Ransomware

Iniciado por angela.c.z, 12 Septiembre 2021, 14:59 PM

0 Miembros y 1 Visitante están viendo este tema.

angela.c.z

Buenas tardes a todos,
Soy nueva aquí y no sé bien donde publicar este post.
Hace unas semanas se me ha metido el virus ransomware en mi portátil cifrando todos mis archivos con la extensión.orkf.
Alguien me puede ayudar o aconsejar si hay alguna manera de solucionar, por lo menos, el tema de recuperar los archivos?
Yo llevo semanas intentándolo y nada, me he puesto en contacto con una empresa de ciberseguridad pero ni ellos, de momento, tienen la solución.
Además, me he puesto en contacto con unos hackers, pero desconfío...
Sé que lo mejor sería guardar los archivos en un disco externo y formatear el laptop, pero me gustaría saber si me podéis ayudar o recomendar otras opciones.

Muchas gracias.

Machacador

Si guardas los archivos en un disco externo, hay altas probabilidades de que infectes la maquina donde lo conectes... tal vez te llegue una solución de alguien por aquí, pero yo creo que debes formatear y reinstalar tu sistema operativo y dar por perdido lo que tienes allí cifrado...

Suerte.

:rolleyes: :o :rolleyes:
"Solo tu perro puede admirarte mas de lo que tu te admiras a ti mismo"

angela.c.z

Por cifrando entiendes lor archivos?

Machacador

Cita de: angela.c.z en 12 Septiembre 2021, 15:23 PM
Por cifrando entiendes lor archivos?

Si... porque están cifrados todos tus archivos... o no???... porque eso es lo que hace un ransomware, cifra los archivos y no se pueden visualizar sin la clave para ello... pero si tus archivos no están cifrados y si los puedes ver, entonces no es tan grave el asunto...

:rolleyes: :o :rolleyes:
"Solo tu perro puede admirarte mas de lo que tu te admiras a ti mismo"

Serapis

Si tienes datos que para tí son de mucho interés, lo que podrías hacer es clonar el disco duro, asi en ese disco manrtienes copia de todo por si en un futuro...
Y luego formateas el disco duro y reinstalas todo... al menos no pierdes tiempo si necesitas usar tu equipo para otras cosas.

Ese otro disco clonado, sería conveniente que montado en algún equipo, o lo montas en solitario o lo montas como esclavo pero sin autoarranque, y solo cuando tengas intención de ver si puedes resolver el cifrado de los ficheros...

El cifrado que tenga presuntamente es dífícil de resolver, porque pudiera ser un cifrado particular, pero sobretodo porque nadie va a invertir el tiempo suficiente en investigarlo 'por nada'...
Si el interesado tiene el conocimiento suficiente y sabiendo cuanto de interés haya en los ficheros cifrados, él mismo decidirá si invertir ese tiempo merece o no el esfuerzo de abordarlo, para el resto suele ser una pérdida de tiempo.

Machacador

Cita de: Serapis en 12 Septiembre 2021, 15:54 PM
Si tienes datos que para tí son de mucho interés, lo que podrías hacer es clonar el disco duro, asi en ese disco manrtienes copia de todo por si en un futuro...
Y luego formateas el disco duro y reinstalas todo... al menos no pierdes tiempo si necesitas usar tu equipo para otras cosas.

Ese otro disco clonado, sería conveniente que montado en algún equipo, o lo montas en solitario o lo montas como esclavo pero sin autoarranque, y solo cuando tengas intención de ver si puedes resolver el cifrado de los ficheros...

El cifrado que tenga presuntamente es dífícil de resolver, porque pudiera ser un cifrado particular, pero sobretodo porque nadie va a invertir el tiempo suficiente en investigarlo 'por nada'...
Si el interesado tiene el conocimiento suficiente y sabiendo cuanto de interés haya en los ficheros cifrados, él mismo decidirá si invertir ese tiempo merece o no el esfuerzo de abordarlo, para el resto suele ser una pérdida de tiempo.

Para eso necesitaría otro disco duro... entonces sería mas sencillo guardar ese disco como esta e instalar el SO en el otro disco... o sea...

:rolleyes: :o :rolleyes:
"Solo tu perro puede admirarte mas de lo que tu te admiras a ti mismo"

Serapis

Cita de: Machacador en 12 Septiembre 2021, 16:00 PM
Para eso necesitaría otro disco duro... entonces sería mas sencillo guardar ese disco como esta e instalar el SO en el otro disco... o sea...
Sí... Pero, entiende que depende de las particiones que tenga y del tamaño de las mismas. Lo habitual es que sea la unidad de arranque la que quede cifrada, no el resto, además la partición de arranque suele ser la de menor tamaño.
Luego basta con clonar la partición de arranque. Si retira el disco e instala en otro, tendrá que 'pasar' el resto de particiones a ese nuevo... (que asumo será mucho más trabajo). Si solo tiene una partición, desde luego es más simple guardar este e instalar uno nuevo, pero es de suponer que a la hora de ponerse manos a la obra, se dará cuenta de la equivalencia.

angela.c.z

Lo que tengo cifrados son archivos como mis fotos, vídeos y documentos word o de texto, también algunos audio mp3. Nada más.

Machacador

Cita de: angela.c.z en 12 Septiembre 2021, 17:20 PM
Lo que tengo cifrados son archivos como mis fotos, vídeos y documentos word o de texto, también algunos audio mp3. Nada más.

Pues eso es lo que cifra el ransomware, tus cosas personales e irreemplazables y por eso piden dinero para devolverte el acceso a ellos, aunque la mayoría de las veces el que paga de todas maneras se queda con sus archivos cifrados...

Lo lamento por ti si tenias cosas valiosas allí guardadas... lo mejor es que formatees el disco y reinstales Windows...

Saludos.

:rolleyes: :o :rolleyes:
"Solo tu perro puede admirarte mas de lo que tu te admiras a ti mismo"

apuromafo CLS

Hola:

Idea 0:
Las herramientas en el mercado que están publicas para descifrar ransomware o identificarlo es:
https://www.nomoreransom.org/  o inclusive  https://www.nomoreransom.org/en/decryption-tools.html
luego
https://id-ransomware.malwarehunterteam.com/

Idea 1:
Si ya validaste esa ruta, pues las sugerencias de backup, restauración u otros suele parecer como lo mas viable

Idea 2:
buscando algun responsable..denuncia y deja en manos de profesionales el seguimiento o historia de como inició todo eso , SI no confías en policía ni medios pues tema forense y vuelta de página e iniciar denuevo con nuevas medidas.


Idea 3:
Dime, si formateas, puedes recuperar información?, si tu respuesta es sí...pues tienes una idea nueva

Idea 4:
Si pagas es una opcion? Nadie de ciberseguridad te dirá que pagues, esto es porque nadie te asegura que realmente te entregarán la llave xD

Entender como funcionan los ransomware (tampoco es opción, cifran tus datos y le colocan una clave, abren puertos en tu dispositivo además para lekear los datos, aún si te regalaran la clave, pueden volver a hacerlo, si ya comprometieron tu equipo.)

Sea cual sea la ideas que te puedan indicar:
Un ransomware una vez ejecutado, no es una buena opción buscar mas ayuda, sino tomar medidas para solucionar y comenzar denuevo, si tienes suerte en descifrar, respalda lo necesario y inicia denuevo considerando las medidas mínimas , creo que ya te han comentado todo lo viable de hacer.


Saludos Cordiales Apuromafo