, 10 Ago 2018.





  1. jerson2018

    jerson2018 Miembro frecuente

    Registro:
    14 Jun 2012
    Mensajes:
    79
    Likes:
    6
    Temas:
    17




    Prologo:

    Por favor lean esto. Sé que es muy largo pero vale la pena leerlo. Estoy viviendo la experiencia real de ser atacado por un Ransomware de m***da. Les daré todas las descripciones posibles y mi análisis sobre mi laptop Toshiba Qosmio X75-A7180 infectada con la extensión Ransomware que es “.KEYPASS”. Lo que busco actualmente es salvar mi información. Estoy escribiendo en otra laptop y a la vez estoy observando detalladamente como el Ransomware ataca a mi maquina con ventanas emergentes.

    Hola necesito urgente su ayuda. Se me ha metido un Ransomware encriptado que ha terminado casi encriptando muchos archivos importantes y que a la vez es uno de los peores Ransomware en la que te pide que pagues 300 dólares para desencriptarlos. He intentado descargar el MalwareBytes Anti-Malware gratis e inmediatamente se me cierra el Google Chrome cuando ingreso a la página para descargarlo. He descargado el SpyHunter y me lo dejo descargar, pero que pasa que me di cuenta de que es un falso anti-virus y lo desinstale inmediato. Mi Micro-SD Kingston también se infectó pero por suerte no tenía nada, así que lo formatee y se erradico el Ransomware todo normal aunque parezca increíble, y en ese Micro-SD Kingston lo puse el MalwareBytes Anti-Malware, claro después de que lo descargue en otra laptop sana y lo pongo en mi laptop infectada y no me deja el Ransomware instalar el MalwareBytes Anti-Malware. Cada vez que pasa los minutos se abren ventanas emergentes de todo tipo. Es recontra molestoso como no se pueden imaginar. Nunca en mi vida me enfrentado a un Ransomware muy poderoso que ni siquiera me permite instalar el MalwareBytes Anti-Malware en mi Micro-SD Kingston, he podido hacer pedazos a Malwares simples e intermedios pero este Ransomware es casi imposible. Ayúdenme por favor, que puedo hacer para poder instalar el MalwareBytes Anti-Malware, necesito recuperar mis archivos de imágenes que por lo general son los que tienen la extensión Ransomware que es “.KEYPASS”.

    ¿Tengo otra pregunta? De poder eliminarlos el Ransomware si es que puedo instalar el MalwareBytes Anti-Malware, mis archivos regresan a la normalidad o seguirán encriptados de por vida.
    El formato del Ransomware es "KEYPASS".

    Ejemplo:
    Foto1.jpg.KEYPASS
    Foto2.gif.KEYPASS

    Por lo general todos los formatos de imágenes como ".jpg" y ".gif" entre otros formatos de imágenes están con esta basura de formato ".KEYPASS" y por lo tanto no me deja visualizarlo, además si le quito el formato también no me deja verlos porque están encriptados. Necesito encontrar alguna forma de desencriptarlo de manera inmediata.

    Mis archivos mp3 y mp4 no abren el VLC Media Player solo puedo abrirlo con Reproductor Windows Media y con Windows Media Center pero no están dañados quizás algunos pero les quito el "KEYPASS" y funciona bien.

    En todas las carpetas sean de donde sean aparecen estos dos "bloc de notas" que dice esto. Por favor presten mucha atención:

    Idioma original:

    "KEYPASS_DECRYPTION_INFO!!!"

    Attention!
    All your files, documents, photos, databases and other important files are encrypted and have the extension: .KEYPASS
    The only method of recovering files is to purchase an decrypt software and unique private key.
    After purchase you will start decrypt software, enter your unique private key and it will decrypt all your data.
    Only we can give you this key and only we can recover your files.
    You need to contact us by e-mail keypass@bitmessage.ch send us your personal ID and wait for further instructions. For you to be sure, that we can decrypt your files, you can send us a 1-3 any not very big encrypted files and we will send you back it in a original form FREE.
    Price for decryption $300.
    This price avaliable if you contact us first 72 hours.

    Email address to contact us:
    keypass@bitmessage.ch

    Reserve e-mail address to contact us:
    keypass@india.com

    Your personal id:
    jHselosKjOPdq2zynpeaaTsFIQHpzjbEwkodu2dF

    En español.

    “¡¡¡Información de desencriptación de KEYPASS!!!”

    ¡Atención!
    Todos sus archivos, documentos, fotos, bases de datos y otros archivos importantes están encriptados y tienen la extensión: .KEYPASS
    El único método para recuperar archivos es adquirir un software de desencriptación y una clave privada única.
    Después de la compra usted comenzará a desencriptar software, introducirá su clave privada única y desencriptará todos sus datos.
    Sólo nosotros podemos darle esta clave y sólo nosotros podemos recuperar sus archivos.
    Usted necesita ponerse en contacto con nosotros por correo electrónico keypass@bitmessage.ch envíenos su identificación personal y espere más instrucciones. Para que usted esté seguro, que podemos desencriptar sus archivos, usted puede enviarnos un 1-3 cualquier archivo encriptado no muy grande y le enviaremos de nuevo en un formulario original GRATIS.
    Precio para descifrar $300.
    Este precio está disponible si usted entra en contacto con nosotros en las primeras 72 horas.

    Dirección de correo electrónico para contactar con nosotros:
    keypass@bitmessage.ch

    Reserve su dirección de correo electrónico para contactar con nosotros:
    keypass@india.com

    Su identificación personal:
    jHselosKjOPdq2zynpeaaTsFIQHpzjbEwkodu2dF

    Mi respuesta: Lo pagara su rep*tis*ma madr*, hij*s de p*rr*, cree que me puede chantajear. Claro, sería muy tonto si le diera mi correo a ese miserable cybercriminal, sería para que me haga de nuevo otro chantaje o infecte de malware mi correo electrónico. Por eso es que pido ayuda a “PeruHardware” la única página en donde se puede consultar con colegas informáticos para todo tipo de problemas.

    Ahora los archivos que son imágenes no se visualizar para nada y cada minuto que pasa se abre constantemente ventanas emergentes.
    Todos los accesos directos del escritorio no abren, eso significa que las aplicaciones con “.exe” no abren, es decir, casi ningún programa se puede usar porque están encriptadas.

    Existe alguna manera de poder erradicar estar porquería de Ransomware que tiene la extensión .KEYPASS y que están en la mayoría de formatos de imágenes.

    Estaría bien que use USB de mayor capacidad para recuperar algunos archivos .txt que no ha sido infectados entre otros archivos que se pueden abrir, por ejemplo mis archivos de Microsoft Office que son de Word, Excel, Power Point y archivos de Adobe como el de Premiere y el de Photoshop no están infectados, el único problema es que sus aplicaciones no abren, porque el Microsoft office esta arruinado y el de los programas de Adobe como por ejemplo el de Adobe Acrobat no abre porque dice:

    Problema con el acceso directo.
    Se cambió o se movió el elemento "Acrobat.exe" al que hace referencia este acceso directo, por lo que el acceso directo no funcionará correctamente.
    ¿Desea eliminar el acceso directo?

    Los archivos que son mp4 que tiene "mp4.keypass" les quito el “.keypass” y regresa a la normalidad, aunque no funciona el VLC media player lo puedo usar mediante el Reproductor Windows Media. Además dicen que existe software para desencriptar archivos encriptados por el Ransomware, pero lo que he investigado es que hay varios Ransomware. Y este Ransomware usa la extensión ".KEYPASS" en los archivos por lo general que son formatos de imágenes. Necesito encontrar un software para erradicar la extensión KEYPASS y poder recuperar mis archivos de formatos de imágenes que tienen la extensión ".KEYPASS"

    Con respecto a los archivos de los programas de Adobe de todos los formatos no tiene el KEYPASS, salvo el de Ilustrator que no uso mucho o casi nada, lo que significa que puedo salvar los archivos que más uso que son de la Adobe Premiere que su formato es ".prproj" y el Photoshop que su formato es ".psd" y Acrobat que su formato es ".pdf". Estos tres formatos ".prproj", ".psd", "pdf" no están encriptados con la extensión ".KEYPASS".

    Les pregunto, estos archivos que no tienen la extensión ".KEYPASS" los puedo dar copia de seguridad en mi USB externo para poder llevarlos a la nube de MEGA donde por suerte le hice un backup, la última vez fue el 8 de marzo del 2018 donde por suerte he subido mi información más importante. Ahora de la misma manera puedo decir que:

    - Los archivos mp3 y mp4 si funcionan, y si es que tienen un KEYPASS los puedo quitar ese formato manualmente para puedan reproducirse con el Reproductor Windows Media.
    - Los archivos de Microsoft Office del 2016 funcionan tanto Word y Excel porque no están encriptados, solo que la aplicación para usarlos no sirve para nada. Cuando le doy en aceptar a cada archivo me dice.
    "Este archivo no tiene ningún programa asociado para realizar esta acción. Instale el programa que corresponda o, si ya lo tiene instalado, cree una asociación en el panel de control de Programa predeterminados."
    - Los archivos de formato del Adobe Illustrator tiene el KEYPASS y no aparece su formato original.
    - Los archivos con formato ".rar" no tiene KEYPASS, pero no pueden abrirse porque su aplicación para abrir "winrar" no sirve.
    - Los archivos con formato ".exe" si funcionan. Pero qué casualidad que MalwareBytes Anti-Malware no funciona, el único que no me quiere ejecutar en la laptop. Es lógico que si se pudiera ejecutar funcionaria totalmente y eliminaría enormemente este Ransomware.
    - Los archivos con formato ".torrent" si funcionan porque carecen de KEYPASS (el Ransomware) y el programa torrent funciona.
    - Los archivos ".txt" si funcionan y los puedo abrir con el bloc de notas, para mi es lo más importante porque yo escribo en ese programa.

    Hay algo curioso en una carpeta llamada "Biblioteca" donde se almacena la carpeta "Documentos", "Imágenes", "Música", "Vídeos" no fueron encriptados con la extensión ".KEYPASS", justo ahí está mi información importante donde hay diferentes tipos de archivos como ".jpg", ".gif", ".mp3", ".mp4", ".prproj", ".psd", "pdf", ".txt", ".rar", ".zip", ".torrent", entre otros que si funcionan y no tienen el KEYPASS. Al parecer no ha sido infecto. Ustedes que me recomienda que haga una copia de seguridad en mi USB, es decir, lo traslado a mi USB que está limpio de RANSOMWARE o creen que pueden contener archivos infectados aunque las imágenes con formato ".jpg" y ".gif" se pueden visualizar. Que me recomiendan.

    No estaría dispuesto hacer un formateo completo a la laptop porque sería aniquilar todo mi trabajo. Voy intentar de recuperar todos mis archivos que no hay sido infectados por la extensión ".KEYPASS" y los pasare a mi USB para llevarlos a la nube de Mega en otra laptop. Pues hace 5 meses que no le hago un backup a mis datos. Bueno eso es todo. Tratare de recuperar todos los archivos que pueda pero tengo otras preguntas.

    ¿En mi laptop que tiene Ransomware puedo entrar a Google Chrome y entro a la nube de Mega con el fin de subir un archivo no infectado a Mega, díganme puedo hacerlo o infectara mis archivos que están en la nube?
    ¿Existe alguna posibilidad o conocen algún software capaz de poder desencriptar formatos de imágenes como ".jpg", ".gif", ".png", entre otros formatos que han sido encriptados con la extensión de Ransomware que es ".KEYPASS"?

    Bueno eso es todo. Sé que después de salvar mis archivos, parece ser que ya podría hacer un formateo general a mi laptop Toshiba Qosmio X75-A7180 siempre y cuando pueda salvar casi al 100% mis archivos que es lo más importante. Porque ahora mi laptop Toshiba Qosmio X75-A7180 es completamente inútil como para lanzarlo a la basura, porque sé que además las aplicaciones instaladas en el escritorio los puedo recuperar más adelante. Espero sus respuestas y por favor nada de insultos, porque reconozco mi responsabilidad y sé que cometí el error de descargar un archivo crack de dudosa reputación para un programa de pc que en realidad era un Ransomware y que es la primera vez que me sucede. Y disculpen si mi mensaje es muy largo pero tenía que decirlo completo. Además cuando use el SpyHunter 5, me señalo una cantidad enorme de cientos de malwares.
     


  2. jerson2018

    jerson2018 Miembro frecuente

    Registro:
    14 Jun 2012
    Mensajes:
    79
    Likes:
    6
    Temas:
    17
    Abajo pondré la continuación de la información de todo lo que he escrito arriba y actualizare la información. De acuerdo.

    Después de que termine de escribir esto se me ha abierto cientos de ventanas emergentes en Google Chrome, he tenido que inmediatamente desactivar el internet, no vaya ser que más malwares entren a mi pc y lo hagan polvo a mis archivos. Voy a seguir actualizando si es que puedo recuperarlo por mí mismo. Pero necesito toda la ayuda posible de todos los de PeruHardware a que me brinden sus conocimientos. Espero que mi información que escrito les sirva de ayuda para que otros no caigan en el mismo error que cometí de descargar un falso crack que tenía la esta extensión Ransomware que es “.KEYPASS”.

    Actualización n°1

    Por lo que he investigado al parecer Emisoft, Kaspersky y ChecMal se dedican a prevenir el Ransomware.
    ¿¡Es verdad que si lo conecto a internet se sigue comiendo el Ransomware a mis archivos de mi laptop. O simplemente es un ataque que encripta algo mis archivos y nada más!?
    Ya hice backup a mis archivos más importantes de mi Disco Duro C, ahora voy por los archivos del Disco Duro E: Que son en total 648 GB de las cuales la extensión Ransomware que es “.KEYPASS” a infectado solo a 34.1 GB, mientras que en los archivos del total de 562GB solo han sido llenado de puros ".txt", es decir, puro bloc de notas que dice: "KEYPASS_DECRYPTION_INFO!!!" pero no tiene ningún archivo la extensión Ransomware que es “.KEYPASS”. Es decir, puedo ver los formatos de imágenes jpg, gif, mp3, mp4, formatos de microsoft office, formatos de adobe, es decir, que a infección se detuvo, o simplemente la infección de la extensión Ransomware que es “.KEYPASS” ya se ha detenido o posiblemente lo desconecte a la internet o simple ya no pudo seguir infectando porque quizás tuvo un límite. Bueno estos archivos que no han sido infectados con la extensión Ransomware que es “.KEYPASS” los voy hacer backup. Tengo otra consulta.
    ¿Existe algún desencriptador de la extensión Ransomware que es “.KEYPASS”?
    Porque he visto en internet que hay desencriptador para varios tipos de Ransomware y me gustaría saber si existe alguno para la extensión Ransomware que es “.KEYPASS”. Es que en verdad necesito desencriptar muchos archivos importantes que estan encriptados por ese cyberdelincuente. Eso es todo, muchas gracias.
     
  3. Joshua Tree

    Joshua Tree Miembro diamante

    Registro:
    5 Jun 2014
    Mensajes:
    14,067
    Likes:
    2,091
    Temas:
    23
    Entre más siga utilizando el sistema operativo y abriendo archivos perspnales más se infectará.
    Descargue un Windows Live, levante (BOOT) desde DVD o USB y extraiga toda su información que no haya sido infectada hacia un Disco Duro Portable.
    Para recuperar la información infectada (encriptada) tiene que averiguar si existe alguna utilidad para eliminar y limpiar el registro de Windows.
    Existe ya otra variante del ransomware que infectó su OS. Actualmente no tiene cura.

    Seguro que el forero no leyó las normas del foro.
     
  4. khikhear

    khikhear Miembro diamante

    Registro:
    16 Ene 2010
    Mensajes:
    16,584
    Likes:
    2,039
    Temas:
    22
    Llévalo a un técnico especializado
     
  5. xavi116

    xavi116 Miembro de plata

    Registro:
    4 Mar 2010
    Mensajes:
    4,716
    Likes:
    1,055
    Temas:
    273
    Saben cual es el mejor antiviru para prevenir eso??
     
  6. daricardo

    daricardo Miembro de plata

    Registro:
    17 Set 2011
    Mensajes:
    4,467
    Likes:
    1,255
    Temas:
    86
    llevalo a un profesional acá pierdes el tiempo las soluciones a nivel usuario no son las mas viables, de tener solucion el sw q arregle ese problema no es gratis ni crackeable
     
  7. SoportePc

    SoportePc Miembro diamante

    Registro:
    28 Abr 2011
    Mensajes:
    11,171
    Likes:
    1,636
    Temas:
    133
    Bootea un pendrive o cd live con linux o windows y desde ahi respalda tus datos a un disco externo, sin conexion a internet obviamente.
    Luego asegurate que los datos respaldados esten completamente bien en otra PC ( pasale antivirus, abre dichos archivos con su respectivo software ahi).
    Luego le das una instalacion limpia al disco duro de la laptop infectada, instalas los programas k usabas y listo.
    Ya que la mayoria de tus datos personales no estan infectados es la solucion mas optima para tu caso.
     
  8. daricardo

    daricardo Miembro de plata

    Registro:
    17 Set 2011
    Mensajes:
    4,467
    Likes:
    1,255
    Temas:
    86
    con todo y antivirus entra parece algo creado por la mismas empresas de seguridad informática para forzarte a comprar las versiones full de sus antivirus a veces le toca a personas x y fatal su antivirus versión free o el de pago q solo lo defiende de la gripe no lo detecta... si mineros entran a tu pc y el antivirus feliz de la vida ni lo detecta el del post va a tener q pagar al hackeador para q le de el password del ransomware y liberar sus archivos y dejar de ver porno ruso
     
  9. PIZZA24

    PIZZA24 Miembro de plata

    Registro:
    31 Jul 2015
    Mensajes:
    2,726
    Likes:
    321
    Temas:
    40
    Y cómo te infectaste? visitas páginas dudosas o ves mucho nopor? o por alguna descarga?
     
  10. Epikurolibre

    Epikurolibre Miembro de plata

    Registro:
    3 Oct 2010
    Mensajes:
    4,868
    Likes:
    1,802
    Temas:
    160
    Seguro que entro a la diip wiib, a ver su horse porn, echale tierra no mas a tu info, ya perdiste, y si es que existe solución, no sera barata.
    Puedes intentar, usar alguna opcion contra ramsonware de kapersky.
     
    A xavi116 le gustó este mensaje.
  11. SoportePc

    SoportePc Miembro diamante

    Registro:
    28 Abr 2011
    Mensajes:
    11,171
    Likes:
    1,636
    Temas:
    133
    No entendiste lo que es el uso de un crack?
    Fue doblemente escrito
     
  12. Alone

    Alone Miembro de plata

    Registro:
    22 Set 2016
    Mensajes:
    2,634
    Likes:
    390
    Temas:
    8
    Con mi Eset SMART security ...no me preocupo del Ransomware...eso solo para los que visitan paginas de dudosa reputacion.
     
  13. Epikurolibre

    Epikurolibre Miembro de plata

    Registro:
    3 Oct 2010
    Mensajes:
    4,868
    Likes:
    1,802
    Temas:
    160
    Motivo pa comprar una cuenta premium en drive.
     
  14. MaycolFG

    MaycolFG Miembro de plata

    Registro:
    28 Dic 2011
    Mensajes:
    3,028
    Likes:
    610
    Temas:
    118
    Caballero sigue los pasos de @SoportePc , mas bien (sin dar muchos detalles), como fue que te infectaste? Que antivirus tenias? Era version legal? Esto como referencia para los demás.

    jajaja fuera de bromas, hay antivirus que se bajan legalmente pero se mantiene funcionando y actualizándose con claves bajadas por ahi, osea el antivirus es legal y incluso actualiza modulos, bases de datos y todo, y aun asi no te protegeria?
     
  15. Joshua Tree

    Joshua Tree Miembro diamante

    Registro:
    5 Jun 2014
    Mensajes:
    14,067
    Likes:
    2,091
    Temas:
    23
    Existen varios Anti Ransomware y Decrypters para algunos ransomware: AQUÍ.
     
  16. Morrocoyo

    Morrocoyo Miembro maestro

    Registro:
    6 Set 2012
    Mensajes:
    583
    Likes:
    111
    Temas:
    37
  17. Samueljs

    Samueljs Miembro de bronce

    Registro:
    5 Jul 2017
    Mensajes:
    1,105
    Likes:
    135
    Temas:
    108
    saca el disco..y pasalpasale antivirus en otra pc
     
  18. kasuyin

    kasuyin Miembro de plata

    Registro:
    10 Jun 2011
    Mensajes:
    2,502
    Likes:
    436
    Temas:
    121
    Todo lo que hace un hombre por salvar nopor (L)
    :D
     
  19. billytalent

    billytalent Miembro diamante

    Registro:
    27 Ago 2015
    Mensajes:
    19,427
    Likes:
    3,015
    Temas:
    17
    Rescata la data que no está encriptada. Todo lo demás queda ilegible. :cafe:
     
  20. nosena

    nosena Miembro maestro

    Registro:
    6 Mar 2017
    Mensajes:
    381
    Likes:
    39
    Temas:
    6
    puedes pasar el link del crack que bajaste o la pagina donde lo encontraste , buenos antivirus son el kaspersky o el avira , en karspersky ay un truco para que dure mas de su prueba gratis es eliminar todo rastro del antivirus ,
    sobre recuperar tus datos no se puede , pero ayudaras si dices que pagina fue para no cometer ese error ,