S.O.S. Un Virus Bloque mi PC, y Amenaza con Encriptarlo.

Iniciado por B€T€B€, 27 Diciembre 2014, 00:12 AM

0 Miembros y 1 Visitante están viendo este tema.

xxxposeidonxxx

Busca algun ejecutable llamado kjschnuiewhnisdkj.exe  por todo el sistema yo e borrado varios y tenian ese nombre, pero claro hace tiempo... Se abran modernizado, asi que te toca hacer analisis profundo de todo el sistema para encontrar el culpable.

PD:El nombre ese es un ejemplo porque son nombres asi...

MasterAndHack


#!drvy

Si realmente es un cryptolocker te recomiendo que no lo elimines ni trates de desinfectarete. Lo primero que deberías hacer es copiar tus archivos (aunque estén cifrados) por si acaso a un sitio seguro. Luego seria buscar información sobre esta variación en concreto y ver si tiene fallas en la implementación y en el cifrado o si por casualidad guardan la clave en algún sitio concreto de tu PC.

Si no tiene fallas te puedes despedir de los archivos que tengas. En tal caso un formateo al HDD por completo y a todas las unidades que hayas podido enchufar mientras estabas infectado debería solucionar tu problema.

En los casos de los cryptolockers es difícil recuperar información cifrada... Quizás tengas algún backup o algo pero..

Para que veas un ejemplo...
http://www.securitybydefault.com/2014/12/atencion-infecciones-masivas-de.html

Saludos

B€T€B€


Hola.

Acabo de descubrir la primera falla del Virus.
El contador de tiepo de la Bomba Logica no funciona el timepo que el S.O. esta inactivo.

;-) ;-) ;-) ;-) ;-) ;-) ;-) ;-) ;-) ;-) ;-) ;-) ;-) ;-) ;-) ;-) ;-) ;-) ;-) ;-) ;-) ;-) ;-) ;-) ;-) ;-) ;-) ;-)

Una chapuza de virus.
Mas tiempo para darle por  :-X :-X :-X  al virus.


B€T€B€

#14
Hola de nuevo.

Al final pude librarme del malware sin la imperiosa necesidad de tener que formatear.
Voy a poner en común una serie de cuestiones para aclarar las cosas.

El malware en concreto que ha padecido mi ordenador es: Ransomware CTB-Locker (Curve Tor Bitcoin-Locker)

Similar al virus de la policía.
Para entrar en mi S.O. probablemente se a valido de un troyano, y (puede que) sólo se ha activado al detectar la presencia y actividad de un monedero Bitcoin.
Así que incluso puede que llevase largo tiempo inactivo en mi S.O. a la espera...

Lo que hace el Ransomware CTB-Locker es cifrar algunos archivos, y entorpecer el manejo del S.O. con una molesta patalla de bienvenida.
Pantalla que solicita en pago de una determinada cantidad de dinero (Bitcoins), con la promesa de descifrar los archivos afectados.
Cifra y se centra en (mi caso) archivos tipo OpenOffice, e imagenes (.jpeg y .jpg).
No ha tocado los pdf, los .txt, los .gif, ni los vídeos.
Es muy selectivo.
Sabe lo que lo busca.
Aunque el daño que me a causado a sido mínimo.
El S.O. sique siendo funcional, pero la molesta y omnipresente pantalla de presentación inmpide la correcta instalación de herramientas (software); necesarias para su eliminación.

He intentado eliminar el Ransomware CTB-Locker de varias formas.
Incluyendo algunos programas que ya ni recuerdo, así como también Kaspersky Rescue Disk 10.
Kaspersky Rescue Disk 10 no he llegado a poder ni cargarlo exitosamente.
No se porque razón se bloqueaba.

Finalmente, y al primer intento (con esta herramienta) logré mi propósito.
Se trata de "ESET Rogue Aplicación Remover"

32-bit Version – http://download.eset.com/special/ERARemover_x86.exe
64-bit Version – http://download.eset.com/special/ERARemover_x64.exe


Se descarga el exe, y se inicia.
Rápidamente comienza la búsqueda del Ransomware CTB-Locker.
Y tras unos minutos (15 aproximadamente).





Ahora y una vez solucionado el problema sólo me queda el borrar los archivos cifrados.
Su recuperación es una misión imposible; salvo que alguien afirme lo contrario.
Así pues: "Asunto Resuelto"


Gracias y salu2.




ElP4nd4N3gro

Madre mia, no sabes la suerte que has tenido.  Es una nueva variante del ya conocido y odiado cryptolocker. 

El jueves pasado nos llamaron de una empresa donde una chica a las 9 am había descargado el troyado que llego por correo desde la misma organización. Oculto en un word. a las 10 am el bichito ya había llegado a 3 de los 6 servidores que tenían, cifrando toodo lo que podía. a las 11 am se enteraron de que algo iba mal. a las 12 llegué yo con mi compañero y no había nada que hacer, toda la empresa cifrada xD

Clro dile tu a un ejecuta que el trabajo de más de 500 empleados de un día va a ser borrado para tirar de la copia XD

Has tenido suerte.
Como el baile entre caronte y plutón

tremolero

A mi lo que no me queda claro es lo de oculto en un word....

un word ".exe" ¬¬ o un word en el que ponia ejecuta el otro archivo y riete....

Vamos que no digo yo que no hayan encontrado un bug en el word, para poder meter el virus dentro, pero que 99.9% de seguridad de que era el tipico "word.doc.exe"
recibido desde un correo "Has ganado un premio" y de los que encima esta todo el texto mal escrito....

En fin...

ElP4nd4N3gro, yo de ti, les decia que borren y tiren de copia y que si les molesta que hablen con la que abrio el "word".

ElP4nd4N3gro

#17
Hola tremolero. Sip, la chica pues no debió estar muy fina descargando nada..


Por otro lado, yo no querría ponerme en la piel de quién ejecute este archivo. Por ejemplo.



Mod: Tamaño máximo de imágenes 800*600..
Como el baile entre caronte y plutón

tremolero

hm....

Veo que lo tienes, seria mucho pedir que me lo pasaras??

para evitar problemas si quieres lo comprimes y lo subes a cualquier servidor como mega

Sigo bastante sorprendido y asi de paso me entretengo ejecutandolo :P

Bueno imagino que sera uno de esos macrovirus... pero por ver si se ve algo....

Gracias

ElP4nd4N3gro

#19
Qué tal tremolero, entiendo perfectamente tu curiosidad pero en primer lugar decirte, que es una prueba que hice y no tiene absolutamente nada que ver con cryptolocker.
Es un exploit completamente diferente.

y en segundo lugar y más importante, no te conozco de nada y no me parece buena idea ni ético empezar a mandar por internet. Espero que lo entiendas.

Lo hice con un módulo de metasploit cargando mi propio payload, no tiene más. esty seguro de que si investigas podrás hacer el tuyo.

Un saludo!!

PD. Gracias por la reducción de la imagen, para la próxima respetare las medidas! :rolleyes:
Como el baile entre caronte y plutón