Mensajes

CryptoLocker Ransomware.

Información:
http://en.wikipedia.org/wiki/CryptoLocker
http://www.us-cert.gov/ncas/alerts/TA13-309A
http://www.kernelmode.info/forum/viewtopic.php?f=16&t=2945
http://www.bleepingcomputer.com/virus-removal/cryptolocker-ransomware-information
http://www.kyrus-tech.com/cryptolocker-decryption-engine/

Se han dado casos en los que la recuperación de algunos archivos se hacía imposible, incluso habiendo adquirido legitimamente la clave correcta.
El motivo principal es que se movían los archivos a otra unidad, debido a esto no se recuperaban correctamente.
Se creó este Script para intentar recuperarlos.

http://chief-01.deviantart.com/art/Crypto-Unlocker-UPDATED-V1-1-413774308

Web: https://github.com/appurify/appurify-python/tree/master/pycrypto
D.Directa (x32): https://github.com/appurify/appurify-python/blob/master/pycrypto/pycrypto-2.6.win32-py3.3.exe
D.Directa (x64): https://github.com/appurify/appurify-python/blob/master/pycrypto/pycrypto-2.6.win-amd64-py3.3.exe

Web: https://github.com/kyrus/crypto-un-locker
Script: https://github.com/kyrus/crypto-un-locker/blob/master/CryptoUnLocker.py



Es posible extraer la clave privada desde el registro (HKCU\Software\CryptoLocker) a archivo .reg y guardar donde ejecutes el Script.

Otra opción (automatizada) para restaurar los archivos cifrados:

Panda Ransomware Decrypt:
Web: http://www.pandasecurity.com/spain/homeusers/support/card?id=1675
D.Directa: http://www.pandasecurity.com/resources/tools/pandaunransom.exe
Guía: http://www.pandasecurity.com/spain/homeusers/support/card?id=1675


CryptoLocker Decryption Service (Servicio online):

Usar Tor2web (http://tor2web.org) o TorBrowser (https://www.torproject.org/download/download) para entrar:

Link directo desde Tor2web:
https://f2d2v7soksbskekh.tor2web.org


Herramienta que buscará los archivos que han sido cifrados:

CryptoLocker Scan Tool (necesario NET 4.5):
Web: http://omnispear.com/tools/cryptolocker-scan-tool
D.Directa: https://www.dropbox.com/s/ciw1rdzri8ghyfo/OCF_20131025.zip


Otros metodos para tratar de restaurar los archivos afectados, aunque no se garantiza nada:

Se puede tratar de restaurar versiones anteriores de estos archivos usando una funcionalidad integrada de Windows o una aplicación conocida como ShadowExplorer.

- Obtención de los archivos de nuevo el uso de la funcionalidad de versiones anteriores.
Windows tiene una característica nativa, donde se puede hacer clic derecho sobre un archivo, seleccione Propiedades y seleccione la pestaña llamada versiones anteriores. Una vez hecho esto para un archivo en particular, verá todas las versiones de la misma que se copiaron y se almacenan en el llamado Volume Shadow Copy. La ficha también proporciona la historia de estas copias de seguridad por fecha.
Con el fin de restaurar la versión necesaria del archivo, haga clic en el botón Copiar y luego elegir la ubicación en la que este archivo va a ser restaurada. En caso de que usted desea reemplazar el archivo existente con su versión restaurada, haga clic en el botón Restaurar en su lugar. Puede restaurar carpetas enteras de la misma manera.

- Restauración de archivos cifrados con la utilidad ShadowExplorer:
Además de la funcionalidad nativa de Windows, puede utilizar una aplicación que puede restaurar la versión anterior de carpetas enteras para usted. Se llama ShadowExplorer. Una vez que descargue y ejecute este programa, mostrará todas las unidades, así como una lista de las fechas en que se generaron las instantáneas. Sólo tiene que elegir la unidad y la fecha para la restauración deseada

Web: http://www.shadowexplorer.com
D.Directa: http://www.shadowexplorer.com/uploads/ShadowExplorer-0.9-setup.exe


Herramientas de ayuda a la prevención contra CryptoLocker:

CryptoPrevent (Beta):
Web: http://www.foolishit.com/vb6-projects/cryptoprevent/
D.Directa: http://www.foolishit.com/download/cryptoprevent-installer/
D.Directa (portable): http://www.foolishit.com/download/cryptoprevent/



Cryptolocker Prevention Kit:
Web: http://www.thirdtier.net/2013/10/cryptolocker-prevention-kit-updates/
D.Directa: http://www.thirdtier.net/downloads/CryptolockerPreventionKit.zip

HitmanPro's CryptoGuard:
Web: http://www.surfright.nl/en/alert/cryptoguard
D.Directa: http://dl.surfright.nl/hmpalert25.exe
Video demostrativo: http://www.youtube.com/watch?feature=player_embedded&v=5M8YYnXIAlw

Se adjuntan varios programas que ayudarán a eliminar la infección automáticamente, a pesar de como se ha comentado los ficheros
aún seguirán cifrados.

Malwarebytes antimalware:
- Web: http://es.malwarebytes.org/
- D.Directa: http://es.malwarebytes.org/mwb-download

Hitman Pro:
- Web: http://www.surfright.nl/en/downloads/
- D.Directa (32 bits): http://dl.surfright.nl/HitmanPro.exe
- D.Directa (64 bits): http://dl.surfright.nl/HitmanPro_x64.exe
- Guía pdf: http://files.surfright.nl/hmp-brochure-en.pdf


* Por lo que he podido ver, tan solo van cambiando el nombre al dominio, dejando el nombre final de ejecutable como "1002.exe" (http:/[random]/1002.exe)
Domains:

Object URL   # Requests   
wqvnkgtquoixx.com/home/   
jbkoqywkqjpjji.net/home/   
keqrmonphudew.net/home/   
miuongoruxtuhy.biz/home/   
qipixdjsccnyc.biz/home/   
pfasmsxcpsfkle.biz/home/   
evkmaldroiifk.ru/home/   
saallnwetwuac.org/home/   
ygvnalgjbukky.info/home/   
aiqyntcdnvfyy.com/home/   
bxgqnvtusprlg.net/home/   
cabcbepofqmaw.biz/home/   
upalbsjwadwmy.ru/home/   
qtnwayrgotgvf.info/home/   
trusflrovxooa.ru/home/   
vruwobfqmerby.org/home/   
nqjfxvpobfgss.net/home/   
otauuhgyfkeyx.info/home/   
xjfaclsceyycp.info/home/   
rjydbnflxdqfo.com/home/   
fyafqsphgcwpn.net/home/   
sejfjeaeybkcf.biz/home/   
suiqcimovbpqnc.info/home/   
gtkhyjkahaqmn.ru/home/   
pyduriwnnvmyh.org/home/   
hjivfvfffwnskq.net/home/   
ejoypeccwsmgn.com/home/   
aejmsdjdnlxpo.net/home/   
ligpryhpqpdwne.com/home/   
bikasivqvqovf.biz/home/   
bytobtevojrmf.ru/home/   
uycjwfvptmknld.com/home/   
cducbyqjwoisf.org/home/   
yxorjdnsljkpj.info/home/   
yoxgrovxecngq.com/home/   
ottxtmpqbfivg.biz/home/   
vvopcjmnxbhbwc.ru/home/   
asytrtilmhemq.net/home/   
gctqpdxpmfmir.biz/home/   
juuquupfwkohs.biz/home/   
bryjvxpmikgjtg.ru/home/   
itetdtsollwar.org/home/   
rspqurslksuqf.info/home/   
kdfwnedtksawjy.biz/home/   
etrwsvkcdukdlg.ru/home/   
erxigxprcxick.info/home/   
rhykvgjqlqkis.com/home/   
gjiltokqbestr.net/home/   
tyjnjwepkwuaq.biz/home/   
oweahscscnpoo.ru/home/   
taesdijrndsatw.org/home/   
pbfnhbxmlmkyo.org/home/   
mmirxnturglis.com/home/   
oesuleotqmvaa.biz/home/   
pitilmknalqkq.ru/home/   
iigcbmauiqvfba.ru/home/   
fuoxdmpthwgih.org/home/   
gpyalwdsbfdvf.info/home/   
tfacbcnojejgn.com/home/   
besvehfusgclh.net/home/   
cydxmrstmoyyx.ru/home/   
poeacwdpunfjg.org/home/   
qydbouvxduubsr.ru/home/   
okjjdmhkqnkgf.com/home/   
pokwdrtxysbmf.net/home/   
yeiviemnuxabpv.com/home/   
ooltxrisjwradh.org/home/   
jydfvwjmiojvs.biz/home/   
kdesvcvaqtacj.ru/home/   
ktnhehwlcwgjj.org/home/   
tnjlrciuvwfam.info/home/   
hdknhkctfphgu.com/home/   
vftofmvgnrmbt.net/home/   
pwnjswxvhgbdm.ru/home/   
lyooqnqqhotjju.biz/home/   
lohwjyiyqkwfqi.info/home/   
mclqdpsghdjqje.ru/home/   
dmolifruqydju.org/home/   
feyovpfgitkkl.info/home/   
citujrmxlfigj.com/home/   
dmuijairuedqj.net/home/   
eaexwcajdaphq.biz/home/   
feflwkvdmykrh.ru/home/   
xrxskmcywoeju.org/home/   
ajivxwpkojlku.info/home/   
odfkpkipydkslh.net/home/   
bnjjxflexigul.com/home/   
ryyyyfgfvtsnct.info/home/   
mnfdfpdotefros.net/home/   
uwdykbjtyjnkje.biz/home/   
vvbfgrejcdvwje.org/home/   
ggltstdpfixlmg.com/home/   
ttgwxyheyuxdud.net/home/   
laqigkmwntydsb.biz/home/   
xarbteoehyyaik.net/home/   
myoocbhmqnhpjy.org/home/   
opalnungbnmmot.org/home/   
jxvaxrprklbjlm.info/home/   
kaqiuwvbeulwci.com/home/   
yvbswhukhiskve.net/home/   
kwtgtikhnfjvjl.net/home/   
nkbxareutxbqjc.ru/home/   
bxvbfarpkqqerj.org/home/   
dttreqmrlsedie.info/home/   
neegqpcrrrqvut.biz/home/   
tspwdnloqrybym.com/home/   
rbjkbglbcucwua.org/home/   
ksxfginiuiagub.info/home/   
twhbawgddwpvuw.info/home/   
fkccpkpsimeybd.com/home/   
pyocsnovymedni.net/home/   
qbjkpveipcyunx.biz/home/   
kmwxovbjqgjmad.com/home/   
rumsrejxaorcum.ru/home/   
ffbxddujmmpsxl.biz/home/   
swhbomykqemtll.org/home/   
sxwfupthcyeqjh.net/home/   
cpgpwafuancriy.org/home/   
adjkrhdkuxysov.biz/home/   
nqenwmhyokyknc.ru/home/   
bxjlbrafmvaobr.ru/home/   
bchqnrqmbdkvfl.org/home/   
icmiuojikeeglw.info/home/   
jehqrtprenotca.com/home/   
fvmfpbqlweuqcc.org/home/   
lwfhkayvijlhld.info/home/   
guklllendjgtct.info/home/   
avprsocmlqjigs.ru/home/   
gecmmdcdjwpjlp.org/home/   
iaadlnplnoarlk.info/home/   
rpayeuhoyexfpe.net/home/   
vnugqvdgehpfkw.com/home/   
rbxjldlktkpsjx.org/home/   
mqipmcwrvlbxlw.com/home/   
nsdxjkmembvpcv.net/home/   
gkdtedfdjppeuj.ru/home/   
nqcfresqxteaxk.biz/home/   
bgdeqjwfchhvwq.ru/home/   
tvelvheabunfpq.biz/home/   
adgceuhdxrinww.biz/home/   
vukflsvgxbgvui.ru/home/   
wylroxcpcqgjle.org/home/   
xxjxkowffkovlp.info/home/   
uwqjgsrxuhyopp.net/home/   
jdtwkyaduxkmve.com/home/   
erbxffpmhwjmwq.com/home/   
urndyegetlhnwl.biz/home/   
truhmarggnfawj.org/home/   
vnsxlqmihpsywr.info/home/   
tlxpdlcqaglewt.ru/home/   
hbyoctplnodrvn.org/home/   
daetjwkwtfhjwj.info/home/   
fvckinfyuhuinp.net/home/   
atiyxjksylosbu.biz/home/   
xiyefnrwyvdcth.com/home/   
lrvlcsbkbnljsx.net/home/   
yhwkbxfyfbofbu.biz/home/   
uycyyswttiedtd.info/home/   
swgfawqxupccrf.com/home/   
tbhrdcwhyfcpib.net/home/   
uafxymkjfknspa.ru/home/   
pnjatcvupcddtl.info/home/   
qrkmwhcetrdqtc.com/home/   
qtqhbembdaeyrl.net/home/

** Se me ocurrió que para tener a salvo archivos importantes en cualquier unidad de disco, se podría modificar la extensión real del fichero por una inventada.
Tanto en variantes como en nuevas versiones se infectan extensiones de archivos conocidas.

*.odt, *.ods, *.odp, *.odm, *.odc, *.odb, *.doc, *.docx, *.docm, *.wps, *.xls, *.xlsx, *.xlsm, *.xlsb, *.xlk, *.ppt, *.pptx, *.pptm, *.mdb, *.accdb, *.pst, *.dwg, *.dxf, *.dxg, *.wpd, *.rtf, *.wb2, *.mdf, *.dbf, *.psd, *.pdd, *.eps, *.ai, *.indd, *.cdr, ????????.jpg, ????????.jpe, img_*.jpg, *.dng, *.3fr, *.arw, *.srf, *.sr2, *.bay, *.crw, *.cr2, *.dcr, *.kdc, *.erf, *.mef, *.mrw, *.nef, *.nrw, *.orf, *.raf, *.raw, *.rwl, *.rw2, *.r3d, *.ptx, *.pef, *.srw, *.x3f, *.der, *.cer, *.crt, *.pem, *.pfx, *.p12, *.p7b, *.p7c

Si tenemos un documento .pdf por ejemplo y es de valor por ser una trabajo o proyecto, podemos cambiar solo la extensión a documento.xx,
por lógica el malware no haría la modificación de cifrado al archivo.
El creador del ransomware puede decirle al programa que tipo de extensión cifrar pero no podría infectar toda extensión de archivo
existente. Bueno poder podría, pero no le sería de mucha utilidad si la finalidad es puramente economica.

Saludos.

Al final de la barra de navegación tienes un boton con tres rayas en horizontal, es la configuración del navegador.
Entras en Configuración y modificas los parámetros de página de inicio y busqueda.
Ahora revisa la pestaña Extensiones en la misma pantalla y eliminas esa extensión.

Saludos.

Publicado por: pasodoble

Esta es la página que no hay forma de cerrar
:http://fcese.doctorsofphoenix.com//interpol/7Pmu9oOQ2aewYTwyygGHbcXs9gYspOrfavUbfBAtV1naL7wA/VNcvcTOsm2w2PD0SdKrzlx5V7y6Hd5e8g8LJ3w~~/ZTUxNTk1NWYyZGEwMGQ5M2EwMTc5ZjAz

Ya no esta disponible:

Request: GET //interpol/7Pmu9oOQ2aewYTwyygGHbcXs9gYspOrfavUbfBAtV1naL7wA/VNcvcTOsm2w2PD0SdKrzlx5V7y6Hd5e8g8LJ3w~~/ZTUxNTk1NWYyZGEwMGQ5M2EwMTc5ZjAz
Response: 404 "Not Found"

Al estar oculto y en ejecución no lograrás mucho, ya lo has visto. Puede estar en ejecución en modo seguro también.
Aunque sepas el nombre del proceso no te dejará eliminarlo, incluso te habrá creado un servicio, para la ocultación de archivos y carpetas.
¿Puedes ejecutar programas en modo seguro?

He visto que has pasado varios LiveCD, por curiosidad pasaste el de Kaspersky:

Kaspersky Rescue Disc:
- Web: http://support.kaspersky.com/4162
- D.Directa: http://rescuedisk.kaspersky-labs.com/rescuedisk/updatable/kav_rescue_10.iso

Si tienes lector, podrías grabarlo en un CD y poner el pen cuando pases Kaspersky Rescue Disc, si lo detecta te eliminará el archivo residente en disco y registro y el del pendrive.

Editado:

Puedes acceder al registro?:

http://support.microsoft.com/kb/2688326/es

Saludos.

Antes de cerrar puertos a ciegas tienes que eliminar los archivos que estan creando la conexión.
Tienes dos aplicaciones de acceso remoto en ejecución, Teamviewer y LogMeIn ¿los usas tu legitimamente?

Saludos.

Lo mete en cuarentena o bloquea su ejecución.
Si tienes acceso a la interfaz del antivirus creale una excepción, si no tienes acceso por politicas de la empresa  te será dificil.
Tendrías que usar algún otro programa, supongo que tor y otros tambien serán bloqueados.
Probaste alguno mas?

Saludos.

Hola depende de la versión, puede haber cifrado los ficheros de una forma o otra.
Hay varios programa para intentar descifrar las modificaciones, revisa estos a ver si tienes suerte y la variante no es muy avanzada:

Avira Ransom File Unlocker:
- Web: http://www.avira.com/es/support-for-home-knowledgebase-detail/kbid/1253
- D.Directa: http://www.avira.com/files/support/FAQ_KB_Download_Files/EN/ransom_file_unlocker.zip

RannohDecryptor:
- Web: http://www.kaspersky.com/downloads/free-antivirus-tools
- D.Directa: http://support.kaspersky.com/downloads/utils/rannohdecryptor.exe

RectorDecryptor:
- Web: http://www.kaspersky.com/downloads/free-antivirus-tools
- D.Directa: http://support.kaspersky.com/downloads/utils/rectordecryptor.exe

XoristDecryptor:
- Web: http://www.kaspersky.com/downloads/free-antivirus-tools
- D.Directa: http://www.kaspersky.com/downloads/utils/xoristdecryptor.exe

Panda Ransomware Decrypt:
Web: http://www.pandasecurity.com/spain/homeusers/support/card?id=1675
D.Directa: http://www.pandasecurity.com/resources/tools/pandaunransom.exe

Si veo alguna más modifico el tema.
Saludos.

Estoy usando la 4.9.9.2, la 5 la vi beta y de momento me espero.
Si no ves nada raro en el pc, guarda los proyectos y reinstala o repara la aplicación.
Con una reinstalación supongo se eliminaria el archivo que infecta al compilar, nunca lo he probado.

Saludos.

Creo que se ha colado, pero dev c++ no necesita de licencias o cracks.
He compilado tu codigo y subido a virustotal, pienso que no es muy lógica esa detección. De los 43 ninguno dice nada.
Si que hay de algun tipo de malware que solo infecta los compiladores, yo revisaría a fondo el pc.
Que versión esta ejecutando?

Saludos.

Hola he eliminado el tema anterior que contenía el mismo mensaje.
Echale un ojo a esto, explica un poco como funciona:

http://en.wikipedia.org/wiki/Blackhole_exploit_kit

Basic summary of how Blackhole works

   1. The customer licenses the Blackhole exploit kit from the authors and specifies various options to customize the kit.
   2. A potential victim loads a compromised web page or opens a malicious link in a spammed email.
   3. The compromised web page or malicious link in the spammed email sends the user to a Blackhole exploit kit server's landing page.
   4. This landing page contains obfuscated javascript that determines what is on the victim's computers and loads all exploits to which this computer is vulnerable and sometimes a Java applet tag that loads a Java Trojan horse.
   5. If there is an exploit that is usable, the exploit loads and executes a payload on the victim's computer and informs the Blackhole exploit kit server which exploit was used to load the payload.

Defenses against the Blackhole exploit kit

A typical defensive posture against this and other advanced malware includes, at a minimum, each of the following:

   * Ensuring that the browser, browser's plugins, and operating system are up to date. The Blackhole exploit kit targets vulnerabilities in old versions of browsers such as Firefox, Google Chrome, Internet Explorer and Safari as well as many popular plugins like Adobe Flash, Adobe Acrobat and Java.
   *Running a security utility with a good antivirus and good host-based intrusion prevention system (HIPS). Due to the polymorphic code used in generating variants of the Blackhole exploit kit, antivirus signatures will lag behind the automated generation of new variants of the Blackhole exploit kit, while changing the algorithm used to load malware onto victims' computers takes more effort from the developers of this exploit kit. A good HIPS will defend against new variants of the Blackhole exploit kit that use previously known algorithms.

Puede haber sido por desactualización del navegador, java, flashplayer...
Actualiza todo, vectores de ataque hay bastantes, si puedes migrar a la última versión también te iría bien.
Por la fecha de modificación de los ficheros puedes guiarte un poco, no en todos los casos se modifica ese dato para ocultar una modificación.

Saludos.