Servicio Técnico Impresoras Costa del Sol

  C/Veracruz, 39 (P.I. San Luis) 29006 Málaga     952 339 995

Ransomware o Cryptolocker

Posted on

Solución de Ransomware o Cryptolocker.

Los ransomware o cryptolockers son programas o softwares maliciosos que al infectar el ordenador bloquean el pc y/o encriptan los archivos y datos almacenados.

Entre los más conocidos tenemos el Virus de la Policía, (ransomware policía), pero hoy explicaré el último caso que hemos tenido. Se trata de un encriptador.

Existen muchos tipos de ransomware, algunos de ellos son:

TeslaCrypt 0.x, TeslaCrypt 2.x, TeslaCrypt 3.0, TeslaCrypt 4.0, CryptoFortress, CryptoJoker, Crypt0L0cker, CryptoHasYou, CryptoTorLocker, CryptoWall 2.0, CryptoWall 3.0, CryptoWall 4.0, Locky, Lortok, Maktub Locker, Magic, MireWare, Ransomcrypt, OMG! PadCrypt, PClock, BitMessage, AutoLocky, Booyah, Brazilian Ransomware, BuyUnlockCode, Cerber, CoinVault, Coverton, CrySiS, CTB-Locker, DMA Locker, ECLR Ransomware, EnCiPhErEd, Hi Buddy!, HydraCrypt, LeChiffre, NanoLocker, Nemucod, PowerWare, Radamant, Radamant v2.1, Rokku, Samas, Sanction, Shade, SuperCrypt, Unknown, VaultCrypt, 7ev3n, JobCrypter, Surprise, UmbreCrypt, Jigsaw, KeRanger, entre otros.

Hoy nos vamos a detener en uno de ellos, se trata del Ramsoncrypt.

El cliente nos trae un portátil donde la mayor parte de los iconos de su escritorio tienen el siguiente aspecto:

icono-w800-h600
También nos abre una imagen con un mensaje similar al del encabezado:

CAHJE71USKAJN2-w800-h600

Y por desgracia todos sus archivos xls, xlsx, doc, docx y resto de archivos de office, además de los pdf, db, etc se han cambiado a xls.crypt, doc.crypt, pdf.crypt, etc.

Evidentemente aunque les cambiemos el nombre y le pongamos el correcto, el archivo es ilegible y/o corrupto, ya que su contenido se ha encriptado.

Como siempre pensamos buscar por internet alguna herramienta del tipo “ransomware decrypt tool”, “ransomware eliminar”, “ransomware solución” o “cómo eliminar el virus ransomware”, pero por más que lo intentemos nuestros resultados serán nulos o nada fiables.

Además de la imagen que nos abre, como decíamos al principio, también se abre el navegador con la siguiente pantalla:

Pantallazo Navegador-w800-h600

Contiene el siguiente texto en inglés:

What happened to your files?
All of your files were protected by a strong encryption with RSA4096
More information about the encryption keys using RSA4096 can be found here:https://en.wikipedia.org/wiki/RSA_(cryptosystem)
How did this happen?
!!! Specially for your PC was generated personal RSA4096 Key ,both public and private.
!!! ALL YOUR FILES were encrypted with the public key,which has been transferred to your computer via the Internet.
!!! Decrypting of your files is only possible with the help of the private key and decrypt program ,which is on our Secret Server
What do I do ?
So ,there are two ways you can choose:wait for a miracle and get your price doubled,or start obtaining BITCOIN NOW! ,and restore your data easy way If You have really valuable data,you better not waste your time,because there is no other way to get your files,except make a payment.
Your personal id XXXXXXXXXXXXXXX
For more specific instructions,please visit your personal home page,
there are a few different addresses pointing to your page below:
1.http://apvc24autvavxuc6.onion.to
2.http://apvc24autvavxuc6.onion.cab
3.http://apvc24autvavxuc6.onion.city
If for some reasons the addresses are not available,follow these steps:
1.Download and install tor-browser:https://torproject.org/projects/torbrowser.html.en
2.After a successful installation,run the browser
3.Type in the address bar:http://apvc24autvavxuc6.onion
4.Follow the instructions on the site.
Be sure to copy your personal ID and the instruction link to your notepad not to lose them.

Donde XXXXXXXXXX es la identificación del usuario, con la que los piratas o ciberdelincuentes saben la clave de desencriptación.

Como decía, nos encontramos que todos esos archivos han sido encriptados y si no pagamos una cantidad determinada, habitualmente en Bitcoin, los piratas no nos proporcionaran la clave de desencriptación o la herramienta de desencriptado y nos será imposible recuperar dichos archivos.

El Bitcoin es una moneda, como el euro o el dólar estadounidense, que sirve para intercambiar bienes y servicios. Sin embargo, a diferencia de otras monedas, Bitcoin es una divisa electrónica que presenta novedosas características y destaca por su eficiencia, seguridad, facilidad de intercambio y sobre todo por ser electrónica o no física. Al no pertenecer a un estado o país, no hay censura, control, impuestos, etc. En otras ocasiones se utilizan otras monedas como Ukash, Paysafecard, o MoneyPak

Volviendo al problema, por desgracia, los usuarios cuando se dan cuenta, ya es demasiado tarde para parar el proceso y hasta sus archivos en la nube, unidades de red, etc. han sido encriptados.

La mayoría de las infecciones vienen por abrir correos electrónicos o archivos de actualizaciones de softwares engañosas o junto a freewares (programas gratuitos) de poca confianza. Para evitar instalarlo, te recomendamos encarecidamente que estés atento mientras navegas por la web y evites hacer click en publicidad molesta o en alertas falsas como “Has ganado”. Se recomienda también no abrir emails y, especialmente, archivos adjuntos a ellos si no conoces personalmente al remitente del mismo, como los últimos email de “Correos”, “ransomware correos” entre otros.

El proceso comienza generando unos archivos en cada directorio llamados !Recovery_XXXXXXXXXXXX.html y txt, donde XXXXXXXXXXXX es el ID del usuario, comenzando a encriptar todos los documentos de dicho directorio, una vez terminado, pasa al siguiente directorio, y continua con el proceso. En este caso nos hemos encontrado que el cliente ha sido infectado por dos ransomware con dos claves de encriptación y la segunda ha encriptado a la primera como vemos en el ejemplo:

12/03/1601 15:17 14.193 !Recovery_XXXXXXXXXXXX.html
12/03/1601 15:17 14.601 !Recovery_XXXXXXXXXXXX.html.crypt
09/01/1601 19:44 1.758  !Recovery_XXXXXXXXXXXX.txt
09/01/1601 19:44 2.102  !Recovery_XXXXXXXXXXXX txt.crypt
12/03/1601 15:17 14.601 !Recovery_YYYYYYYYYYYY.html.crypt
09/01/1601 19:44 2.102  !Recovery_YYYYYYYYYYYY.txt.crypty

Sus archivos en la nube:

Respecto a la nube, tenemos que saber que podemos recuperar versiones anteriores de dichos archivos, e incluso recuperar archivos borrados, por lo que es importante recordarlo y desde otro equipo limpio, recuperarlos.

Solución de problemas con ransomware y cryptolocker.

Evidentemente NUNCA pagar a los piratas o ciberdelincuentes, ya que no hay ninguna garantía de que nos solucionen el problema.

Como es lógico existen muchas herramientas para eliminar los ransomware y limpiar el ordenador, la mayoría de los antivirus disponen de herramientas gratuitas para ello, pero respecto a los archivos encriptados no hay posibilidad, solo desencriptar los documentos.

Por suerte, aunque en los pantallazos los piratas nos indican que la clave de encriptación es RSA4096, en la mayoría de las ocasiones no lo es.

Siempre es preferible pagar a una empresa española, que te aporte garantía y seguridad.

Contacte con nosotros, podemos darle una solución a su encriptación.

http://www.informaticacostadelsol.es/contacto/

Deja un comentario

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies