Cryptowal, malware, ayuda

Cerrado
nico_tate07 Mensajes enviados 11 Fecha de inscripción sábado, 17 de mayo de 2014 Estatus Miembro Última intervención lunes, 19 de mayo de 2014 - 17 may 2014 a las 01:15
lacobra01 Mensajes enviados 1 Fecha de inscripción jueves, 4 de agosto de 2016 Estatus Miembro Última intervención viernes, 26 de agosto de 2016 - 26 ago 2016 a las 00:43
Buenas gente, resulta que a un amigo se le infecto la pc con este malware, es terrible. Aca dejo mas info: https://www.pcrisk.es/guias-de-desinfeccion/7401-cryptowall-virus

Queria saber si alguien lo pudo sacar, si es posible, y desencriptar los archivos. Lo importante son las fotos, y algunos documentos de trabajo.
No hice nada de los metodos que propone el link que puse antes para removerlo, queria consultar antes aca para informarme mas.
Espero su respuesta. Saludos y gracias.
Consulta también:

6 respuestas

leonnyx Mensajes enviados 1172 Fecha de inscripción lunes, 17 de marzo de 2014 Estatus Contribuidor Última intervención viernes, 11 de octubre de 2019 1.102
17 may 2014 a las 02:37
No hay problema...descarga,actualiza y ejecuta un escaneo de las siguientes herramientas.100% Garantizado en la eliminación del virus


Malwarebytes:
https://www.malwarebytes.com/mwb-download/

Spy Hunter:
https://www.2-spyware.com/download2/SpyHunter-Installer.exe
------------------------------------------------------------------------------------------------------
1
lacobra01 Mensajes enviados 1 Fecha de inscripción jueves, 4 de agosto de 2016 Estatus Miembro Última intervención viernes, 26 de agosto de 2016
26 ago 2016 a las 00:43
el facebook de un amigo esta infectado con el virus malware como recupero la cuenta de face
0
leonnyx Mensajes enviados 1172 Fecha de inscripción lunes, 17 de marzo de 2014 Estatus Contribuidor Última intervención viernes, 11 de octubre de 2019 1.102
17 may 2014 a las 01:29
Hicistes muy bien...No hay manera de desencriptar los archivos,pues la llave privada esta en el servidor de los hackers y el metodo de encripcion es fuerte.

Dime que sistema operativo tienes para darte una probabilidad de recovery de tus documentos.
0
nico_tate07 Mensajes enviados 11 Fecha de inscripción sábado, 17 de mayo de 2014 Estatus Miembro Última intervención lunes, 19 de mayo de 2014
17 may 2014 a las 01:38
El SO es Windows 7 64 bits. Encontre este video en el que elimina el virus, pero no recupera los archivos, sino que los restaura, y esta pc no tiene ninguna copia de seguridad hecha.
0
leonnyx Mensajes enviados 1172 Fecha de inscripción lunes, 17 de marzo de 2014 Estatus Contribuidor Última intervención viernes, 11 de octubre de 2019 1.102
17 may 2014 a las 01:41
Lo primero es revisar si tienes Previous Versions habilitado...escoje cualquier carpeta y con el boton derecho del mouse elije propiedades...busca la pestaña de Previous Versions y si aparecen fechas...busca a ver si salen fechas previas a la infeccion.
0
nico_tate07 Mensajes enviados 11 Fecha de inscripción sábado, 17 de mayo de 2014 Estatus Miembro Última intervención lunes, 19 de mayo de 2014
17 may 2014 a las 01:43
ya me fije, no hay fechas previas.
0
leonnyx Mensajes enviados 1172 Fecha de inscripción lunes, 17 de marzo de 2014 Estatus Contribuidor Última intervención viernes, 11 de octubre de 2019 1.102
17 may 2014 a las 01:51
Descarga Shadow Explorer y dime si encuentra fechas previas
https://www.shadowexplorer.com/uploads/ShadowExplorer-0.9-setup.exe
0
nico_tate07 Mensajes enviados 11 Fecha de inscripción sábado, 17 de mayo de 2014 Estatus Miembro Última intervención lunes, 19 de mayo de 2014
17 may 2014 a las 01:59
Lo baje, me aparecen muchas carpetas, creo que todas las del equipo. Donde me fijo si hay versiones previas?
0
nico_tate07 Mensajes enviados 11 Fecha de inscripción sábado, 17 de mayo de 2014 Estatus Miembro Última intervención lunes, 19 de mayo de 2014
17 may 2014 a las 01:59
Ya encontre, una del de mayo, hace una semana
0
nico_tate07 Mensajes enviados 11 Fecha de inscripción sábado, 17 de mayo de 2014 Estatus Miembro Última intervención lunes, 19 de mayo de 2014
17 may 2014 a las 03:19
todo esto en modo seguro, o en modo normal de windows?
0
leonnyx Mensajes enviados 1172 Fecha de inscripción lunes, 17 de marzo de 2014 Estatus Contribuidor Última intervención viernes, 11 de octubre de 2019 1.102
Modificado por leonnyx el 17/05/2014, 03:45
Verifica primero en Modo Seguro con networking (internet) ...Te dejo donde se ocultan sus archivos para borrar manualmente en Modo Seguro
--------------------------------------------------------------------------------------------------------------------

Presiona la tecla Windows + R y escribe lo siguiente


%userprofile%\application data\microsoft (Borra...[random].exe)

%userprofile%\appdata\local\temp (Borra TODO lo que hay alli)

%Program Files%\CryptoWall Decrypter (Borra esa carpeta)
-------------------------------------------------------------------------------------------------------------------------------

En el registro de Windows estan los siguientes keys del virus.Borralas,si no sabes como llegar,deja que los Antimalware que descargaste se encarguen del asunto.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msmpeng.exe "Debugger" = 'svchost.exe'


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\CryptoWall Decrypter


HKEY_LOCAL_MACHINE\SOFTWARE\CryptoWall Decrypter


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore "DisableSR " = '1?


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\ekrn.exe "Debugger" = 'svchost.exe'


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings "WarnOnHTTPSToHTTPRedirect" = '0?


HKEY_CURRENT_USER\Software\CryptoWall Decrypter
-----------------------------------------------------------------------------------------------------------------------------------

Ejecuta y actualiza las herramientas de desinfeccion.
0
leonnyx Mensajes enviados 1172 Fecha de inscripción lunes, 17 de marzo de 2014 Estatus Contribuidor Última intervención viernes, 11 de octubre de 2019 1.102
17 may 2014 a las 04:00
Se me olvido un detalle Presiona la tecla Windows + R y escribe control.exe folders das enter


Ese comando abrira Opciones de Carpeta,en la pestaña "Ver" pon las cosas como se muestra en la foto de abajo

https://3.bp.blogspot.com/_mHjezx633hw/TE722fDhFXI/AAAAAAAAEeo/tFP-EmLG0dA/s400/Opciones+de+carpeta.jpg
0
nico_tate07 Mensajes enviados 11 Fecha de inscripción sábado, 17 de mayo de 2014 Estatus Miembro Última intervención lunes, 19 de mayo de 2014
19 may 2014 a las 02:03
de las rutas de archivos que me pasaste, solo encontre la de la carpeta temp y borre todo, los otros del registro (entrando con regedit), no encontre ninguno. Estoy en el proceso de desinfeccion con los antivirus, despues te cuento como me fue,.
tengo una ultima consulta, como restauro los archivos de las copias anteriores con el programa shadowexplorer? Esa es mi ultima duda, cualquier cosa te pregunto mas.
0
leonnyx Mensajes enviados 1172 Fecha de inscripción lunes, 17 de marzo de 2014 Estatus Contribuidor Última intervención viernes, 11 de octubre de 2019 1.102
Modificado por leonnyx el 19/05/2014, 02:17
Con Shadow Explorer buscas la carpeta donde están los datos personales por lo general

C:\Users\" Tu nombre de usuario"


Y elije una fecha antes de la infección...HAZLO HOY MISMO SI PUEDES ,antes que se borren las fechas a una mas recientes,no es juego.

Pasa lo restaurado a una nueva carpeta en C:,crea una cuenta nueva de usuario y pasa lo restaurado a esa cuenta...luego borra la cuenta vieja que es la que tiene los archivos encriptados.

Cuando termines...borra todos los puntos de restauración para eliminar los puntos de restauración con los documentos encriptados.

Crea un punto nuevo de restauración y listo...


Orienta a tu amigo sobre el peligro de no revisar correos desconocidos y que siempre tenga cuidado donde entra en internet.

Suerte

Video Tutorial:
https://www.youtube.com/watch?v=tL-pNIbeS7U
0
nico_tate07 Mensajes enviados 11 Fecha de inscripción sábado, 17 de mayo de 2014 Estatus Miembro Última intervención lunes, 19 de mayo de 2014
19 may 2014 a las 02:19
Muchas gracias por la info, una pregunta. Si el usuario que estaba infectado es el administrador, puedo borrarlo al crear otro?

Ya estuve retando a mi amigo y orientandolo un poco. No tenia antivirus, desde hace unas semanas, y ahi creo que fue cuando se le infecto.
Tendre que restaurar creo que mas que los archivos del usuario, porque tiene el disco duro particionado, y muchos archivos encriptados estaban en este disco, no en el que esta el SO.
Pasando el antivirus, me detecto 50. Estoy por restaurarlos.
0

¿No encontraste la respuesta que buscabas?

Haz una pregunta
stuartstone9 Mensajes enviados 1 Fecha de inscripción martes, 24 de marzo de 2015 Estatus Miembro Última intervención martes, 24 de marzo de 2015
24 mar 2015 a las 13:38
A prevenção é sempre melhor do que remediar e ransomware é como um vírus de computador criticla que não podem ser removidos facilmente pelos usuários. No entanto, existem alguns experimentado e testado métodos manuais que podem ser determinada prova que ter muito cuidado, a fim de se livrar de qualquer aplicação hazadrous ransomware no Windows PC. A fim de removê-lo manualmente a partir do seu computador com Windows você precisará removê-lo da extensão do navegador, desinstalá-lo do Painel de Controlo e, mais importante que você terá que terminar todas as tarefas duvidoso de processo do sistema. Para mais informações visite: http://www.locuss.org/como-posso-desinstalar-cryptowall-3-0-cryptowall-3-0-desinstalar-de-software
0
Prevention is always better than cure and ransomware is such a criticla computer virus which can not be removed easily by the users. However, there are few tried and tested manual methods which can be certain proves to be very careful in order to get rid of any hazadrous ransomware application on Windows PC. In order to remove it manualy from your Windows computer you will need to remove it from browser extension, uninstall it from control pannel and most importantly you will have to terminate all doubtful task from system process. For further information visit: <a href="http://www.howtocleanspywarecn.com/">remove virus</a>
0