Buenas tardes a todos,
Soy nueva aquí y no sé bien donde publicar este post.
Hace unas semanas se me ha metido el virus ransomware en mi portátil cifrando todos mis archivos con la extensión.orkf.
Alguien me puede ayudar o aconsejar si hay alguna manera de solucionar, por lo menos, el tema de recuperar los archivos?
Yo llevo semanas intentándolo y nada, me he puesto en contacto con una empresa de ciberseguridad pero ni ellos, de momento, tienen la solución.
Además, me he puesto en contacto con unos hackers, pero desconfío...
Sé que lo mejor sería guardar los archivos en un disco externo y formatear el laptop, pero me gustaría saber si me podéis ayudar o recomendar otras opciones.
Muchas gracias.
Si guardas los archivos en un disco externo, hay altas probabilidades de que infectes la maquina donde lo conectes... tal vez te llegue una solución de alguien por aquí, pero yo creo que debes formatear y reinstalar tu sistema operativo y dar por perdido lo que tienes allí cifrado...
Suerte.
:rolleyes: :o :rolleyes:
Por cifrando entiendes lor archivos?
Cita de: angela.c.z en 12 Septiembre 2021, 15:23 PM
Por cifrando entiendes lor archivos?
Si... porque están cifrados todos tus archivos... o no???... porque eso es lo que hace un ransomware, cifra los archivos y no se pueden visualizar sin la clave para ello... pero si tus archivos no están cifrados y si los puedes ver, entonces no es tan grave el asunto...
:rolleyes: :o :rolleyes:
Si tienes datos que para tí son de mucho interés, lo que podrías hacer es clonar el disco duro, asi en ese disco manrtienes copia de todo por si en un futuro...
Y luego formateas el disco duro y reinstalas todo... al menos no pierdes tiempo si necesitas usar tu equipo para otras cosas.
Ese otro disco clonado, sería conveniente que montado en algún equipo, o lo montas en solitario o lo montas como esclavo pero sin autoarranque, y solo cuando tengas intención de ver si puedes resolver el cifrado de los ficheros...
El cifrado que tenga presuntamente es dífícil de resolver, porque pudiera ser un cifrado particular, pero sobretodo porque nadie va a invertir el tiempo suficiente en investigarlo 'por nada'...
Si el interesado tiene el conocimiento suficiente y sabiendo cuanto de interés haya en los ficheros cifrados, él mismo decidirá si invertir ese tiempo merece o no el esfuerzo de abordarlo, para el resto suele ser una pérdida de tiempo.
Cita de: Serapis en 12 Septiembre 2021, 15:54 PM
Si tienes datos que para tí son de mucho interés, lo que podrías hacer es clonar el disco duro, asi en ese disco manrtienes copia de todo por si en un futuro...
Y luego formateas el disco duro y reinstalas todo... al menos no pierdes tiempo si necesitas usar tu equipo para otras cosas.
Ese otro disco clonado, sería conveniente que montado en algún equipo, o lo montas en solitario o lo montas como esclavo pero sin autoarranque, y solo cuando tengas intención de ver si puedes resolver el cifrado de los ficheros...
El cifrado que tenga presuntamente es dífícil de resolver, porque pudiera ser un cifrado particular, pero sobretodo porque nadie va a invertir el tiempo suficiente en investigarlo 'por nada'...
Si el interesado tiene el conocimiento suficiente y sabiendo cuanto de interés haya en los ficheros cifrados, él mismo decidirá si invertir ese tiempo merece o no el esfuerzo de abordarlo, para el resto suele ser una pérdida de tiempo.
Para eso necesitaría otro disco duro... entonces sería mas sencillo guardar ese disco como esta e instalar el SO en el otro disco... o sea...
:rolleyes: :o :rolleyes:
Cita de: Machacador en 12 Septiembre 2021, 16:00 PM
Para eso necesitaría otro disco duro... entonces sería mas sencillo guardar ese disco como esta e instalar el SO en el otro disco... o sea...
Sí... Pero, entiende que depende de las particiones que tenga y del tamaño de las mismas. Lo habitual es que sea la unidad de arranque la que quede cifrada, no el resto, además la partición de arranque suele ser la de menor tamaño.
Luego basta con clonar la partición de arranque. Si retira el disco e instala en otro, tendrá que 'pasar' el resto de particiones a ese nuevo... (que asumo será mucho más trabajo). Si solo tiene una partición, desde luego es más simple guardar este e instalar uno nuevo, pero es de suponer que a la hora de ponerse manos a la obra, se dará cuenta de la equivalencia.
Lo que tengo cifrados son archivos como mis fotos, vídeos y documentos word o de texto, también algunos audio mp3. Nada más.
Cita de: angela.c.z en 12 Septiembre 2021, 17:20 PM
Lo que tengo cifrados son archivos como mis fotos, vídeos y documentos word o de texto, también algunos audio mp3. Nada más.
Pues eso es lo que cifra el ransomware, tus cosas personales e irreemplazables y por eso piden dinero para devolverte el acceso a ellos, aunque la mayoría de las veces el que paga de todas maneras se queda con sus archivos cifrados...
Lo lamento por ti si tenias cosas valiosas allí guardadas... lo mejor es que formatees el disco y reinstales Windows...
Saludos.
:rolleyes: :o :rolleyes:
Hola:
Idea 0:
Las herramientas en el mercado que están publicas para descifrar ransomware o identificarlo es:
https://www.nomoreransom.org/ o inclusive https://www.nomoreransom.org/en/decryption-tools.html
luego
https://id-ransomware.malwarehunterteam.com/
Idea 1:
Si ya validaste esa ruta, pues las sugerencias de backup, restauración u otros suele parecer como lo mas viable
Idea 2:
buscando algun responsable..denuncia y deja en manos de profesionales el seguimiento o historia de como inició todo eso , SI no confías en policía ni medios pues tema forense y vuelta de página e iniciar denuevo con nuevas medidas.
Idea 3:
Dime, si formateas, puedes recuperar información?, si tu respuesta es sí...pues tienes una idea nueva
Idea 4:
Si pagas es una opcion? Nadie de ciberseguridad te dirá que pagues, esto es porque nadie te asegura que realmente te entregarán la llave xD
Entender como funcionan los ransomware (tampoco es opción, cifran tus datos y le colocan una clave, abren puertos en tu dispositivo además para lekear los datos, aún si te regalaran la clave, pueden volver a hacerlo, si ya comprometieron tu equipo.)
Sea cual sea la ideas que te puedan indicar:
Un ransomware una vez ejecutado, no es una buena opción buscar mas ayuda, sino tomar medidas para solucionar y comenzar denuevo, si tienes suerte en descifrar, respalda lo necesario y inicia denuevo considerando las medidas mínimas , creo que ya te han comentado todo lo viable de hacer.
Saludos Cordiales Apuromafo
La verdad que nadie se puso en contacto conmigo para el rescate y pedirme dinero.
Entonces, mi pregunta es: es posible clonar o hacer una copia sólo de los archivos que me interesan? Sin hacer la copia o clonar todo el disco duro.
Cita de: angela.c.z en 12 Septiembre 2021, 22:52 PM
La verdad que nadie se puso en contacto conmigo para el rescate y pedirme dinero.
Entonces, mi pregunta es: es posible clonar o hacer una copia sólo de los archivos que me interesan? Sin hacer la copia o clonar todo el disco duro.
Si puedes guardar tus archivos personales en el dispositivo de almacenamiento que gustes... pero recuerda que es muy probable que estés guardando también el virus y luego puedes contaminar la maquina donde conectes ese dispositivo de almacenamiento... lo recomendable es deshacerse de todo formateando el disco completo, pero eres libre de guardar lo que quieras si tu piensas que podrás salvar tu información...
Suerte.
:rolleyes: :o :rolleyes:
Hola,
Estoy ultimando unas operaciones antes de formatear el ordenador.
Tengo una duda: justo para ver qué ocurriese he bajado unas imágenes y las he guardado en el escritori; estas no se han quedado cifradas. Eso qué significa?
Había leído que este virus después de haber hecho su labor de cifrar tus datos deja de funcionar, será verdad?
Cita de: angela.c.z en 13 Septiembre 2021, 21:22 PM
Hola,
Estoy ultimando unas operaciones antes de formatear el ordenador.
Tengo una duda: justo para ver qué ocurriese he bajado unas imágenes y las he guardado en el escritori; estas no se han quedado cifradas. Eso qué significa?
Había leído que este virus después de haber hecho su labor de cifrar tus datos deja de funcionar, será verdad?
De eso no puedes estar segura... si reinicias y todo sigue normal, de todas maneras tu maquina está infectada y el virus se puede activar en cualquier momento...
Reinstala tu Windows y cuando llegue el momento no le des a instalar de la forma predeterminada, usa la forma experto o personalizada y elimina todas las particiones y luego dale a crear para hacer una instalación limpia...
Saludos.
:rolleyes: :o :rolleyes:
Cita de: angela.c.z en 13 Septiembre 2021, 21:22 PM
Hola,
Estoy ultimando unas operaciones antes de formatear el ordenador.
Tengo una duda: justo para ver qué ocurriese he bajado unas imágenes y las he guardado en el escritori; estas no se han quedado cifradas. Eso qué significa?
Había leído que este virus después de haber hecho su labor de cifrar tus datos deja de funcionar, será verdad?
No hay garantía que no se vuelvan a cifrar tus archivos. Hay instancias en las que el mismo ransomware cifra de nuevo los archivos cifrados.
Lo primero que tienes que hacer es lo que comenta apuromafo CLS, es averiguar el tipo de ransomware:
Sube la nota de rescate y podrás averiguar si es posible descifrarlo o por lo contrario, es imposible.
https://id-ransomware.malwarehunterteam.com/
Empieza por el principio.
Si está bien cifrado, es imposible de recuperar.
No tengo la nota de rescate o te refieres a que puedo usar un archivo cifrado?
Cita de: angela.c.z en 15 Septiembre 2021, 23:58 PM
No tengo la nota de rescate o te refieres a que puedo usar un archivo cifrado?
Si es un ransomware tradicional debería incluir nota de rescate, incluso los que son creados no para infectar empresas, sino usuarios particulares.
CitarAdemás, me he puesto en contacto con unos hackers, pero desconfío...
¿Quiénes y cómo?
¿Tienes alguna copia de seguridad? Lo ideal sería reinstalar windows de 0 y recuperar ficheros original del backup.
¿has probado si funciona la opción de versiones anteriores de Windows? Botón derecho sobre un fichero "cifrado" y ver si existen versiones anteriores.
¿Cuándo se infectó el ordenador? ¿habías abierto algún programa bajado por torrent?
De verdad te estás explicando fatal (a trozos) desde el principio y sería mejor explicar toda la historia desde el principio para poder ser ayudada.
Desde el principio y como si tuviéramos 6 años.
Luego ya nosotros nos encargaremos de movernos como si tuviéramos prisa en nuestros culos inquietos para poder ayudarte.
Cita de: el-brujo en 16 Septiembre 2021, 19:50 PM
Si es un ransomware tradicional debería incluir nota de rescate, incluso los que son creados no para infectar empresas, sino usuarios particulares.
¿Quiénes y cómo?
¿Tienes alguna copia de seguridad? Lo ideal sería reinstalar windows de 0 y recuperar ficheros original del backup.
¿has probado si funciona la opción de versiones anteriores de Windows? Botón derecho sobre un fichero "cifrado" y ver si existen versiones anteriores.
¿Cuándo se infectó el ordenador? ¿habías abierto algún programa bajado por torrent?
De verdad te estás explicando fatal (a trozos) desde el principio y sería mejor explicar toda la historia desde el principio para poder ser ayudada.
Ocurrió todo hace ya tres semanas. Estaba bajando un archivo Rar y supuestamente tenía el virus y eso infectó mi ordenador y al rato tenía los archivos cifrados.
Las demás preguntas (que tú llamas trozos )que os he puesto ha sido porque amablemente me habéis dado unas opciones y debido a estas me habían surgido unas dudas.
A través de YouTube y leyendo unos comentarios he contactado con unos hackers que a pesar que me pedían 50$ para solucionar mi problema he desconfiado.
Luego me he puesto en contacto con una empresa de ciberseguridad española y ni siquiera ellos pudieron ayudarme, directamente me dijeron que no había solución y aconsejaron de hacer una copia de mis archivos cifrados por si en un futuro se encontrase una solución.
He ido al enlace que me pasaste y examiné un archivo cifrado y me dice:
Este ransomware puede ser desencriptable en determinadas circunstancias.
Perdona si tengo fallos gramaticales o si me explico mal, estoy escribiendo desde mi iPad, dado que no he podido formatear mi ordenador porque trabajo todo el día.
CitarEstaba bajando un archivo Rar y supuestamente tenía el virus
¿Abriste algo del contenido fichero RAR? ¿Qué es lo que estabas bajando, un programa, aplicación, crack? Eso ayudaría mucho.
¿Conservas el fichero rar original? Eso de nuevo, ayudaría mucho.
Citarhe contactado con unos hackers que a pesar que me pedían 50$ para solucionar mi problema he desconfiado.
Creo que confundes el término hacker con ciberdelincuente:
Citar
Un hacker es aquella persona que trata de solventar, paliar o informar sobre los problemas de seguridad encontrados en programas, servicios, plataformas o herramientas.
El ciberdelincuente es la persona que buscará sacar beneficio de estos problemas o fallos de seguridad utilizando para ello distintas técnicas como es la ingeniería social o el malware.
https://www.incibe.es/aprendeciberseguridad/hacker-vs-ciberdelincuente
¿Qué nombre tiene los ciberdelncuentes? ¿Cómo contactaste con ellos, vía telegram, e-mail, chat?
CitarLuego me he puesto en contacto con una empresa de ciberseguridad española y ni siquiera ellos pudieron ayudarme, directamente me dijeron que no había solución y aconsejaron de hacer una copia de mis archivos cifrados por si en un futuro se encontrase una solución.
¿Nombre de la empresa de ciberseguridad Española?
De nuevo lo explicas todo a cuenta gotas.
CitarEste ransomware puede ser desencriptable en determinadas circunstancias.
¿Y te aparece el nombre del ransomware?
En serio, obvias las partes más importantes de información.
No sabes que te bajaste, ni dónde te bajaste.
Es muy complicado ayudarte cuando falta mucha información.
Para tu información el ransomware que cifra los ficheros con extensión ORKF es una variante del ransomware
STOPTambién llamado:
- STOP Ransomware
- STOP-Keypass Ransomware
- STOP-Djvu Ransomware
Fuente:
https://support.emsisoft.com/topic/37680-orkf-ransomware/?tab=comments#comment-219691
Cita de: el-brujo en 17 Septiembre 2021, 17:06 PM
¿Abriste algo del contenido fichero RAR? ¿Qué es lo que estabas bajando, un programa, aplicación, crack? Eso ayudaría mucho.
¿Conservas el fichero rar original? Eso de nuevo, ayudaría mucho.
Creo que confundes el término hacker con ciberdelincuente:
https://www.incibe.es/aprendeciberseguridad/hacker-vs-ciberdelincuente
¿Qué nombre tiene los ciberdelncuentes? ¿Cómo contactaste con ellos, vía telegram, e-mail, chat?
¿Nombre de la empresa de ciberseguridad Española?
De nuevo lo explicas todo a cuenta gotas.
¿Y te aparece el nombre del ransomware?
En serio, obvias las partes más importantes de información.
No sabes que te bajaste, ni dónde te bajaste.
Es muy complicado ayudarte cuando falta mucha información.
Para tu información el ransomware que cifra los ficheros con extensión ORKF es una variante del ransomware STOP
También llamado:
- STOP Ransomware
- STOP-Keypass Ransomware
- STOP-Djvu Ransomware
Fuente:
https://support.emsisoft.com/topic/37680-orkf-ransomware/?tab=comments#comment-219691
Si, abrí el file crack.
No tengo el fichero ni la página donde lo bajé.
Los ciberdelincuentes se llaman Jayglotech y contacté con ellos a través de IG.
El nombre de la empresa de ciberseguridad española es Incibe
Si, me aparece es el STOP Djvu, luego me dice de consultar la guía para obtener más información. Identificado por sample_ bytes: [0x14DAA - 0x14DD0] y a continuación se me abre un enlace de Emsisoft.
Vamos, ¡qué te lo estas pasando pipa¡
Datos y más datos para poder ayudarte es lo que se precisa.
Un saludo.
el Inicibe no es una ninguna "empresa" española, es una entidad, organismo del ministerio de España, pero no una empresa, ya que aunque ofrecen servicios, no te cobrarán nada por ellos.
De todas forma esormal que su respuesta fuera escueta o no satisfactoria ya que seguramente NO les ha proporcionado los datos más importantes, como por ejemplo el nombre de ransomware y ellos no son adivinos.
Sobre el INICBE
Citar
El Instituto Nacional de Ciberseguridad de España es una sociedad mercantil estatal y medio propio organizada como sociedad anónima propiedad del Ministerio de Asuntos Económicos y Transformación Digital de España a través de la Secretaría de Estado de Digitalización e Inteligencia Artificial.
CitarSi, me aparece es el STOP Djvu, luego me dice de consultar la guía para obtener más información. Identificado por sample_ bytes: [0x14DAA - 0x14DD0] y a continuación se me abre un enlace de Emsisoft.
Pues el enlace en la página de Emsisoft debe estar todo bien explicado.
Para otro día que te bajes un crack de una página no confiable ya sabes lo que puede ocurrir.