Todos mis archivos han sido secuestrados y me aparece el siguiente mensaje,
¿Qué puedo hacer?
CitarWhat happened to your files ?
All of your files were protected by a strong encryption with RSA-2048 using CryptoWall 3.0.
More information about the encryption keys using RSA-2048 can be found here: http://en.wikipedia.org/wiki/RSA_(cryptosystem)
What does this mean ?
This means that the structure and data within your files have been irrevocably changed, you will not be able to work with them, read them or see them,
it is the same thing as losing them forever, but with our help, you can restore them.
How did this happen ?
Especially for you, on our server was generated the secret key pair RSA-2048 - public and private.
All your files were encrypted with the public key, which has been transferred to your computer via the Internet.
Decrypting of your files is only possible with the help of the private key and decrypt program, which is on our secret server.
What do I do ?
Alas, if you do not take the necessary measures for the specified time then the conditions for obtaining the private key will be changed.
If you really value your data, then we suggest you do not waste valuable time searching for other solutions because they do not exist.
For more specific instructions, please visit your personal home page, there are a few different addresses pointing to your page below:
1.http://7oqnsnzwwnm6zb7y.payoptionserver.com/8mo85Q
2.http://7oqnsnzwwnm6zb7y.paytogateserver.com/8mo85Q
3.http://7oqnsnzwwnm6zb7y.paysteroptionway.com/8mo85Q
4.http://7oqnsnzwwnm6zb7y.bibliopayoption.com/8mo85Q
If for some reasons the addresses are not available, follow these steps:
1.Download and install tor-browser: http://www.torproject.org/projects/torbrowser.html.en
2.After a successful installation, run the browser and wait for initialization.
3.Type in the address bar: 7oqnsnzwwnm6zb7y.onion/8mo85Q
4.Follow the instructions on the site.
IMPORTANT INFORMATION:
Your personal page: http://7oqnsnzwwnm6zb7y.payoptionserver.com/8mo85Q
Your personal page (using TOR): 7oqnsnzwwnm6zb7y.onion/8mo85Q
Your personal identification number (if you open the site (or TOR 's) directly): 8mo85Q
Por favor ayuda
:s cryptowall :s eso es malo... busca a ver si norton, avast o karpesky en sus paginas web te pueden ayudar... evita usar el SO infectado... te advierto que hay posibilidad que no puedas recuperar nada :s lamentablemente esa es la crisis actual
Dios mio, ¿es en serio? tengo cosas corporativas muy importantes
¿por qué ha sucedido esto?
¿si pago me darán la clave rsa o solo es par robar?
¿alguno recomendado de acá https://www.malwarebytes.org/downloads/ ?
CitarDios mio, ¿es en serio? tengo cosas corporativas muy importantes
Si, es un cryptoware.
Citar¿por qué ha sucedido esto?
Te has infectado de alguna manera.
Citar¿si pago me darán la clave rsa o solo es par robar?
Es posible pero también es probable que no.
Citar¿alguno recomendado de acá https://www.malwarebytes.org/downloads/ ?
No te van a servir. Tus archivos están cifrados. Aunque quites el malware sigues necesitando la clave para descifrarlos.
Saludos
hay muchos que pagando han obtenido la clave, tambien hay muchos que no... es un 50/50
es dificil de romper porque usan tecnicas de cifrado de alta seguridad, usados como standard por su dureza... ellos cifraron los archivos de tu pc con un "candado" virtual por decirlo de alguna manera, así que en tu pc no hay rastro de la llave... si ellos cumplen su parte, te enviarían un programa con la llave para desbloquear todo y reversar a su estado original
Eso no es el que ha estado circulando por ahí a partir de un correo de Correos?
Lee esto que te paso de hackplayers, pasa por aquí http://www.hackplayers.com/2015/04/recuperar-los-archivos-cifrados-con-teslacrypt.html
Hacen un análisis y creo que en determinados casos se puede recuperar información, lo mas, intenta determinar si solo se han cifrado los archivos de tu pc o ha saltado a otros de la red donde esté instalado el pc, si es así, seguramente solo se hayan cifrado las carpetas que estuvieran compartidas, lo digo porque los que me he encontrado han actuado así. Sobre todo no formatees!!!! Así llegó un hombre a mi curro, tiene una consultaría y perdió datos, un conocido suyo le dijo que formateara de inmediato... NEVER!
CitarThe only methods you have of restoring your files is from a backup, file recovery tools, or if your lucky from Shadow Volume Copies.
Cita de: zhemn en 16 Junio 2015, 18:57 PM
Eso no es el que ha estado circulando por ahí a partir de un correo de Correos?
Lee esto que te paso de hackplayers, pasa por aquí http://www.hackplayers.com/2015/04/recuperar-los-archivos-cifrados-con-teslacrypt.html
Hacen un análisis y creo que en determinados casos se puede recuperar información, lo mas, intenta determinar si solo se han cifrado los archivos de tu pc o ha saltado a otros de la red donde esté instalado el pc, si es así, seguramente solo se hayan cifrado las carpetas que estuvieran compartidas, lo digo porque los que me he encontrado han actuado así. Sobre todo no formatees!!!! Así llegó un hombre a mi curro, tiene una consultaría y perdió datos, un conocido suyo le dijo que formateara de inmediato... NEVER!
¿Será que esto funciona? voy a probar
:( la verdad es que todo eso me está en chino... :-\ ¿eso es un método de tres ficheros para intentar decodificar los archivos?
Como bien te dicen, no es malware, es un ransomware, secuestrador de ficheros.
Aquí lo tienes todo explicado, incluidas las posibles soluciones:
http://blog.elhacker.net/2015/04/nueva-variante-del-virus-cryptolocker-ransomware-secuestro-crypt0l0cker.html
Pero si está basado en CryptoWall 3.0 es de las últimas versiones y borra las instántaneas de volumen, y los ficheros no se pueden descifrar.
La variante TeslaCrypt si puede ser descifrada, pero no es tu caso.
TeslaCrypt, una variante del ransomware CryptoLocker que si puede ser descifradohttp://blog.elhacker.net/2015/05/teslacrypt-una-variante-del-ransomware-cryptolocker-que-si-puede-ser-decifrado.html
Citar¿por qué ha sucedido esto?
Si no has abierto ningún aviso de correos o siimilar (exe camuflado), seguramente sea por navegar con el Adobe Flash desactualizado.
Citar¿si pago me darán la clave rsa o solo es par robar?
Normalmente suelen devolver los ficheros secuestrados, pero esto es negociar con terroristas. ¿Qué seguridad o confianza tienes en que digan la verdad? Ninguna.
¿Tienes copias de seguridad? Prueba con el Shadow Explorer por si tienes mucha suerte.
Hola brujo, muchas gracias por la información.
Lamento no buscar más en detalle, menos en tu sitio, pero ando con un sin fin de pestañas abiertas con info al respecto y no sé cómo "centralizar" la información
Por lo que me dices la información está perdida... Sin embargo lo importante está en Dropbox (una cuenta personal gratuita con algo más de 200GB de espacio) que desafortunadamente también fue infectado en un 50% antes de detener el avance
Estoy mirando si puedo restaurar la cuenta como tal, pero se ve difícil
Según me dices, esto:
¿Cómo restaurar archivos cifrados por Crypt0L0cker con instantáneas de volumen?
No me serviría (al ser cryptowall 3), pero estas?
Utilidades para eliminar ransomware sin tener que pagar rescate
Otras soluciones
Intentaré con el servicio de FireEye y Fox-It
Edit: agh, el servicio de FireEye no funcionará, dice:
The file does not seem to be infected by CryptoLocker. Please submit a CryptoLocker
infected file.
*****...
Realmente eso es una putada, ese software es muy dañino y está destinado a atacar a grandes empresas, espero no tuvieras fotos sentimentales o cosas importantes en tu ordenador, pues yo las daría por perdidas, ¿cuánto debes de pagar por la "clave"?
Seguramente sean más de 100€, tu sabrás yo no lo haría. Software nuevo y adiós.
Saludos.
Hay muchas, muchas variantes, prueba si tienes suerte con el Shadow Explorer y no ha afectado las instántaneas de volumen, pero casi seguro que si es reciente no podrás.
Pero Dropbox también tiene la opción de versiones anteriores y esta no se borran:
También se llama "snapshot"
- Botón derecho encima del fichero:
Restaurar una versión anterior
(https://dl.dropbox.com/u/1656836/winxp/view-previous-versions.png)
O vía web en DropBox
(https://dl.dropboxusercontent.com/u/1656836/web3/previous%20version%20with%20cursor.png)
(https://dl.dropbox.com/u/1656836/web/restore-snapshot.png)
Hola,
Me cobran 800 euros, aunque la información vale muchísimo más.. Y desafortunadamente también hay cientos de archivos personales y fotos.
Entiendo lo de restaurar versiones anteriores desde dropbox, desafortunadamente son más de mil archivos (y algo más) los infectados... Y por defecto solo puedo restaurar archivos individuales...
Ya contacté con el soporte de dropbox a ver si pueden ayudarme, tengo cuenta corporativa así que espero que algo se pueda hacer :( aunque no quiero tener muchas esperanzas...
Tengo antivirus y soy muy cuidadoso con todo lo que manejo, la verdad no entiendo cómo pudo pasar...
Miraré a ver si con Shadow Explorer puedo recuperar los archivos... Todavía ando desinfectando el computador.. ¿Shadow Explorer tarda mucho?
Y no, yo a esos hijos de p**a no les daré ni un centavo... Sería poco ético incentivar esas prácticas... Es una lástima que recursos que se usan para proteger la información de las personas (como los certificados de seguridad ssl, ¿verdad?, que usa la misma tecnología de codificación) se estén usando con estos fines tan macabros :(
si :s es terrible...
recomiendo despues de esta experiencia, pasarte a linux... o comprar un buen antivirus...
Backups, backups y backups. Deberías saberlo (y haberlos hecho) y mas si manejas información corporativa.
Saludos
¿Dropbox versión corporativa no cuenta como justamente el espacio corporativo por excelencia?
Tengo backups en los PCs que no están infectados, pero cuando se esparce tan rápido a través de la red me fue difícil detenerlo... Se salvaron los otros 4mil archivos restantes
Tener los respaldos no garantiza que el virus deje de hacer el daño que hace... Antes pude mitigarlo, pero eso de echarle la culpa al usuario final :-\
CitarTener los respaldos no garantiza que el virus deje de hacer el daño que hace... Antes pude mitigarlo, pero eso de echarle la culpa al usuario final :-\
Los respaldos se guardan aparte, aislados. Si no serian simple copias en otra parte :-\
Saludos