03 diciembre 2014

A lo largo de la tarde no he parado de recibir peticiones de ayudas desde varias organizaciones y empresas debido a una masiva infección mediante 'CryptoLocker'.

La fisonomía del ataque se aleja de los típicos correos mal escritos y que son detectables a simple vista. Por contra, la campaña está empleando e-mails que simulan provenir de Correos y hablan sobre un paquete que no ha podido ser entregado.

El dominio que están empleando (al menos en algunos de esos e-mails) es correos24.net 

Como se puede ver en el whois:

 Domain Name: CORREOS24.NET
   Registrar: REGISTRAR OF DOMAIN NAMES REG.RU LLC
   Whois Server: whois.reg.ru
   Referral URL: http://www.reg.ru
   Name Server: NS1.REG.RU
   Name Server: NS2.REG.RU
   Status: clientTransferProhibited
   Updated Date: 03-dec-2014
   Creation Date: 03-dec-2014
   Expiration Date: 03-dec-2015

Es un domino que se ha creado hoy 3 de Diciembre.

Otro de los puntos que convierte esta amenaza en algo muy serio es el hecho de que, tras los correos hay una campaña OSINT previa para dirigir el ataque de forma selectiva a personas a quienes les llegan los correos a su nombre y apellidos

Esto ayuda a dar credibilidad a dichos e-mails y en muchos casos la gente está descargando el Ransomware.

Los correos lucen tal que así




Como se aprecia, van PERSONALIZADOS con nombres y apellidos de las personas a las que pertenecen los correos.

Desde aquí instamos a bloquear el dominio correos24.net y recomendamos instalar Anti Ransom para prevenir infecciones.

Si se hace click en el enlace que propone el correo, llegamos a una URL tal que así:

http://correos24.net/login.php?id=76264463456

Y, si se cumple la máxima de que la IP sea Española (he probado con variantes de varios países) llegamos a una URL tal que así:

http://correos-online.org/5a99b6186605843b7fdbc19400439af4

Y luce de esta forma:


En caso de que la IP sea de otro país, nos lleva a Google.

Y al rellenar dicho captcha, se descarga al equipo un fichero ZIP que contiene el troyano.

El dominio correos-online.org se ha registrado igualmente el 2 de Diciembre:

Domain Name:CORREOS-ONLINE.ORG
Domain ID: D174700842-LROR
Creation Date: 2014-12-02T13:28:53Z
Updated Date: 2014-12-02T13:28:54Z
Registry Expiry Date: 2015-12-02T13:28:53Z
Sponsoring Registrar:null (R2011-LROR)
Sponsoring Registrar IANA ID: 1564


UPDATE: Actualmente, muy pocos motores antivirus detectan la variante de CryptoLocker. Reporte VT aquí


UPDATE II: David Reguera de buguroo me ha facilitado unas URLs con las muestras analizadas en malwr.com



UPDATE III: Tal y como decía Marc Rivero, el cifrado se puede revertir empleando la herramienta 'TorrentUnlocker' que se puede descargar aquí   pero para poder realizar el descifrado es necesario disponer al menos de un fichero sin cifrar y el mismo fichero cifrado.

UPDATE IV: Según puede leerse en los comentarios, la herramienta antes mencionada, realiza bien el primer paso (deducir la clave entre fichero cifrado / descifrado) pero parece que NO es capaz luego de descifrar el resto de ficheros. De hecho, si se le pide descifrar y que elimine los .encrypted, el resultado puede ser catastrófico (se borran los .encrypted y los originales NO están descifrados), perdiendo la posibilidad de descifrar

UPDATE V: He colgado una muestra del malware aquí  

UPDATE VI: Mucha gente, ante la desesperación y urgencia por volver a la normalidad, está planteándose pagar el rescate pero tiene dudas sobre Bitcoin. Mi consejo es evitar en la medida de lo posible sitios como localbitcoins.com debido a que la tasa de conversión es MUY MALA. Donde más fácil y mejor tasa se encuentra, es en el cajero de Bitcoins del Centro comercial de Madrid 'ABC Serrano'  

UPDATE VII: Israel Córdoba de Aiuken nos hace llegar capturas de cómo usar el cajero de Bitcoins mencionado anteriormente.

Recomendamos NO PAGAR y tratar de esperar, ya que en muchas ocasiones se encuentra remedio, no obstante, entendemos qué, la criticidad de ciertos datos, pueda llevar a alguien a realizar el pago. No nos hacemos responsables de si luego esa transacción resulta fallida o hay más problemas

En primer lugar hay que hacerse con un Wallet, un Wallet es una billetera electrónica que reside en tu móvil o PC. Para usar el cajero lo ideal es crear una en el móvil. Hay muchos programas para Android o Iphone, en Iphone uno que funciona bastante bien es 'bitWallet' que permite recibir y enviar dinero.

Una vez se tenga ese u otro programa instalado en el móvil, hay que ir con dinero físico (no acepta tarjeta, solo billetes) al cajero y seguir unos sencillos pasos


El primer paso es poner el código QR de la aplicación que hayamos instalado. Este código es la representación de nuestra billetera


El siguiente paso es introducir por la ranura de billetes el dinero


Aceptamos para que se produzca la transacción


Y con eso ya tendríamos los Bitcoins en el móvil


UPDATE VIII: He escrito otro post en el que solicito colaboración a los afectados para descubrir la fuente de la que hayan podido salir los correos de los afectados. 

UPDATE IX: Vía Maite Moreno llegamos a este post de bleepingcomputer donde, malas noticias, indican que esta variante no es posible acceder a los documentos sin pagar

80 comments :

yomismo dijo...

Hemos recibido un ataque de este tipo hoy. Si alguien conoce forma de desencriptar se agradece info. Saludos

Carlos dijo...

Estamos igual pr aqui, se agradeceria algo de ayuda

kutxu dijo...

Yo también he sido víctima hoy de este virus. Si alguien nos puede echar una mano, se agradecería. Un saludo

MinH@ck dijo...

Ya somo 4 los afectados, de momento el virus es facil de eliminar se queda residente en memoria y basta con eliminarlo del inicio, mediante regedit o msconfig. Las herramientas existentes para desencriptar con un archivo bueno y uno afectado , no funcionan. Imagino que el algoritmo de encriptacion sera diferente al que usan esas herramientas. Seguimos investigando.... Saludos

Marc Rivero López dijo...

Buenas!


Se trata de TorrentLocker, si estoy en lo cierto. Usan la marca de Cryptolocker, pero el empleo de cifrado es diferente.


Hay algun error, por parte de los creadores en la creación de las claves, hay una empresa finlandesa, que ya ha conseguido descifrar los archivos.


Existe otro dominio involucrado en esta campaña.

Carlos dijo...

Marc, algun sitio donde conseguir mas info de la creacion de claves? Gracias

Ivan Flores dijo...

FireEye ha publicado un servicio para descifrar los archivos de cryptolocker.
https://www.decryptcryptolocker.com/

En el caso de torrenlocker no se si sea la misma variante que la de BitCrypt pero si funciona muy similar a cryptolocker pero tuvo fallas en su desarrollo y utiliza un cifrado RSA 426el cual se puede romper.


En caso de que esten afectados yo he podido descifrar los datos quebrantando el RSA 464 mediante la herramienta de cado-nfs.

Carlos dijo...

-nada FireEye no funciona con esta variante. A la espera que desde bleeping saquen la inversa para poder desencriptar. Es una variante de torrentlocker, que tiene solventado el error de creacion de claves

Eduardo dijo...

Alguien sabe como puedo dese criptas? Ayer también me la jugaron.

Larry dijo...

Hola yo tambien estoy afectado. El ESET antivirus los detecta, pero no encuentro a nadie que haya podido desencriptarlos. Alguien ha encontrado alguna solucion a esto?
Un saludo

Larry dijo...

He probado el pandaramsom, avira ramsonfileunlocker, y para desencriptar el torrentunlocker y aunque parece que saca la clave e incluso le quita la extension .encrypted al fichero, pero no se puede abrir despues, sigue dañado o encrptado...un desastre...en fin...alguna idea o novedad sobre el asunto?
Un saludo

Albert dijo...

Hola! any news? estamos igual y no hay manera de solucionarlo...

Daniel dijo...

Nosotros tambien hemos recibido este ataque en dos equipos. Esperemos que se puedan recuperar estos datos. Saludos.

Jesus dijo...

Estoy igual que todos... tengo un montón de archivos importantes que no puedo recuperar y la empresa parada por esto. No me lo puedo creer... Espero que el hecho de apagar el ordenador durante la expansión del virus no haya agravado mi problema. Si alguien sabe cómo desencriptar que avise...

Alberto Gago dijo...

Ayer tarde uno de nuestros principales clientes nos avisaba del ataque. Hemos estado trabajando y hemos recuperado toda la información utilizando Shadow Copies.

ivan dijo...

por aqui otro mas infectado ¿alguien sabe como quitarlo?

dmonton dijo...

Para intentar prevenirlo hemos creado un filtro de fichero en los servidores "Windows 2008" que evita que se escriban los ficheros con extensión .encrypted y además nos manda una notificación por email con el fichero y el usuario que lo ha intentado copiar. Asi todo tenermos dudas sobre el cryptolocker y no sabemos si esta medida evitara que perdamos el fichero original. ¿Alguien sabe como funciona exactamente?

¿Borra el fichero primero y luego lo intenta copiar? Si fuera asi nos quedaríamos sin el original también.

¿Lo encripta con la extensión original y luego lo renombra? Esto nos dejaría el fichero con la extensión valida pero encriptado.

¿Lo renombra primero y luego lo encrypta? Esto nos valdría.

Manu dijo...

Pero shadowcopies necesita que versiones anteriores esté habilitado, ¿no?

Tony dijo...

Nuestra empresa también se ha visto afectada. Parece que no hay forma de desencriptar los datos. Nosotros hemos bloqueado el acceso a las webs de malware y hemos creado la prohibicion de escribir ficheros con extensión .encrypted en los servidores de archivos.

Antonio dijo...

Nosotros también estamos parados.
words exels ... y no hay forma con las herramientas habituales.
Esperemos que algún "Sheldon" dé con unos buenos alicates.

Iago00 dijo...

En mi colegio que este año estudiamos con iPads, nos han avisado de este virus, como yo sabia que no existían virus para iOS si no es una versión modificada (como jailbreak) no me preocupe y busque informacion, me gustaría que me dijeseis si también afecta a IOS, ya que no creo que los de antigua (empresa que hizo que podamos estudiar con iPads, y la que nos aviso de que no abramos el correo en el iPad si nos llega algo de support@correos24.net) nos avisase de un virus cualquiera que salió hace 2 días para Windows (o lo que sea que afecta)

Javier Nav dijo...

Buenas

Por si sirve de ayuda

Para recuperar ficheros utilizar ShadowExplorer (Accede a la restauración de versiones anteroriores).

www.shadowexplorer.com

Infectados en la red por un pc, lo desconectamos de la red rápidamente y luego con shadowexplorer, pudimos recuperar los ficheros

A nosotros nos ha funcionado en Windows 7

Saludos

Fran H dijo...

Para poder usar Shadowcopies es necesario que esté activado el servicio Volume Shadow Copies, y activada la protección del sistema en la unidad deseada.

Juan Carlos dijo...

En nuestra empresa nos lo comimos ayer y decidimos tirar de copia de seguridad.... se coloca en C\programdata y se inventa un nombre para el fichero. pero mantiene el logotipo de pdf, es muy rapito en 1h 63 mil ficheros del server afectados de 18pm a 5 am recuperando ficheros y mirando maquinas..., en entorno cerrado segui el mail y la verdad que esta trabajada la web de correos..

Manu dijo...

Pues entonces no te va a funcionar si previamente no estaba así montado

Javier Navarro H. dijo...

Buenas

Espero echar un cable

Despues de que esta mañana un pc de nuestra compañia se infectara y corriera como la pólvora encendida la encryptación de todos sus ficheros tanto del pc como de las unidades de red asignadas y usbs conectados, fue cuestión de segundos que le arrancase el cable de red en cuanto vi la pantalla con el mensaje de Crytolocker.

Hacía un par de meses que ya me había topado con otro pc infectado pero no pude trastear con el.

Finalmente encontre con algo que podría serviros la aplicacion se llama shadowexplorer
que nos permite acceder a la restauración de versiones anteriores de nuestros ficheros.

Lo que tendreís que hacer es en un primer paso seleccionar la unidad y luego muy importante selecccionar la fecha de copia de seguridad a restaurar.
Luego sellecionar las carpetas y archivos a restaurar los selecionamos y botonderecho exportar le indicamos la ruta y buala recuperado.

En mi caso era un Windows 7.

Desde su web podreis descargaros la herramienta.
http://www.shadowexplorer.com/downloads.html

Yago Jesus dijo...

Atención: He actualizado el post con información de Marc Rivero con una posibilidad de descifrar los ficheros

Fran H dijo...

Ya probé el TorrentUnlocker, y sí, al menos en mi caso, es capaz de recuperar un archivo encriptado usando el encriptado y el original sin encriptar (necesitarás que ocupen más de 2´5 MB para que el proceso se haga bien).


Pero una vez descubre el supuesto algoritmo de encriptación, los archivos que genera a partir de los otros archivos encriptados no son legibles, por lo que, al menos según mi experiencia, este método no sirve.

Jesus dijo...

Os comento que a lo largo de esta mañana he estado siguiendo la pista al torrentlocker... y como dice Marc tiene toda la pinta de ser una variante con otro tipo de cifrado.

He encontrado una web donde explican como reparar los archivos encriptados con la herramienta torrentlocker decrypter. Lo típico, metes el original, el encriptado, calcula la key y te genera el archivo descifrado.

EL problema es que una vez que tiene la clave te pide que le introduzcas un directorio para reparar todos los archivos en base a esa clave. Lo hace pero al abrir lo nuevos archivos desencriptados están en blanco.

Os dejo la web donde lo he visto

http://www.bleepingcomputer.com/forums/t/547708/torrentlocker-ransomware-cracked-and-decrypter-has-been-made/



Si lo probais recordad marcar la casilla de que no borre el archivo encrypted no vaya a ser que al descifrarlo no se os vea bien como a mi y lo perdais.


La historia que no entiendo es porque poniendo el original y el encriptado si funciona.,,

Román Ramírez dijo...

¿Os habéis fijado en el detalle de que solamente cifra los primeros 2MB de cada fichero? ¿Habéis probado a descifrar solamente esa parte y combinarla con el resto del archivo?

Fran H dijo...

Pienso lo mísmo que tú, Fernando. Quizá use una clave de encriptación diferente para cada archivo. Si es así, menuda putada.

Alberto Gago dijo...

En efecto, Manu. Nosotros, de todos modos, detectamos el ataque en caliente gracias a la previa formación de los usuarios. El usuario, tan pronto vio el proceso de cifrado, desconectó el equipo de red y lo apagó. El ataque llegó a los servidores y comenzó de la A a la Z, aunque se paró antes de finalizar. Las copias de seguridad estaban cifradas, pero las shadow copies estaban disponibles. He leído que en algunos casos las shadow copies han sido borradas, quizá si el ataque llega a su fin, después comienza borrando shadow copies, pero no ha sido nuestro caso al parar el binario a tiempo.

David dijo...

Pues en mi empresa estamos igual, esta mañana un usuario ha recibido el correo, y como justamente ese usuario suele trabajar con temas de correos lo a abierto y ya estoy en la misma que todos vosotros, tal como se ha comentado ya, todas las herramientas existentes a día de hoy para desencriptar ficheros no funciona ninguna con esta variante, así que me imagino que al final la única solución va a ser tirar de copia de seguridad y restaurar los datos de la última copia

Sergio dijo...

Y no puede acudir la policia a la entidad donde se registro el dominio y ver de quien es y enchironarlo?

KILLBILL dijo...

DESCIFRAR!!!!!
(no es tan difícil de meterselo uno en la mollera)

yomismo dijo...

A que te refieres? es lo que tratamos todos? como desencriptar los archivos una vez el virus ha actuado...

Carlos dijo...

Se refiere al término. En fin...


Desde bleeping me han pedido el mail origen y lo van a anaizar junto con el ejecutable y 2 ficheros , uno infectado y uno original, pero no hay mucha esperanza, yo voy a intentar infectar una maquina aislada y tratar de ver como funciona el patron.

Alberto Cordero dijo...

Buenas.
Si se intenta acceder desde un Mac, no funciona, redirecciona a: http://correos-online.org/mobile.html. Obviamente al cambiar el user agent del navegador, te redirecciona a la url "correcta".
Saludos

Josean dijo...

como creas la prohibicion de escribir ficheros con extensión .encrypted ?
Gracias

KILLBILL dijo...

Sobre el comportamiento del malware, a parte de todo lo ya comentado, ¿alguién sabe que es la comunicación que se observa con "chooseyourhost.ru" con IP 46.161.30.43 que sale en los reports de malwr.com?
No parece que haya comunicación, más alla quizá de simplemente una resolución del nombre.

Yago Jesus dijo...

Es un paso previo que realiza antes de ponerse a cifrar, presumiblemente para comunicar las claves

KILLBILL dijo...

https://www.hybrid-analysis.com/sample/005d62ccb914fe69ed4795a68a2ec0c679e4713c50a73d90524b7bac1240fefd/#signatures



En ese análisis se indica que hay una comunicación HTTPS (que el análisis de malwr.com no lo muestra)


No tengo infraestructura para probarlo, pero ¿bloqueando el acceso a esa IP se podría evitar el proceso de cifrado?

MARIANA dijo...

Hola, Marc/ Ivan, podeis indicarnos los pasos a seguir para descrifrarlo a traves de cado-nfs. Habeis podido solucionarlo? toda informacion es de gran ayuda!

Ivan Flores dijo...

Te paso el articulo que mencionaba Marc en el cual se explicaba los pasos a seguir.


http://blog.cassidiancybersecurity.com/post/2014/02/Bitcrypt-broken



Cabe resaltar que este procedimiento solo funciona con variantes las cuales tuvieron el error en el desarrollo y aplicaron un algoritmo de cifrado débil. En caso de que tengas suerte y sea una de estas variantes esta comprobado 100% por mi parte que el procedimiento funciona.


Saludos

Infectado dijo...

Hola.

Yo también he picao...

¿Alguna novedad?

Un saludo.

Isaías dijo...

Un cliente mío también ha picao.

He entrado a modo a prueba de fallos con entorno de red y me salen los archivos sin encriptar y además puedo abrirlos, así que voy a copiarlos, hacer una imagen del sistema yguardarla y a formatear el pc.

Con esto en teoría podré volcar los datos copiados en modo a prueba de fallos y la imagen me la guardo por si acaso, que no se pierda nada.

Ya iré contando mis avances de esta tarde por si a alguien le sirve de algo.

CArlos dijo...

Pero estaban infectados? Me refiero estaban infectados y al entrar en MAF red de repente se desencriptan?

yomismo dijo...

¿Estas seguro que lo que ves en modo a prueba de fallos es lo que estaba encriptado?

Juan Aaa dijo...

Mi cuñado recibió esta mañana una encriptacion de ficheros ".encrypted" y gracias atener restaurar sistema se pudo recuperar algún fichero gracias a ShadowExplorer

Juan Aaa dijo...

http://www.forospyware.com/t493780.html

muriel dijo...

Que yo sepa en mi empresa no hemos tenido conocimiento, mañana pondré sobre aviso a la gente. como siempre gracias por la info

Alfredo dijo...

Por si os sirve además de los dicho sobre la imposibilidad de desencriptación (de momento) existen serias dudas de que no afecte de alguna forma a librerías del sistema y de programas que, aunque no impidan el arranque del mismo, sí pueda ver mermado el rendimiento del pc o servidor.

muriel dijo...

Si, pero en la creación de esas claves se seguirá un patrón común...

yomismo dijo...

Confirmado.. no se que habras visto en modo a prueba de fallos en ese PC infectado, pero no solucionas nada... El fichero que ha sido encriptado se queda así... visto de todas las formas posibles...

Carlos dijo...

Dejo por aqui un volcado de procesos, justo despues de ejecutar el virus en si. Se ven cosas interesantes

https://mega.co.nz/#!5M8W0aLT!fCxX215zSWKyVYExMIgOqBbpgUizoLPj7NMkfoWlQtA

david dijo...

He probado esta opcion y no funciona :-(

Pablo dijo...

como ha ido la cosa??

dmonton dijo...

Administrador de recursos del servidor de archivos.

http://technet.microsoft.com/es-es/library/cc732074.aspx

Así todo tengo la duda de si lo único que conseguiré es que no escriba el fichero, pero así todo pierda el original. No nos ha entrado nada desde entonces para saber que ocurrirá.

David dijo...

Yo tambien he probado a entrar en modo seguro y lo que ya estaba encriptado sigo viendolo encriptado...

Infectado dijo...

Por lo que más queráis, si dais con un desencriptador que funcione de aquí a poco por favor comentadlo por aquí :(

Carlos C. dijo...

Sería adecuado poner en descarga un ejemplo de un fichero cifrado y el mismo descifrado (si se puede obtener un par así)... para tratar de estudiarlos...

Carlos C. dijo...

No es necesario 'eliminar' previamente el archivo original ni crear otro. Puede perfectamente ser cifrado in situ, de modo que cualquier método para evitar la extensión *.encrypted solo enredará saber cual esté o no cifrado (si se ha diseñado así).

Ivan Flores dijo...

Seria bueno realizar algunas pruebas forenses para tratar de recuperar la private key de la memoria RAM.

He visto articulos interesantes como "Extracting RSA private keys and certificates from processmemory"
http://trapkit.de/research/sslkeyfinder/keyfinder_v1.0_20060205.pdf

Volatility tambien ya incluye estas opciones, seria bueno hacer pruebas para al menos ver si hay manera de rescatar la información mientras no se apague el equipo.

Carlos dijo...

Ahi va un fichero cifrado uno sin cifrar, el ejecutable del virus

https://mega.co.nz/#F!5FcHgRJR!3X-XmOfQ5zGCxBdgU8ifhw

Juan dijo...

No doy crédito. Ni a lo que veo en los dos últimos updates de los bitcoin, ni a los delincuentes. ¿Nadie ha encontrado todavía una solución? No me esperaba el consejo de como pagar casi un BTC, bastante arruinado está ya este país. Espero que haya un aporte útil pronto. Se tienen que estar forrando, no paguéis gente afectada, investigad por dios! Despues de dedicar mas de 8 horas a un equipo infectado, sospecho que no es cryptolocker ni torrentlocker, no funciona ninguna herramienta de las que he visto para ese tipo de amenazas. Deberíamos atacar ese dominio maldito, aunque sea por venganza. Ya por curiosidad ¿Alguien a pagado esa pasta y confirma si funciona? Por supuesto, gracias por esta web y gracias por este post.

Yago Jesus dijo...

Es duro, sin duda, pero si tienes un negocio parado, totalmente, sin actividad yo entiendo que la gente de el paso de pagar. No encuentro autoridad moral en mi como para criticarlo, y sin duda los delincuentes habrán ganado, pero nadie dijo que la vida sea justa

Abraham Pasamar dijo...

Así es Yago, es normal que una empresa o usuario que no pueda restaurar de una copia de seguridad opte por pagar. Especialmente una empresa que haya perdido información crítica y no pueda esperar. De momento, por lo que hemos podido analizar en INCIDE, la variante de Torrentlocker, además del cifrado XOR usa algo más (problemente AES) y genera un bitstream de 2MB diferente para cada fichero. Por esta razón, el Key Generator existente para Torrentlocker no funciona, ya que solo contempla XOR con bitstream único. Por si a alguien le interesa, nosotros también hemos publicado un pequeño análisis de la campaña del FALSO Cryptolocker: http://www.incide.es/Analisis_Falso_Cryptolocker_20141204.pdf

Alex dijo...

En su página dejan descifrar uno de forma gratuita, lo he probado y si que funciona. Necesito confirmación de si alguien ha pagado y se lo ha solucionado.

Estoy tan desesperado que me lo estoy planteando, tenemos toda la empresa bloqueada por el despiste de uno solo. Por favor ayuda.

Abraham Pasamar dijo...

entiendo que es porque ha cifrado las unidades compartidas del server que tenía el usuario infectado?

Isabel dijo...

Buenos días,
ayer me pasó lo mismo, me he quedado sin mis documentos! He sido idiota y me he creído que era de Correos.
Ruego a quién sepa como puedo recuperar mis archivos. He intentado varios consejos sin éxito. También dicen que no sirve de nada pagar.
Muchas gracias por vuestra ayuda!!

Isabel dijo...

No paguéis!! Dicen que aunque se pague no te devuelven los archivos. Esa no es la solución....

Eva dijo...

Desde ayer yo estoy igual, con mail , suplantando la identidad de correos, he caído en la trampa y en cuestión de segundos todos los archivos del ordenador están encriptados.
Y sale un pantallazo que dice "ADVERTENCIA. Nos cifrar los archivos con Cryptolocker " y que pague.
Yo no cedo al chantaje, eso lo tengo claro. He llamado a la Policía y os estoy leyendo a ver si se puede hacer algo.

Peregring-lk dijo...

Creo que esos ficheros encriptados son un FAKE, porque por ejemplo, mi jefe a sido infectado con ese virus, y le he dicho que me envíe una versión encriptada y otra sin desencriptar, y el fichero enviado original (una imágen jpg), ocupa 8 MB, mientras que la versión desencriptada, ocupa 68KB, lo que constituye un 0.8% del tamaño del original.

Para más INRI, un fichero encriptado siempre suele ocupar más que la versión sin encriptar, así que me resulta un poco raro. Lo que sí he visto es que los ficheros encriptados tienen todos un tamaño completamente diferente, pero no relacionado con el tamaño del fichero original.

Así que creo que los ficheros no son recuperables.

Carlos dijo...

La pagina a la que te enlazan te deja desencriptar uno de prueba, lo he probado me lo ha desencriptado, asi que recuperarse se tienen que poder recuperar, el como ya no lo se

Jac dijo...

Ayer picó un usuario en mi empresa. Sólo afectó a un ordenador pero no puedo recuperar los archivos. Cuando recupero desde el VSC la mayoría de los archivos están corruptos. Mi jefe quiere pagar pero yo me niego. A ver si aparece alguna solución...

Jac dijo...

Curioso, cuando le paso alguna utilidad de archivos borrados no me saca ningún resultado...

lrat dijo...

Creo que no recrea el fichero, lo 'pisa'

Staff Mejor-antivirus dijo...

Hola Jesús, el hecho de apagar el equipo inmediatamente es recomendable, porque este tipo de amenazas, normalmente, intentan merendarse las Shadow copies de Windows como paso previo. Saludos

Juan dijo...

Sólo 3 soluciones para desencriptar: Shadow Copies en Windows 7 (XP no tiene).
2. Tratar de recuperar cosas con r-Studio en todas las capas que propone, si son cosas viejasalgo recupera.
3. Pagar, pero no sé si será efectivo. Si recupera gratis un archivo mandadle el más importante tipo MDB...

Para que no salga en inicio sólo borrar de inicio yface.exe o algo así en C:\Windows, o eliminarlo directamente.

Staff Mejor-antivirus dijo...

Si que está bien hecha la web :D