Search Results

Eliminar Virus de la Policia (Ransonware) y descrinptar todos los ficheros “locked-” del equipo aunque no tengas el fichero original desencriptado, funciona 100%

Este famoso virus que esta azotando toda la geografia española es, posiblemente, el peor virus ante el que me he enfrenado en todos los años que llevo dedicandome a este mundo de la informatica.

Si quereis saber mas sobre la cronologia, lo que hace y como lo hace, podeis visitar el fantastico blog de infospyware en donde se detalla la evolucion de este virus, alli tambien encontrareis la guia original para eliminar el virus, tanto si podeis entrar en modo seguro F8 para ejecutar el Polifix 2.0.3 como sino, haciendo uso de un Live CD de Avira o Kaspersky para realizar la desinfeccion.

Ahora voy a deciros como hago yo para dejar el equipo en perfecto estado tras una infeccion de este calibre y sin poder entrar en modo seguro F8 y teniendo miles de archivos encriptados con el famoso prefijo locked-nombrearchivo.extensionaleotoria que tantos quebraderos de cabeza estan dando.

Sigue esta guia paso a paso, necesitaras descargas varios ficheros por lo que es recomendable que imprimas esto y te organices antes de ir al equipo infectado o de conectarlo. Necesitas una memoria USB limpia para guardar los ficheros que te voy diciendo:

1.- Descargar Kaspersky Rescue Disk 10, es una imagen *.ISO, la descargais y la grabais en un CD/DVD
2.- Descargar Polifix 2.0.3, es el programa creado por Infospyware para desinfectar el equipo una vez podamos accder al escritorio, guardarlo en un lapiz usb
3.- Descargar RannohDecryptor.exe de la web oficial de Kaspersky, es el programa que te desencriptara los ficheros locked- de tu equipo, guardalo en un lapiz usb
4.- Descarga este fichero y descomprimelo, es una imagen de muestra localizada en C:\Documents and Settings\tuusuario\Mis imagenes\Imagenes de muestra\invierno.jpg, este sera el fichero original desencriptado que usara el RannohDecrytor.exe para desencryptar TODOS los ficheros del equipo infectado comparandolo con el encriptado. Descargalo, descomprimelo y guardalo en tu lapiz USB como invierno.jpg

Ya tienes todo el material necesario, ahora continua leyendo:

1.- Mete el CD/DVD de Kaspersky Rescue Disk 10 en el equipo infectado y arrancalo, tienes que seleccionar la unidad CD/DVD para esto, sino sabes como, busca por internet como hacer esto segun la marca y tipo de tu BIOS.


2.- Una vez arrancado el CD, pulsa una tecla para entrar en el menu, selecciona el modo grafico, se cargara un escritorio de Linux con varios iconos, no toques nada aun, deja que cargue completamente y saltara el programa de escaneo automaticamente. Una vez lo tengas en pantalla, es recomendable que actualices la base de datos, yo lo hago siempre.


3.- Despues de actualizar la base de datos, dale para que inicie el escaneo, tarda entre 15 y 30 minutos en realizar las operaciones, limpiar, desinfectar, etc. Si te pregunta que quieres hacer con las infecciones detectadas o los archivos infectados, dale SIEMPRE a eliminar, son los ficheros de Java que te jodieron. Elimina todo lo que diga.

4.- Una vez que acabe, reinicia el equipo y saca el cd, deja que el sistema cargue con normalidad, deberia de entrar en el escritorio de forma normal.
5.- Ahora mete el lapiz USB en el cual tienes todas las aplicaciones que descargaste anteriormente.
6.- Vamos a ejecutar el programa Polifix 2.0.3 para eliminar todo rastro del virus, para ello, abre una ventana de comandos Inicio-> Ejecutar -> CMD y pulsa Intro
7.- Dirigite a tu lapiz USB tecleando la letra correspondiente, en mi caso F: Intro
8.- Escribe polifix.exe y aparecera la siguiente ventana:


Deja que actue, cuando acabe se reiniciara solo y tu equipo quedara limpio de todo rastro del virus.

– DESBLOQUEO DE FICHEROS locked –

Ahora llega la parte interesante del tema, desbloquear todos los ficheros encriptados que tenemos en el equipo. Para ello, haremos lo siguiente:

1.- Ejecuta el programa rannohdecryptor.exe que has descargado anteriormente.

2.- Pincha en Change parameters y selecciona la opcion de Detele Crypted files after decryption, lo que nos borrara los ficheros encriptados despues del desbloqueo para evitar tener un monton de ficheros duplicados e inservibles.

3.- Pulsa en “Start scan”, nos aparecera una ventana indicando que tenemos que indicarle al programa donde esta un fichero original que NO ESTE ENCRIPTADO y seguidamente el mismo fichero pero ENCRIPTADO por el virus.

ATENCION: Si al pulsar en “Start scan” no os pide la localizacion de los ficheros, no continueis ejecutanto el rannohdecryptor.exe. Eridea nos informa de que esto le ha causado graves perdidas de informacion. Al ejecutar el programa, os tiene que pedir los ficheros, tanto el original como el bloqueado, sino no funcionara correctamente y podeis destruir la informacion del equipo.


Pulsamos en continuar y buscamos el fichero invierno.jpg que habiamos descargado a nuestro lapiz USB, al darle a aceptar, automaticamente nos pedira la ruta de ese mismo fichero pero encriptado, esta ubicado en C:\Documents and settings\tuusuario\Mis Documentos\Mis imagenes\imagenes de muestra\locked-invierno.jpg.extensionaleatorioa, al seleccionarlo iniciaremos el desbloqueo de todos los ficheros de nuestro equipo, el tiempo que tarde dependera de la cantidad de informacion y ficheros encriptados que tengamos, el resultado deberia ser algo como esto:

Despues de esto, tu equipo esta limpio de virus y con los ficheros desbloqueados. Ya puedes respirar tranquilo.

– NOTAS IMPORTANTES –

.- La imagen invierno.jpg es una imagen de muestra que viene por defecto en todas las instalaciones de Windows XP, por lo que sino la has borrado, deberia de estar bloqueada y localizada en la ruta original. Deberia de servir cualquier fichero de Windows XP que puedas conseguir y que tengas bloqueado en tu equipo para poder realizar la comparacion, bien una imagen de muestra, un fichero de audio de windows, cualquier cosa. Lo mismo para Windows 7. Invierno.jpg es solo un ejemplo de como hacerlo.

.- Mucha gente usa el Avira Rescue CD, yo en los dos casos que lo use NO ME FUNCIONO, por eso esta guia esta basada en el Kaspersky Rescue Disk 10 que si se que funciona.

.- Despues de seguir estos pasos y tener tu equipo limpio, es recomdable hacer una pasada con el Dr.Web Cure It y CCleaner, para eliminar posibles “amigos”. Tambien es recomendable instalar la ultima version de Java 7 disponible ya que por culpa de una vulnerabilidad de Java 6  tu equipo ha sido infectado por este virus.

.- La ultima recomendacion que os hago, es que tengais un sistema de backup mas o menos regular, por si alguna vez no se pueden recuperar los ficheros por este u otro virus que un futuro nos entren, que no sera la primera ni la ultima vez. Por favor, hacer copias de la documentacion importante de vuestros equipos.

.- Dudas, preguntas, insultos y donativos, a los comentarios de este post y os ayudare en todo lo que este en mi mano.

Ataque masivo de ransomware que afecta a un elevado número de organizaciones españolas

ACTUALIZACION 18:00: El ataque se ha propagado y ya afecta a hospitales britanicos, Movistar, BBVA y Vodafone.

https://www.elotrolado.net/noticia_el-ataque-con-ransomware-a-telefonica-se-extiende-y-alcanza-a-los-hospitales-britanicos_31985

Boletin de notificacion del CCN-CERT a fecha 12.05.2017, importante.

El RANSONWARE ya es un viejo conocido, podeis ver un par de entradas en relacion al tema sino sabeis de lo que se esta hablando.

Ataque masivo de ransomware que afecta a un elevado número de organizaciones españolas

Publicado el:
12/05/2017

Se ha alertado de un ataque masivo de ransomware a varias organizaciones que afecta a sistemas Windows cifrando todos sus archivos y los de las unidades de red a las que estén conectadas, e infectando al resto de sistemas Windows que haya en esa misma red.

El ransomware, una versión de WannaCry, infecta la máquina cifrando todos sus archivos y, utilizando una vulnerabilidad de ejecución de comandos remota a través de SMB, se distribuye al resto de máquinas Windows que haya en esa misma red.

Los sistemas afectados son:
Microsoft Windows Vista SP2
Windows Server 2008 SP2 and R2 SP1
Windows 7
Windows 8.1
Windows RT 8.1
Windows Server 2012 and R2
Windows 10
Windows Server 2016

Microsoft publicó la vulnerabilidad el día 14 de marzo en su boletín y hace unos días se hizo pública una prueba de concepto que parece que ha sido el desencadenante de la campaña.

Se recomienda actualizar los sistemas a su última versión o parchear según informa el fabricante:

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

Para los sistemas sin soporte o parche, como Windows 7, se recomienda aislar de la red o apagar según sea el caso.

El CCN-CERT actualizará esta información en una segunda Alerta.

Atentamente,

Equipo CCN-CERT

//////////////////////////////////////////////////////////////////////////////////////////

Esta es una lista de notificaciones del CCN-CERT.

Por favor, no responda a este correo. Si necesita más información, póngase en contacto con nosotros a través del correo:

info@ccn-cert.cni.es

Síganos en:

www.ccn-cert.cni.es

how to repair.txt, ficheros cifrados con RSA y extension .done, imposibles de descrifrar

Me llega el siguiente email solicitando ayuda sobre un tema ya tratado en el blog:

Buenos días,

He visto tu blog en el que ofreces una solución para ficheros infectados con virus de la policía ransonware con locked y me ha parecido muy interesante.
Tengo recuperar unos ficheros infectados (pfd, doc, jpg, xls) encriptados y con la extensión .done, como el adjunto.
Me ha llegado también el adjunto “how to repair” en el que el hacker ofrece sus servicios.
Espero puedas decirme si la solución que ofreces en tu blog es valida para este caso o si tienes alguna otra.

Gracias.

Un cordial saludo.

El compañero se refiere a esta entrada en donde se indica como desencriptar los ficheros con -locked

 

El txt adjunto contiene el siguiente texto:

 

If you reading this,it means your`s important files(photos,videos, documents,archives,bases, backups, etc.) are locked with military cifer.
Nobody can help you restore  files without our decoder.
If you want recover files,
send e-mail to the repairmyfile@tormail.org WITH “how to repair.txt” and 1-2 encrypted files less than 1MB . After checking you will receive the decrypted files and our conditions how you’ll get the decoder . Follow the instructions to transfer payment.

====================
1C20864DF3054BD59ADB52DE831873CEF3177C59C83E5CDB97962F5FA178E88A
953715B24C388916C42D7975C40A45B4AE78FA685EAFE1D201F9A6DF9F0A3331
B0A1352CC555D3DD06FC4B99E980507E7396040A1AA864486BB8DCB6B0F3CDB6
3FB11886D24FED7B88D1F530275123259A4BAEDFC23B0C3A49E4B33E32C80A1E
15757E7F749030D83800F0E058C85050D830D8D8906010387028C0201838F838
====================

 

Bueno, interesante, el fichero adjunto.xls.done, que me envian en el correo, se puede eliminar la extension .done, y te queda un .xls a medias de cifrar, veamos que sacamos en claro.

Empiezo la busqueda por Google, en principio es una variante del famoso RANSONWARE (virus de la policia), que nos deja algunos ficheros, no todos, encriptados con la extension .done al final, en cada carpeta donde exista un fichero .done, tenemos el how to repair.txt, tambien ha aparecido en escritorio, con las instrucciones para desencriptar los ficheros.

Lo primero que me encuentro son malas noticias, en forospyware me encuentro con la siguiente nota de los administradores sobre el tema a fecha 22.02.2013 ->

Originalmente publicado por ElPiedra

Hola a todos,
Es muy importante que consideren que el pago del rescate no garantiza que obtendrá nada a cambio, nadie le dará la seguridad de que una vez pagado, los archivos se descifran, aunque son varios los que reportaron que pagaron para obtener nuevamente sus archivos con éxito.
Lamentablemente todas las muestras que analizamos de este Ransom.DONE, se encripta los archivos con RSA, un algoritmo prácticamente imposible de crakear…
Debido a la forma en que los archivos están cifrados, la decodificación de los archivos sin contar con la clave de descifrado no es posible, la clave de descifrado se almacena en un servidor remoto, no en el equipo infectado.
En otras palabras, a diferencia de otras variantes similares como el Ransom.Block la cual si se pueden desencriptar los archivos si se cuenta con los archivos clave…
En este caso al ser con RSA y tener la clave en un servidor remoto de los ciberdelincuentes, es imposible recuperar los archivos .done
La recomendación como siempre es la prevención y tal vez dentro de lo más importante de esta es realizar copias de seguridad (backups) de forma periódica y en unidades externas para que no se vean afectadas en caso de una infección y de donde se pueda volver a disponer de toda la data nuevamente.

Parece que el asunto no es ninguna broma, y si leemos por foros especializados sobre el tema, vemos que hay gente que ha pagado la cantidad indicada para que se le enviara la herramienta para desencriptar los ficheros.

Hasta el momento, no existe herramienta, ni software, ni metodo para recuperar archivos encriptados con la extension *.done.