Ayuda con el nuevo virus de la policia. No es nada facil!

Iniciado por dyn_amite, 12 Julio 2013, 14:24 PM

0 Miembros y 1 Visitante están viendo este tema.

dyn_amite

Buenas tardes a todos.

Primero de todo, gracias por vuestra atención.

No se si me encuentro en el lugar correcto o no, corregidme si me equivoco.

Expongo el caso:

Me llega un ordenador infectado por el virus de la policía. Como siempre, nadie sabe como ha podido suceder. El ordenador tenia instalado el Avast, actualizado al día.

Me pongo a solucionar-lo:

  - Intento entrar en modo seguro (se trata de un equipo con windows 7 Prof original, el que venia con el equipo); y no hay manera de entrar en modo seguro.

  - Con el cd de instalación y sus herramientas, accedo a la consola del sistema y con ninguna de las herramientas se soluciona el problema.4

  - Finalmente le paso el Panda Rescue Disk y el Polifix y el problema queda resuelto.

  - Una vez inicia el SO, le paso el malwarebytes y limpio bien el sistema con el ccleaner, des instalando todo lo feo que encuentro, y buscando dentro de carpetas ocultas los rastros para eliminarlos.

  - Hasta aquí todo correcto. El problema surge justo aquí. He conseguido devolver el orden en este equipo: el ordenador va rápido, los programas funcionan, tiene Internet...
  - Y el problema que surge es al intentar abrir una foto. Sorpresa!!! La foto esta cifrada con un programa llamado dirty decrypt; mostrándote un mensaje que empieza: 
        "File is encrypted.  This file can be decrypted using the software DirtyDecrypt.exe"

  - Y no encuentro la forma de descifrar los ficheros. Ha infectado prácticamente todos los ficheros de documentos. A los ejecutables no les ha pasado nada.

He probado con muchos métodos para solucionar esto. En casi todos los sitios, me mandan instrucciones de como solucionar este tema del virus de la policía, pero esta variante es nueva y esos métodos no funcionan.

La mayoría de esos métodos te llevan a utilizar la aplicación rannohdecrypter de Kapersky, pero no sirve para este caso, pues el fichero cifrado también cambia de peso, haciendo inviable el comparar un fichero original sin infectar con el infectado; pues no serán iguales nunca.

No se si ha quedado muy claro. Si tenéis alguna duda o necesitáis mas información estaré encantado de responder.

Ya de antemano, muchas gracias!!!


Last_

¿Has probado a seguir los pasos de webs como ésta?

http://blog.yoocare.com/remove-dirty-decrypt-exe-virus-scam/

Un saludo.

el-brujo

CitarMe llega un ordenador infectado por el virus de la policía. Como siempre, nadie sabe como ha podido suceder. El ordenador tenia instalado el Avast, actualizado al día.

¿Y quién dice que un antivirus proteja del virus de la policía? Primero que no es un virus, es un malware. La mayoría de las versiones del virus de la policia usan alguna vulnerabilidad de flash o java. Primera regla de oro: mantener actualizado java y flash.

La manera más sencilla de desintalar el virus de la policía es usando un live-cd anti malware en modo off-line arrancando con el CD.

Para acabarlo de arreglar algunas versiones del virus de la policía cifran los ficheros.

Tendrás que buscar alguna herramienta específica para descifrar los ficheros cifrados con Dirty Decrypt. Parece una versión muy nueva...

Y si la mayoría de los cifrados con la herramienta de Kaspersky podías solucionarlo:

Utility for decrypting files affected by Trojan-Ransom.Win32.Rannoh infection
http://support.kaspersky.com/us/viruses/solutions?qid=208286527

Prueba con esta otra de Panda:


Panda Ransomware Decrypt

http://www.pandasecurityusa.com/support/cards/1675/?id=1675

r32

#3
Ya no creo que te sirva, pero varias compañias de antiviruses crearon un servicio para poder desbloquear el secuestro de los Ransomware/Scareware:

http://support.kaspersky.com/viruses/deblocker

https://www.drweb.com/xperf/unlocker/

http://www.esetnod32.ru/support/winlock/

http://virusinfo.info/deblocker/

Al haber eliminado todos los ejecutables no creo puedas obtener el código de desbloqueo.
Es como si hubieses realizado el pago, una vez hecho los archivos quedan desbloqueados, ahora como te comenta el-brujo toca esperar saquen una tool para restaurar esos cambios.
Por lo que veo lleva ya unos meses en activo:

http://www.bleepingcomputer.com/forums/t/493059/new-ransomeware-dirtydecryptexe/

Saludos.

salado2010

Bueno en mi caso, a mi me paso lo mismo, me despliega despues del arranque del BIOS la pantalla de la policia (PFP en Mexico), lo que realice es iniciar en modo a prueba de fallos y desde ahi correr el MalwareBytes y SpyHunter, despues de eso encontrara los malware, una vez terminado inicias windows en modo normal y corres el antivirus, depues de eso trata de configurar algun Firewall para que estes un poco mas seguro.
Espero te sirva esto como referencia futura

Un saludo