Autor Tema: CTB Locker, Archivos encriptados.  (Leído 15937 veces)

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado Uchija Itachi

  • Trade Count: (0)
  • The Communiter-
  • *
  • Thank You
  • -Given: 319
  • -Receive: 79
  • Mensajes: 1426
CTB Locker, Archivos encriptados.
« : enero 19, 2015, 02:03:02 pm »
Buenas amigos,

Resulta que el dia de ahora me han llamado para ver una maquina y resulta q tiene este virus/Malware/ransomware el cual ha encriptado gran parte de los archivos(Doc, txt, Jpg,..).

Alguno de ustedes ha tenido una experiencia para solucionar este problema?
"Si la fe es ciega.. La justicia es ciega.. El amor es ciego.. Para que pagar la factura de la luz" - Xhelazz

"La tele me ha culturizado.. Porque cada vez que la encienden en casa, me voy a leer a mi cuarto" - Xhelazz

Desconectado ELITE

  • Trade Count: (0)
  • The Communiter-
  • *
  • Thank You
  • -Given: 0
  • -Receive: 164
  • Mensajes: 5774
  • NEMO ME IMPUNE LACESSIT
Re:CTB Locker, Archivos encriptados.
« Respuesta #1 : enero 19, 2015, 04:15:12 pm »
Talves te sirva :dntknow:

http://www.forospyware.com/t396703.html

Ese ramsomware es uno de los virus mas yuca que hay  x_x

Desconectado salvadoresc

  • Global Moderator
  • Trade Count: (13)
  • The Communiter-
  • *
  • Thank You
  • -Given: 1463
  • -Receive: 779
  • Mensajes: 11649
  • Adobe Certified Expert en ACISEAPRENDE
    • Foro de Diseno - Pixeles al Desnudo
Re:CTB Locker, Archivos encriptados.
« Respuesta #2 : enero 19, 2015, 04:21:55 pm »
observer creo que tuvo ese virus y no pudo solventar, le exigian bitcoins...
Awaken my child, and embrace the glory that is your birthright. Know that I am the Overmind; the eternal will of the Swarm.

haycoctelesamor.com

Desconectado brother

  • Trade Count: (0)
  • Sv Full Member
  • *
  • Thank You
  • -Given: 23
  • -Receive: 13
  • Mensajes: 522
Re:CTB Locker, Archivos encriptados.
« Respuesta #3 : enero 19, 2015, 04:22:31 pm »
y como se contagio la maquina :O

Desconectado ELITE

  • Trade Count: (0)
  • The Communiter-
  • *
  • Thank You
  • -Given: 0
  • -Receive: 164
  • Mensajes: 5774
  • NEMO ME IMPUNE LACESSIT
Re:CTB Locker, Archivos encriptados.
« Respuesta #4 : enero 19, 2015, 04:33:49 pm »
y como se contagio la maquina :O

Eso es raro generalmente esos virus de encriptamiendo son directos, osea yo quiero fregar a alguien y se lo envio para que me pague por "devolver" su informacion.

Seria de ver de donde le vino  :roll:

Desconectado obser7er

  • Trade Count: (17)
  • The Communiter-
  • *
  • Thank You
  • -Given: 424
  • -Receive: 232
  • Mensajes: 4739
  • ferg(at)pcpimpz.com
    • PcPimpz Gamer Store - sucursal SVC
Re:CTB Locker, Archivos encriptados.
« Respuesta #5 : enero 19, 2015, 05:16:26 pm »
Eso es raro generalmente esos virus de encriptamiendo son directos, osea yo quiero fregar a alguien y se lo envio para que me pague por "devolver" su informacion.

Cassette, simplemente llega por descuido del usuario.

Lo único que se puede hacer por el momento es prevenir la perdida de los archivos haciendo respaldos regulares, pues se viene la evolución: Cryptolocker 2.0 y sus posibles variantes.
info: ferg(at)pcpimpz.com
Newegg|TigerDirect|Amazon|Directron|DELL-USATODO NUEVO Y SELLADO - Mandar a traer HW no es más barato pero es lo mejor!

Desconectado Uchija Itachi

  • Trade Count: (0)
  • The Communiter-
  • *
  • Thank You
  • -Given: 319
  • -Receive: 79
  • Mensajes: 1426
Re:CTB Locker, Archivos encriptados.
« Respuesta #6 : enero 19, 2015, 08:08:33 pm »
Pues les comento q trate  de llevar la maquina a un estado de restauracion anterior y neles, lo mismo, osea que doy por perdidos los archivos?


Ningun antivirus me puede prevenir?
"Si la fe es ciega.. La justicia es ciega.. El amor es ciego.. Para que pagar la factura de la luz" - Xhelazz

"La tele me ha culturizado.. Porque cada vez que la encienden en casa, me voy a leer a mi cuarto" - Xhelazz

Desconectado obser7er

  • Trade Count: (17)
  • The Communiter-
  • *
  • Thank You
  • -Given: 424
  • -Receive: 232
  • Mensajes: 4739
  • ferg(at)pcpimpz.com
    • PcPimpz Gamer Store - sucursal SVC
Re:CTB Locker, Archivos encriptados.
« Respuesta #7 : enero 19, 2015, 11:16:11 pm »
Basta un usuario desprevenido o que seas "beta tester" del virus para que pase desapercibido por tu AV, así que no queda otra que respaldar.
info: ferg(at)pcpimpz.com
Newegg|TigerDirect|Amazon|Directron|DELL-USATODO NUEVO Y SELLADO - Mandar a traer HW no es más barato pero es lo mejor!

Desconectado Uchija Itachi

  • Trade Count: (0)
  • The Communiter-
  • *
  • Thank You
  • -Given: 319
  • -Receive: 79
  • Mensajes: 1426
Re:CTB Locker, Archivos encriptados.
« Respuesta #8 : enero 19, 2015, 11:42:49 pm »
Basta un usuario desprevenido o que seas "beta tester" del virus para que pase desapercibido por tu AV, así que no queda otra que respaldar.

Juela, mira y vos pudiste recuperar los archivos?
"Si la fe es ciega.. La justicia es ciega.. El amor es ciego.. Para que pagar la factura de la luz" - Xhelazz

"La tele me ha culturizado.. Porque cada vez que la encienden en casa, me voy a leer a mi cuarto" - Xhelazz

Desconectado kingblue

  • Trade Count: (0)
  • The Communiter-
  • *
  • Thank You
  • -Given: 75
  • -Receive: 113
  • Mensajes: 1165
  • Hoy es un buen día para dormir :)
Re:CTB Locker, Archivos encriptados.
« Respuesta #9 : enero 20, 2015, 05:13:40 am »
Usa un live cd de linux, tal vez asi podas recuperar la info.

لاحظت أن لديك الكثير من الوقت ... أفضل تفعل شيئا مثمرة مع وقتك. هاهاها.

Desconectado Francisco™

  • Trade Count: (5)
  • The Communiter-
  • *
  • Thank You
  • -Given: 87
  • -Receive: 64
  • Mensajes: 1351
  • Bitch you make me hurl...
Re:CTB Locker, Archivos encriptados.
« Respuesta #10 : enero 20, 2015, 07:22:12 am »
Pues les comento q trate  de llevar la maquina a un estado de restauracion anterior y neles, lo mismo, osea que doy por perdidos los archivos?


Ningun antivirus me puede prevenir?


por si no lo has visto, el siguiente link te puede servir: http://www.bleepingcomputer.com/virus-removal/ctb-locker-ransomware-information

Desconectado Uchija Itachi

  • Trade Count: (0)
  • The Communiter-
  • *
  • Thank You
  • -Given: 319
  • -Receive: 79
  • Mensajes: 1426
Re:CTB Locker, Archivos encriptados.
« Respuesta #11 : enero 20, 2015, 08:06:32 am »
Usa un live cd de linux, tal vez asi podas recuperar la info.

Siguen encriptados los archivos  :cry:
"Si la fe es ciega.. La justicia es ciega.. El amor es ciego.. Para que pagar la factura de la luz" - Xhelazz

"La tele me ha culturizado.. Porque cada vez que la encienden en casa, me voy a leer a mi cuarto" - Xhelazz

Desconectado XtremeH

  • Trade Count: (10)
  • The Communiter-
  • *
  • Thank You
  • -Given: 90
  • -Receive: 154
  • Mensajes: 1932
  • We must fight very hard, or die trying...
Re:CTB Locker, Archivos encriptados.
« Respuesta #12 : enero 20, 2015, 08:27:24 am »
Ingresa al equipo afectado (a modo prueba de fallos preferiblemente). Copia y perga este ruta en el explorador de Windows, esta abrirá la carpeta temp directamente %localappdata%\temp  Borra todo lo hay dentro de la carpeta, adjunto imagen, el virus tiene una cara y el nombre es un monto de letras sin sentido o números, en caso de no dejarlos eliminarla ejecutar el administrador de tareas, buscar el nombre del archivo y detenerlo con esto se seria borrar eliminar, reiniciar la maquina y con eso de momento se debería de deterner el encriptado, los archivos ya encriptados no se pueden recuperar. Avisame si te sirvió

Desconectado ELITE

  • Trade Count: (0)
  • The Communiter-
  • *
  • Thank You
  • -Given: 0
  • -Receive: 164
  • Mensajes: 5774
  • NEMO ME IMPUNE LACESSIT
Re:CTB Locker, Archivos encriptados.
« Respuesta #13 : enero 20, 2015, 08:47:26 am »
No es por nada pero ya probaste tooooooodas estas herramientas ??

Ahi mencionan varias de AV y otras  :thumbsup:

Desconectado obser7er

  • Trade Count: (17)
  • The Communiter-
  • *
  • Thank You
  • -Given: 424
  • -Receive: 232
  • Mensajes: 4739
  • ferg(at)pcpimpz.com
    • PcPimpz Gamer Store - sucursal SVC
Re:CTB Locker, Archivos encriptados.
« Respuesta #14 : enero 20, 2015, 09:32:22 am »
El problema no es la infección, eso lo controlas en menos de 30min. Los archivos encriptados salvo que haya quedado una copia del certificado de seguridad que usaron, NO los vas a poder leer nuevamente, hasta que salga alguna solución... ya llevo más de 1 año esperando.
info: ferg(at)pcpimpz.com
Newegg|TigerDirect|Amazon|Directron|DELL-USATODO NUEVO Y SELLADO - Mandar a traer HW no es más barato pero es lo mejor!

Desconectado Uchija Itachi

  • Trade Count: (0)
  • The Communiter-
  • *
  • Thank You
  • -Given: 319
  • -Receive: 79
  • Mensajes: 1426
Re:CTB Locker, Archivos encriptados.
« Respuesta #15 : enero 20, 2015, 09:41:21 am »
Ingresa al equipo afectado (a modo prueba de fallos preferiblemente). Copia y perga este ruta en el explorador de Windows, esta abrirá la carpeta temp directamente %localappdata%\temp  Borra todo lo hay dentro de la carpeta, adjunto imagen, el virus tiene una cara y el nombre es un monto de letras sin sentido o números, en caso de no dejarlos eliminarla ejecutar el administrador de tareas, buscar el nombre del archivo y detenerlo con esto se seria borrar eliminar, reiniciar la maquina y con eso de momento se debería de deterner el encriptado, los archivos ya encriptados no se pueden recuperar. Avisame si te sirvió

Gracias viejo, pero eso fue lo primero q hice, se supone q el encriptado ya se detuvo pero los archivos q ya fueron encriptados no puedo hacer nada.



No es por nada pero ya probaste tooooooodas estas herramientas ??

Ahi mencionan varias de AV y otras  :thumbsup:



No se si ya las probe todas pero eliminar el virus no es el problema, fue lo primero q hice., pero ninguna de las que he usado me ha dado resultado.


El problema no es la infección, eso lo controlas en menos de 30min. Los archivos encriptados salvo que haya quedado una copia del certificado de seguridad que usaron, NO los vas a poder leer nuevamente, hasta que salga alguna solución... ya llevo más de 1 año esperando.

Puya que regada.



Para terminar de fregar el OS es el XP, en el 7 tiene por lo menos cada archivo una opcion para ver si podes regresar el archivo a su estado anterior.

« Última Modificación: enero 20, 2015, 09:45:18 am por Uchija Itachi »
"Si la fe es ciega.. La justicia es ciega.. El amor es ciego.. Para que pagar la factura de la luz" - Xhelazz

"La tele me ha culturizado.. Porque cada vez que la encienden en casa, me voy a leer a mi cuarto" - Xhelazz

Desconectado Jonhyrey

  • Trade Count: (0)
  • Sv Full Member
  • *
  • Thank You
  • -Given: 32
  • -Receive: 11
  • Mensajes: 550
Re:CTB Locker, Archivos encriptados.
« Respuesta #16 : enero 20, 2015, 10:39:48 am »
Ahi hablan de que el programa te elimina el archivo Original y coloca el archivo que encripto.

Ya probaste la recuperación de archivos Eliminados?



Desconectado Uchija Itachi

  • Trade Count: (0)
  • The Communiter-
  • *
  • Thank You
  • -Given: 319
  • -Receive: 79
  • Mensajes: 1426
Re:CTB Locker, Archivos encriptados.
« Respuesta #17 : enero 20, 2015, 10:54:58 am »
Ahi hablan de que el programa te elimina el archivo Original y coloca el archivo que encripto.

Ya probaste la recuperación de archivos Eliminados?

Ahorita voy a probar, ya a este punto, voy a probar todo.
"Si la fe es ciega.. La justicia es ciega.. El amor es ciego.. Para que pagar la factura de la luz" - Xhelazz

"La tele me ha culturizado.. Porque cada vez que la encienden en casa, me voy a leer a mi cuarto" - Xhelazz

Desconectado mxgxw

  • Global Moderator
  • Trade Count: (1)
  • The Communiter-
  • *
  • Thank You
  • -Given: 27
  • -Receive: 652
  • Mensajes: 5660
  • Starlet - 999cc
    • mxgxw
Re:CTB Locker, Archivos encriptados.
« Respuesta #18 : enero 20, 2015, 12:38:00 pm »
Gracias viejo, pero eso fue lo primero q hice, se supone q el encriptado ya se detuvo pero los archivos q ya fueron encriptados no puedo hacer nada.




No se si ya las probe todas pero eliminar el virus no es el problema, fue lo primero q hice., pero ninguna de las que he usado me ha dado resultado.


Puya que regada.



Para terminar de fregar el OS es el XP, en el 7 tiene por lo menos cada archivo una opcion para ver si podes regresar el archivo a su estado anterior.




Pues mirá. En resumen: Estás jodido.

El ransomware ese lo que hace es que cifra (una parte) del archivo normalmente el header y deja el resto del archivo intacto. Si eliminaste el virus pues desde ahí la regaste porque si había alguna posiblidad de encontrar la llave de cifrado podría estar en el ejecutable y/o la memoria del ejecutable. Aunque si utiliza cifrado fuerte haciendo uso de la llave pública del extorsionador no sería posible recuperar el contenido (solo quien tenga la llave privada podría descifrarlo).

Ahora.... no todo está necesariamente perdido.

Si tenes habilitado el shadow copy en windows podés intentar recuperar versiones anteriores del archivo cifrado. Si no la unica que te queda es utilizar alguna herramienta de recuperación de archivos como recuva o photorec para intentar recuperar documentos.

Aquí en la oficina nos pasó igual con una máquina. Tuvimos que dar los archivos como perdidos encontramos una herramienta que intentaba extraer la llave si contabas con una copia cifrada y una sin cifrar pero al parecer el que nos atacó utilizaba cifrado asimétrico con llave pública y no fué posible desencriptarlos.


Desconectado Uchija Itachi

  • Trade Count: (0)
  • The Communiter-
  • *
  • Thank You
  • -Given: 319
  • -Receive: 79
  • Mensajes: 1426
Re:CTB Locker, Archivos encriptados.
« Respuesta #19 : enero 20, 2015, 01:19:10 pm »

Pues mirá. En resumen: Estás jodido.

El ransomware ese lo que hace es que cifra (una parte) del archivo normalmente el header y deja el resto del archivo intacto. Si eliminaste el virus pues desde ahí la regaste porque si había alguna posiblidad de encontrar la llave de cifrado podría estar en el ejecutable y/o la memoria del ejecutable. Aunque si utiliza cifrado fuerte haciendo uso de la llave pública del extorsionador no sería posible recuperar el contenido (solo quien tenga la llave privada podría descifrarlo).

Ahora.... no todo está necesariamente perdido.

Si tenes habilitado el shadow copy en windows podés intentar recuperar versiones anteriores del archivo cifrado. Si no la unica que te queda es utilizar alguna herramienta de recuperación de archivos como recuva o photorec para intentar recuperar documentos.

Aquí en la oficina nos pasó igual con una máquina. Tuvimos que dar los archivos como perdidos encontramos una herramienta que intentaba extraer la llave si contabas con una copia cifrada y una sin cifrar pero al parecer el que nos atacó utilizaba cifrado asimétrico con llave pública y no fué posible desencriptarlos.


Si eso estaba viendo, guarde la llave publica por cualquier cosa, ahorita estoy pasando el Recuve para ver que puedo encontrar.
"Si la fe es ciega.. La justicia es ciega.. El amor es ciego.. Para que pagar la factura de la luz" - Xhelazz

"La tele me ha culturizado.. Porque cada vez que la encienden en casa, me voy a leer a mi cuarto" - Xhelazz

Desconectado ELITE

  • Trade Count: (0)
  • The Communiter-
  • *
  • Thank You
  • -Given: 0
  • -Receive: 164
  • Mensajes: 5774
  • NEMO ME IMPUNE LACESSIT
Re:CTB Locker, Archivos encriptados.
« Respuesta #20 : enero 20, 2015, 01:25:36 pm »
Y cuanto pedian por devolver los archivos ??

Desconectado Uchija Itachi

  • Trade Count: (0)
  • The Communiter-
  • *
  • Thank You
  • -Given: 319
  • -Receive: 79
  • Mensajes: 1426
Re:CTB Locker, Archivos encriptados.
« Respuesta #21 : enero 20, 2015, 01:58:43 pm »
Bueno ya pase el recuva me alegre al ver q encontro varios archivos como eliminados, los recupere y siempre encriptados :(
"Si la fe es ciega.. La justicia es ciega.. El amor es ciego.. Para que pagar la factura de la luz" - Xhelazz

"La tele me ha culturizado.. Porque cada vez que la encienden en casa, me voy a leer a mi cuarto" - Xhelazz

Desconectado ~

  • Trade Count: (0)
  • The Communiter-
  • *
  • Thank You
  • -Given: 0
  • -Receive: 156
  • Mensajes: 1412
    • Ciencia de Computación, OSes y Herramientas
Re:CTB Locker, Archivos encriptados.
« Respuesta #22 : enero 20, 2015, 02:00:35 pm »
Se supone que piden alrededor de $120 en Bitcoins a través de Tor, y no se pueden tardar más de 96 horas, o la clave privada se pierde en el servidor remoto. Al usuario solo le deja una clave pública.

Como sabemos un encriptado robusto de clave pública/privada como este no se puede descifrar sin tener ambas claves originales.

El programa deja desencriptar hasta 5 archivos al azar, lo que significa que posiblemente hay alguna clave privada que el programa usa para eso, pero nadie ha podido recuperar o interceptar una, y que es única para cada máquina.

Alterar la infección hace que recuperar los archivos se vuelva imposible. Para alguien que tenga los recursos sería bueno tratar de seguir las instrucciones para ver si es posible recuperar los archivos realmente y si pueden determinar cómo se calculan las claves, pero eso puede depender de cosas tan aleatorias e irrepetibles como el estado de la memoria en el momento de la primera infección, además de los algoritmos avanzados de encriptación.

En otras palabras, las únicas soluciones por ahora son mejorar la seguridad del sistema operativo (no correr en modo administrador), tener respaldos de solo lectura (DVD, discos desconectados de la máquina afectada) o arriesgarse grandemente a pagar antes de 72 o 96 horas.

Dentro de ese riesgo uno siempre podría encontrar que solo los 5 archivos "al azar" eran desencriptables y que el resto estaban realmente sobreescritos corrompidos permanentemente y que no existe ninguna clave pública o privada:

http://www.bleepingcomputer.com/virus-removal/ctb-locker-ransomware-information

« Última Modificación: enero 20, 2015, 02:08:17 pm por ~ »
Mi sitio web:
---- IP para archivo hosts (todos mis subdominios):
190.150.9.244 archefire.org

Desconectado Uchija Itachi

  • Trade Count: (0)
  • The Communiter-
  • *
  • Thank You
  • -Given: 319
  • -Receive: 79
  • Mensajes: 1426
Re:CTB Locker, Archivos encriptados.
« Respuesta #23 : enero 21, 2015, 10:14:51 am »
Se supone que piden alrededor de $120 en Bitcoins a través de Tor, y no se pueden tardar más de 96 horas, o la clave privada se pierde en el servidor remoto. Al usuario solo le deja una clave pública.

Como sabemos un encriptado robusto de clave pública/privada como este no se puede descifrar sin tener ambas claves originales.

El programa deja desencriptar hasta 5 archivos al azar, lo que significa que posiblemente hay alguna clave privada que el programa usa para eso, pero nadie ha podido recuperar o interceptar una, y que es única para cada máquina.

Alterar la infección hace que recuperar los archivos se vuelva imposible. Para alguien que tenga los recursos sería bueno tratar de seguir las instrucciones para ver si es posible recuperar los archivos realmente y si pueden determinar cómo se calculan las claves, pero eso puede depender de cosas tan aleatorias e irrepetibles como el estado de la memoria en el momento de la primera infección, además de los algoritmos avanzados de encriptación.

En otras palabras, las únicas soluciones por ahora son mejorar la seguridad del sistema operativo (no correr en modo administrador), tener respaldos de solo lectura (DVD, discos desconectados de la máquina afectada) o arriesgarse grandemente a pagar antes de 72 o 96 horas.

Dentro de ese riesgo uno siempre podría encontrar que solo los 5 archivos "al azar" eran desencriptables y que el resto estaban realmente sobreescritos corrompidos permanentemente y que no existe ninguna clave pública o privada:

http://www.bleepingcomputer.com/virus-removal/ctb-locker-ransomware-information

$120 creo q es una suma aceptable a comparación de lo q me piden


 
"Si la fe es ciega.. La justicia es ciega.. El amor es ciego.. Para que pagar la factura de la luz" - Xhelazz

"La tele me ha culturizado.. Porque cada vez que la encienden en casa, me voy a leer a mi cuarto" - Xhelazz

Desconectado ernestoelunico

  • Trade Count: (0)
  • The Communiter-
  • *
  • Thank You
  • -Given: 13
  • -Receive: 75
  • Mensajes: 3060
  • Laa shay'a waqi'un Mutlaq bala kul'un mumkin
    • Cositas E-shop
Re:CTB Locker, Archivos encriptados.
« Respuesta #24 : enero 21, 2015, 03:52:15 pm »
pero vengo y pregunto es la primera vez que veo una infeccion de este tipo tuve la oportunidad hace meses me mandaron archivos encriptados me imagino que por esto era pero no quice preguntar porque no me quice meter de lleno a esto.


Estos ataques intensionales van con dedicatoria a la empresa o individuo en particular y como se empieza a ver la infección

Desconectado salvadoresc

  • Global Moderator
  • Trade Count: (13)
  • The Communiter-
  • *
  • Thank You
  • -Given: 1463
  • -Receive: 779
  • Mensajes: 11649
  • Adobe Certified Expert en ACISEAPRENDE
    • Foro de Diseno - Pixeles al Desnudo
Re:CTB Locker, Archivos encriptados.
« Respuesta #25 : enero 21, 2015, 03:57:40 pm »
no necesariamente van dedicados, un usuario se pudo meter a una pagina infectada o descargo algo, y lo instalo el mismo...
Awaken my child, and embrace the glory that is your birthright. Know that I am the Overmind; the eternal will of the Swarm.

haycoctelesamor.com

Desconectado tekun

  • -^- Elite Silver -^-
  • Trade Count: (1)
  • The Communiter-
  • *
  • Thank You
  • -Given: 53
  • -Receive: 101
  • Mensajes: 3205
  • Han convertido mi casa en cueva de mercaderes!!!!
    • www.tekun.es
Re:CTB Locker, Archivos encriptados.
« Respuesta #26 : enero 21, 2015, 05:37:33 pm »
ha habido un repunte de este tipo de infecciones, porque conozco dos cheros que han tenido ese problema en esta semana... tan llorando :(
lo difícil lo hago rápido, con lo imposible, casi siempre me tardo un poquito

Desconectado brother

  • Trade Count: (0)
  • Sv Full Member
  • *
  • Thank You
  • -Given: 23
  • -Receive: 13
  • Mensajes: 522
Re:CTB Locker, Archivos encriptados.
« Respuesta #27 : enero 21, 2015, 05:43:41 pm »
pero vengo y pregunto es la primera vez que veo una infeccion de este tipo tuve la oportunidad hace meses me mandaron archivos encriptados me imagino que por esto era pero no quice preguntar porque no me quice meter de lleno a esto.


Estos ataques intensionales van con dedicatoria a la empresa o individuo en particular y como se empieza a ver la infección

asi es y si lo instalaron que fue :O como dicen un repunte hay que estar alertas S: cosa seria eso

Desconectado ernestoelunico

  • Trade Count: (0)
  • The Communiter-
  • *
  • Thank You
  • -Given: 13
  • -Receive: 75
  • Mensajes: 3060
  • Laa shay'a waqi'un Mutlaq bala kul'un mumkin
    • Cositas E-shop
Re:CTB Locker, Archivos encriptados.
« Respuesta #28 : enero 21, 2015, 07:45:59 pm »
asi es y si lo instalaron que fue :O como dicen un repunte hay que estar alertas S: cosa seria eso

si pero a donde entraron por donde se infectaron, sera que estas personas que trabajan y ahi en lugar de trabajo los despidan por este tipo de infeccion

Desconectado mxgxw

  • Global Moderator
  • Trade Count: (1)
  • The Communiter-
  • *
  • Thank You
  • -Given: 27
  • -Receive: 652
  • Mensajes: 5660
  • Starlet - 999cc
    • mxgxw
Re:CTB Locker, Archivos encriptados.
« Respuesta #29 : enero 21, 2015, 08:02:49 pm »
si pero a donde entraron por donde se infectaron, sera que estas personas que trabajan y ahi en lugar de trabajo los despidan por este tipo de infeccion

Pues en nuestro caso la persona de la maquina infectada lo unico es que accedía páginas de música online. Si hay algun 0-day exploit con flash (que no sería el primero) y alguna de las páginas tenía algun flash malicioso ese podría haber sido el vector de entrada, porque no encontramos que estuviera haciendo nada particularmente diferente a su trabajo normal.

La otra razón es que el antivirus no estaba actualizado. Yo traté de infectar una máquina virtual con el ejecutable que encontramos que cifró el archivo pero siempre fallaba al ejecutarse, supongo que ha de depender de algúna vulnerabilidad de algun update o de algún programa o bliblioteca de terceros que tiene algún tipo de vulnerabilidad porque por más que traté no logré nisiquiera que se ejecutara el virus en la virtual.

Lo que si logré identificar es que el ransomware iba sobre un caballo de troya los otros antivirus lo detectan como malware-generico y no lo dejan funcionar, me imagino que hecho con alguna herramienta para construir ese tipo de ejecutables.


Desconectado ernestoelunico

  • Trade Count: (0)
  • The Communiter-
  • *
  • Thank You
  • -Given: 13
  • -Receive: 75
  • Mensajes: 3060
  • Laa shay'a waqi'un Mutlaq bala kul'un mumkin
    • Cositas E-shop
Re:CTB Locker, Archivos encriptados.
« Respuesta #30 : enero 21, 2015, 08:17:00 pm »
Pues en nuestro caso la persona de la maquina infectada lo unico es que accedía páginas de música online. Si hay algun 0-day exploit con flash (que no sería el primero) y alguna de las páginas tenía algun flash malicioso ese podría haber sido el vector de entrada, porque no encontramos que estuviera haciendo nada particularmente diferente a su trabajo normal.

La otra razón es que el antivirus no estaba actualizado. Yo traté de infectar una máquina virtual con el ejecutable que encontramos que cifró el archivo pero siempre fallaba al ejecutarse, supongo que ha de depender de algúna vulnerabilidad de algun update o de algún programa o bliblioteca de terceros que tiene algún tipo de vulnerabilidad porque por más que traté no logré nisiquiera que se ejecutara el virus en la virtual.

Lo que si logré identificar es que el ransomware iba sobre un caballo de troya los otros antivirus lo detectan como malware-generico y no lo dejan funcionar, me imagino que hecho con alguna herramienta para construir ese tipo de ejecutables.

si me llama la atencion estos detalles porque si se ve interesante jugar en la virtual con este tipo de virus pero raro la ejecucion quizas lo que podria hacer es clonar un pc y montarla en una vitual para ver como va que sea igual a la infectado o lo mas parecidad cai en las oficnas todas andan igual y casi en todas las empresas no hay antivirus actulizados

Desconectado brother

  • Trade Count: (0)
  • Sv Full Member
  • *
  • Thank You
  • -Given: 23
  • -Receive: 13
  • Mensajes: 522
Re:CTB Locker, Archivos encriptados.
« Respuesta #31 : enero 21, 2015, 09:43:22 pm »
Pues en nuestro caso la persona de la maquina infectada lo unico es que accedía páginas de música online. Si hay algun 0-day exploit con flash (que no sería el primero) y alguna de las páginas tenía algun flash malicioso ese podría haber sido el vector de entrada, porque no encontramos que estuviera haciendo nada particularmente diferente a su trabajo normal.

La otra razón es que el antivirus no estaba actualizado. Yo traté de infectar una máquina virtual con el ejecutable que encontramos que cifró el archivo pero siempre fallaba al ejecutarse, supongo que ha de depender de algúna vulnerabilidad de algun update o de algún programa o bliblioteca de terceros que tiene algún tipo de vulnerabilidad porque por más que traté no logré nisiquiera que se ejecutara el virus en la virtual.

Lo que si logré identificar es que el ransomware iba sobre un caballo de troya los otros antivirus lo detectan como malware-generico y no lo dejan funcionar, me imagino que hecho con alguna herramienta para construir ese tipo de ejecutables.

si seguro el ejecutable ese no funciono en la otra por q faltaba el programa que lo instalo y no encontraba algo  :sad:

Desconectado ~

  • Trade Count: (0)
  • The Communiter-
  • *
  • Thank You
  • -Given: 0
  • -Receive: 156
  • Mensajes: 1412
    • Ciencia de Computación, OSes y Herramientas
Re:CTB Locker, Archivos encriptados.
« Respuesta #32 : enero 21, 2015, 10:23:28 pm »
Sería bueno tener aquí una copia del binario/ejecutable para ver si está comprimido (con UPX, etc.), y si se podría extraer cadenas, iconos, diálogos u otros recursos y saber si es realmente el ejecutable que se busca. También podría ser algún problema de configuración de comunicación y configuración para alcanzar el servidor remoto por TOR.

Puede que no corra por falta de una clave pública que corresponda con ese binario, o que falten otros recursos.

Lo malo es que no es de ayuda para quienes han perdido los archivos y sin la opción de pagar con la seguridad de que recuperen algo, si no se logra interceptar la clave privada al momento de generarse, y después entender cómo funciona la encriptación de curva elíptica, y la implementación, que es el tipo de encriptación que se supone que usa este virus.
Mi sitio web:
---- IP para archivo hosts (todos mis subdominios):
190.150.9.244 archefire.org

Desconectado dharzacs

  • Trade Count: (0)
  • Sv Jr.
  • **
  • Thank You
  • -Given: 0
  • -Receive: 0
  • Mensajes: 88
Re:CTB Locker, Archivos encriptados.
« Respuesta #33 : enero 23, 2015, 08:22:00 pm »
Sumandome a las dudas anteriores, si ya se detuvo el proceso de encriptacion, puede seguir propagandose a otras pc's??, y de ser asi podria ser via uSB o a traves de carpetas compartidas en red o por adjuntos en correos, será necesario formatear el disco por seguridad?????

Desconectado ~

  • Trade Count: (0)
  • The Communiter-
  • *
  • Thank You
  • -Given: 0
  • -Receive: 156
  • Mensajes: 1412
    • Ciencia de Computación, OSes y Herramientas
Re:CTB Locker, Archivos encriptados.
« Respuesta #34 : enero 25, 2015, 09:48:44 pm »
Sumandome a las dudas anteriores, si ya se detuvo el proceso de encriptacion, puede seguir propagandose a otras pc's??, y de ser asi podria ser via uSB o a traves de carpetas compartidas en red o por adjuntos en correos, será necesario formatear el disco por seguridad?????
En un caso tan peligroso como este, siempre sería mejor sacar todos los datos que se puedan salvar con el disco como esclavo en otra máquina y de ser posible desde Linux (aunque con Wine ahora hay ya muchos programas de Windows que pueden correr como si fueran nativos de Linux).

Y al final de todo el proceso, es mejor formatear. Hasta daños menores o un bajo rendimiento en correr programas requiere un formateo en casi todos los casos (Windows es muy cerrado y complejo como para determinar todos los problemas y daños que pueden darse y saber cómo resolverlos del todo).
« Última Modificación: enero 26, 2015, 10:15:19 am por ~ »
Mi sitio web:
---- IP para archivo hosts (todos mis subdominios):
190.150.9.244 archefire.org

Desconectado obser7er

  • Trade Count: (17)
  • The Communiter-
  • *
  • Thank You
  • -Given: 424
  • -Receive: 232
  • Mensajes: 4739
  • ferg(at)pcpimpz.com
    • PcPimpz Gamer Store - sucursal SVC
Re:CTB Locker, Archivos encriptados.
« Respuesta #35 : enero 25, 2015, 10:04:27 pm »
Es momento de actualizar el 'Flash player', para qué esperar:
http://helpx.adobe.com/security/products/flash-player/apsa15-01.html

Citar
Adobe Security Bulletin
Security Advisory for Adobe Flash Player
Release date: January 22, 2015

Last updated: January 24, 2015

Vulnerability identifier: APSA15-01

CVE number: CVE-2015-0311

Platform: All Platforms

Summary
A critical vulnerability (CVE-2015-0311) exists in Adobe Flash Player 16.0.0.287 and earlier versions for Windows and Macintosh.  Successful exploitation could cause a crash and potentially allow an attacker to take control of the affected system.  We are aware of reports that this vulnerability is being actively exploited in the wild via drive-by-download attacks against systems running Internet Explorer and Firefox on Windows 8.1 and below.

UPDATE (January 24): Users who have enabled auto-update for the Flash Player desktop runtime will be receiving version 16.0.0.296 beginning on January 24. This version includes a fix for CVE-2015-0311. Adobe expects to have an update available for manual download during the week of January 26, and we are working with our distribution partners to make the update available in Google Chrome and Internet Explorer 10 and 11. For more information on updating Flash Player please refer to this post. 

Affected software versions
Adobe Flash Player 16.0.0.287 and earlier versions for Windows and Macintosh
Adobe Flash Player 13.0.0.262 and earlier 13.x versions
Adobe Flash Player 11.2.202.438 and earlier versions for Linux
To verify the version of Adobe Flash Player installed on your system, access the About Flash Player page, or right-click on content running in Flash Player and select "About Adobe (or Macromedia) Flash Player" from the menu. If you use multiple browsers, perform the check for each browser you have installed on your system.

Severity ratings
Adobe categorizes this as a critical vulnerability.
Revisions
January 24, 2015: Updated to include Flash Player version delivered via auto-update.   

January 24, 2015: Updated to reflect reports that Windows 8.1 is also affected by CVE-2015-0311.
info: ferg(at)pcpimpz.com
Newegg|TigerDirect|Amazon|Directron|DELL-USATODO NUEVO Y SELLADO - Mandar a traer HW no es más barato pero es lo mejor!

Desconectado Vajin

  • Trade Count: (0)
  • The newbie
  • *
  • Thank You
  • -Given: 0
  • -Receive: 0
  • Mensajes: 1
Re:CTB Locker, Archivos encriptados.
« Respuesta #36 : enero 29, 2015, 02:38:38 am »

Desconectado eroslive

  • Trade Count: (4)
  • The Communiter-
  • *
  • Thank You
  • -Given: 181
  • -Receive: 56
  • Mensajes: 2852
Re:CTB Locker, Archivos encriptados.
« Respuesta #37 : enero 29, 2015, 06:27:55 am »
Les informations les plus utiles sur CTB-locker - http://www.bleepingcomputer.com/virus-removal/ctb-locker-ransomware-information
pas utiles - http://soft2secure.com/knowledgebase/ctb-locker
De los expertos del foro quien puede comprobar esto? me da curiosas que quien hizo el comentario parece que se registro solo para publicar esto

Desconectado erodri

  • Trade Count: (0)
  • Sv Member
  • ***
  • Thank You
  • -Given: 15
  • -Receive: 13
  • Mensajes: 253
Re:CTB Locker, Archivos encriptados.
« Respuesta #38 : enero 29, 2015, 07:31:32 am »
Justo ayer tuvimos problemas con este Cryptolocker es un virus secuestrador que infecta Windows XP, Vista, 7 y 8. Se disfraza a sí mismo como un archivo adjunto de tipo ZIP o PDF, aunque también se transmite por control remoto si un PC ha sido infectado previamente por un troyano de tipo “botnet”, que deja abierta la puerta para control remoto e infecciones externas.

Y use las herramientas señaladas en este link para Eliminar y recuperar los archivos encriptados, les comento que se rescataron con una fecha anterior respaldada por el Mismo Sistema Operativo

http://articulos.softonic.com/como-derrotar-a-cryptolocker-el-virus-que-secuestra-tus-documentos

Ayer solo lo logre resolver en una pc, ahora trabajare en la otra, ya que fueron dos usuarios descuidados que abrieron correos de desconocidos con archivos adjuntos.


http://www.bleepingcomputer.com/virus-removal/ctb-locker-ransomware-information   <---- De este link las herramientas otulizadas fueron cryptoprevent, shadow Explorer

tambien utilice Combofix que tambien se descarga de Bleeping Computer, Utilize el malwarebyte tambien

y la info es casi igual al link de arriba  :thumbsup:



 

Follow members gave a thank to your post:
« Última Modificación: enero 29, 2015, 07:36:24 am por erodri »

Desconectado ELITE

  • Trade Count: (0)
  • The Communiter-
  • *
  • Thank You
  • -Given: 0
  • -Receive: 164
  • Mensajes: 5774
  • NEMO ME IMPUNE LACESSIT
Re:CTB Locker, Archivos encriptados.
« Respuesta #39 : enero 29, 2015, 08:14:04 am »
Justo ayer tuvimos problemas con este Cryptolocker es un virus secuestrador que infecta Windows XP, Vista, 7 y 8. Se disfraza a sí mismo como un archivo adjunto de tipo ZIP o PDF, aunque también se transmite por control remoto si un PC ha sido infectado previamente por un troyano de tipo “botnet”, que deja abierta la puerta para control remoto e infecciones externas.

Y use las herramientas señaladas en este link para Eliminar y recuperar los archivos encriptados, les comento que se rescataron con una fecha anterior respaldada por el Mismo Sistema Operativo

http://articulos.softonic.com/como-derrotar-a-cryptolocker-el-virus-que-secuestra-tus-documentos

Ayer solo lo logre resolver en una pc, ahora trabajare en la otra, ya que fueron dos usuarios descuidados que abrieron correos de desconocidos con archivos adjuntos.


http://www.bleepingcomputer.com/virus-removal/ctb-locker-ransomware-information   <---- De este link las herramientas otulizadas fueron cryptoprevent, shadow Explorer

tambien utilice Combofix que tambien se descarga de Bleeping Computer, Utilize el malwarebyte tambien

y la info es casi igual al link de arriba  :thumbsup:


Que el OP pruebe y nos cuente  :shock:

Desconectado karlmessy

  • Trade Count: (0)
  • The newbie
  • *
  • Thank You
  • -Given: 0
  • -Receive: 0
  • Mensajes: 2
Re:CTB Locker, Archivos encriptados.
« Respuesta #40 : marzo 28, 2016, 02:22:50 am »
¿Está su equipo se infecta con el virus peligroso tales como CTB Locker entonces, hay que ir rápido para su solución de extracción .....

Para obtener más información, visite este varillaje- http://desinstalar.uninstallvirusmalware.com/recovertgdxr-pnghtmltxt-rsa4096-herramienta-de-eliminacion-de-desinstalar-recovertgdxr-pnghtmltxt-rsa4096

Desconectado tekun

  • -^- Elite Silver -^-
  • Trade Count: (1)
  • The Communiter-
  • *
  • Thank You
  • -Given: 53
  • -Receive: 101
  • Mensajes: 3205
  • Han convertido mi casa en cueva de mercaderes!!!!
    • www.tekun.es
Re:CTB Locker, Archivos encriptados.
« Respuesta #41 : marzo 28, 2016, 10:58:11 am »
AAAAhhhh los bots, siempre estarán con nosotros
lo difícil lo hago rápido, con lo imposible, casi siempre me tardo un poquito

Desconectado syrawilliams

  • Trade Count: (0)
  • The newbie
  • *
  • Thank You
  • -Given: 0
  • -Receive: 0
  • Mensajes: 1
Re:CTB Locker, Archivos encriptados.
« Respuesta #42 : marzo 29, 2016, 01:14:29 am »
Si usted está teniendo dificultad para eliminar CryptoLocker 2015 por completo del sistema entonces no hay necesidad de pánico. Hace unos días, también se enfrentó a la misma situación, pero me dieron la mejor solución en una página web. También puede seguir las instrucciones si desea evitar que su sistema de problemas no deseados de futuro.

Más información: http://eliminar.removemalwarevirus.com/guia-rapida-para-remocion-cryptolocker-2015

Desconectado karlmessy

  • Trade Count: (0)
  • The newbie
  • *
  • Thank You
  • -Given: 0
  • -Receive: 0
  • Mensajes: 2
CTB Locker, Archivos encriptados.
« Respuesta #43 : marzo 29, 2016, 02:05:57 am »
if you want to delete this type of threat easily and successfully from your infected PC then, you should visit this url- http://www.keepkingsportbeautiful.org/como-quitar-petya-ransomware-como-desinstalar-petya-ransomware


Desconectado Aguilera

  • Trade Count: (0)
  • The newbie
  • *
  • Thank You
  • -Given: 0
  • -Receive: 0
  • Mensajes: 2
Re:CTB Locker, Archivos encriptados.
« Respuesta #44 : marzo 03, 2017, 07:24:09 am »