Windows WUT ? Un quacker encripto todo y ahora pide plata ? ( note afectado ) Cryptowall 3.0

Eliezar

mi gato :D
Se incorporó
1 Febrero 2007
Mensajes
4.848
Estimados

Me llego un equipo donde aparentemente todos los archivos esta corruptos. buceando por el sistema de archivos me encuentro con .txt llamado " HELP_DECRYPT"

al leerlo , tiene esto

Código:
What happened to your files ?
All of your files were protected by a strong encryption with RSA-2048 using CryptoWall 3.0.
More information about the encryption keys using RSA-2048 can be found here: http://en.wikipedia.org/wiki/RSA_(cryptosystem)


What does this mean ?
This means that the structure and data within your files have been irrevocably changed, you will not be able to work with them, read them or see them,
it is the same thing as losing them forever, but with our help, you can restore them.


How did this happen ?
Especially for you, on our server was generated the secret key pair RSA-2048 - public and private.
All your files were encrypted with the public key, which has been transferred to your computer via the Internet.
Decrypting of your files is only possible with the help of the private key and decrypt program, which is on our secret server.


What do I do ?
Alas, if you do not take the necessary measures for the specified time then the conditions for obtaining the private key will be changed.
If you really value your data, then we suggest you do not waste valuable time searching for other solutions because they do not exist.


For more specific instructions, please visit your personal home page, there are a few different addresses pointing to your page below:
1.http://ayh2m57ruxjtwyd5.abctopayforwin.com/bN8UQ2
2.http://ayh2m57ruxjtwyd5.bcdthepaywayall.com/bN8UQ2
3.http://ayh2m57ruxjtwyd5.deballmoneypool.com/bN8UQ2
4.http://ayh2m57ruxjtwyd5.armnsoptionpay.com/bN8UQ2

If for some reasons the addresses are not available, follow these steps:
1.Download and install tor-browser: http://www.torproject.org/projects/torbrowser.html.en 
2.After a successful installation, run the browser and wait for initialization.
3.Type in the address bar: ayh2m57ruxjtwyd5.onion/bN8UQ2
4.Follow the instructions on the site.


IMPORTANT INFORMATION:
Your personal page: http://ayh2m57ruxjtwyd5.abctopayforwin.com/bN8UQ2
Your personal page (using TOR): ayh2m57ruxjtwyd5.onion/bN8UQ2
Your personal identification number (if you open the site (or TOR 's) directly): bN8UQ2

Segun eso , los archivos tan encriptados y que seguramente pedira pago en una pagina rancia , alguien le ha pasado esta gracia :xd jajaja
 

NIN

Opteron Fanboy
Se incorporó
5 Septiembre 2005
Mensajes
1.447
el virus encripta el archivo y borra el original, asi que programas de recuperacion de archivos dañados si lo recuperan
Pero a medida que borra uno y genera otro cifrado, se van sobreescribiendo los sectores donde residían los eliminados. El porcentaje de recuperación es absurdamente bajo o altamente corrupta.
 
Upvote 0

Cosme

Gold Member
Se incorporó
27 Febrero 2005
Mensajes
8.281
Pero a medida que borra uno y genera otro cifrado, se van sobreescribiendo los sectores donde residían los eliminados. El porcentaje de recuperación es absurdamente bajo o altamente corrupta.
depende si es un disco mecanico y tiene espacio libre y si desfragmenta o no.

Si es un SSD con trim, bueno, cagaste te manda saludos xD
 
Upvote 0

ayn

MOD
Miembro del Equipo
MOD
Se incorporó
2 Noviembre 2005
Mensajes
5.253
A todo esto bit defender incluye protección contra ramsonware, como? Te avisa si algún programa fuera de la lista blanca te modifica algún archivo cualquiera sea su ubicación. Es un poco molesto al principio, ya que cada programa que abres es una pregunta que levanta el anti mvirus, pero prefiero que sea así.


Enviado desde mi iPhone utilizando Tapatalk
 
Upvote 0

K3rnelpanic

non serviam
Miembro del Equipo
MOD
Se incorporó
1 Octubre 2007
Mensajes
6.065
A todo esto bit defender incluye protección contra ramsonware, como? Te avisa si algún programa fuera de la lista blanca te modifica algún archivo cualquiera sea su ubicación. Es un poco molesto al principio, ya que cada programa que abres es una pregunta que levanta el anti mvirus, pero prefiero que sea así.


Enviado desde mi iPhone utilizando Tapatalk
Que paja. Un UAC que pregunta hasta por si acaso :yao
 
Upvote 0

wurrzag

Ciclista Jipi
Se incorporó
30 Mayo 2006
Mensajes
8.936
En los tiempos de DOS los antivirus podían generar cheksum y luego comparaban la lista, no te cuento la paja que se volvía a veces (cuando actualizabas algo en Windows por ejemplo)
 
Upvote 0

Batou

%安全
Se incorporó
13 Julio 2008
Mensajes
497
A todo esto bit defender incluye protección contra ramsonware, como? Te avisa si algún programa fuera de la lista blanca te modifica algún archivo cualquiera sea su ubicación. Es un poco molesto al principio, ya que cada programa que abres es una pregunta que levanta el anti mvirus, pero prefiero que sea así.


Enviado desde mi iPhone utilizando Tapatalk

No se particularmente de bit defender,,, pero hay un programa de SBD llamado antiransomware que basicamente pone archivos carnada y mantiene un servicio vigilando esos archivos,,, si el servicio detecta un cambio en esos archivos,,, detiene el proceso que hizo lps cambios y te avisa para que apagues el pc y busques ayuda xd
 
Upvote 0

Rudel

Overclockero retirado.
Se incorporó
28 Octubre 2004
Mensajes
8.727
Este asunto de usar encriptación de los datos de la victima, para luego pedir el pago de un rescate, se está haciendo cada vez mas común, a juzgar por articulos recientes aparecidos en la prensa de internet:

Por ejemplo, este es el caso de un hospital que debió detener algunos de sus servicios luego de que su red se infectara con un ransomware que pide un rescate de US$ 17.000. Luego de estar 10 dias sin acceso a los datos de sus pacientes, el Hospital pagó el rescate.

http://arstechnica.com/security/2016/02/hospital-pays-17k-for-ransomware-crypto-key/

Acá hay un segundo caso, de un ransomware que viaja como macro de un documento Word adjunto a un mensaje de correo .. basta abrir el adjunto para infectarse:

http://arstechnica.com/security/201...re-rides-in-on-malicious-word-document-macro/

Al final, la mejor prevención es tener respaldos razonablemente actualizados :)
Saludos,


Rudel
 
Upvote 0

K3rnelpanic

non serviam
Miembro del Equipo
MOD
Se incorporó
1 Octubre 2007
Mensajes
6.065
DIcen los rumores que hay una empresa que administra el sistema informático de una conocida plataforma de transporte público que se infectó en uno de sus fileservers :zippy
 
Upvote 0

Rudel

Overclockero retirado.
Se incorporó
28 Octubre 2004
Mensajes
8.727
DIcen los rumores que hay una empresa que administra el sistema informático de una conocida plataforma de transporte público que se infectó en uno de sus fileservers :zippy

La verdad, no me extraña, esto se esta haciendo cada vez mas común y la infección puede entrar a través de cualquiera de los cientos de usuarios que tiene cualquier empresa grande ... los antivirus protegen hasta cierto punto, pero aun así lo mejor es dedicar tiempo a asegurar una buena metodologia de respaldos.

Otra alternativa es no pasarles PCs a los usuarios, sino que usen clientes delgados accediendo a un Servidor Citrix, donde la concentracion de recursos facilita tanto la protección como el respaldo ... lo unico malo es que cada vez mas empresas prefieren pasar notebooks a sus ejecutivos :(

Salu2,


Rudel
 
Upvote 0

K3rnelpanic

non serviam
Miembro del Equipo
MOD
Se incorporó
1 Octubre 2007
Mensajes
6.065
La verdad, no me extraña, esto se esta haciendo cada vez mas común y la infección puede entrar a través de cualquiera de los cientos de usuarios que tiene cualquier empresa grande ... los antivirus protegen hasta cierto punto, pero aun así lo mejor es dedicar tiempo a asegurar una buena metodologia de respaldos.

Otra alternativa es no pasarles PCs a los usuarios, sino que usen clientes delgados accediendo a un Servidor Citrix, donde la concentracion de recursos facilita tanto la protección como el respaldo ... lo unico malo es que cada vez mas empresas prefieren pasar notebooks a sus ejecutivos :(

Salu2,


Rudel
Dicen las malas lenguas que fué un miembro del depto de seguridad informática de dichosa firma. :yao
 
Upvote 0

EITSAEB

Team Peacemaker Hater
Se incorporó
10 Septiembre 2006
Mensajes
4.656
acà nos mandaron un correo desde España con la media catedra , para al final decir que si se detecta un equipo encriptado, hay que desconectarlo de la de red. :plaf2
 
Upvote 0

Eliezar

mi gato :D
Se incorporó
1 Febrero 2007
Mensajes
4.848
DIcen los rumores que hay una empresa que administra el sistema informático de una conocida plataforma de transporte público que se infectó en uno de sus fileservers :zippy

tienenlos waters con windows server ?

si fuera en plataforma unix/linux me imagino que habria que tener el permiso necesario para encriptar los datos
 
Upvote 0

Phoenix

Hey Kid!
Se incorporó
13 Septiembre 2007
Mensajes
1.043
tienenlos waters con windows server ?

si fuera en plataforma unix/linux me imagino que habria que tener el permiso necesario para encriptar los datos

90% de los servers en chile, especialmente de archivos, funcionan sobre Windows Server, particularmente por su integracion con active directory y sus políticas de acceso por perfil único.
 
Upvote 0

ayn

MOD
Miembro del Equipo
MOD
Se incorporó
2 Noviembre 2005
Mensajes
5.253
yo tengo la protección de bitdefender, como ya lo comente antes, cuando un programa desconocido trata de hacer algun cambio en algun archivo existente simplemente lo bloquea hasta que expresamente lo autorice.

Lo peor fue cuando instale un juego y no me di cuenta del aviso que tiro bitdefender, jugue un buen rato y al guardar me di cuenta que no se habia guardado nada porque el juego trato de modificar el archivo de guardado y bitdefender lo bloqueo......
 
Upvote 0
Subir