Cryptowal, malware, ayuda

Cerrado
Denunciar
Message postés
11
Date d'inscription
sábado, 17 de mayo de 2014
Estatus
Miembro
Última intervención
lunes, 19 de mayo de 2014
-
Message postés
3
Date d'inscription
jueves, 4 de agosto de 2016
Estatus
Miembro
Última intervención
viernes, 26 de agosto de 2016
-
Buenas gente, resulta que a un amigo se le infecto la pc con este malware, es terrible. Aca dejo mas info: https://www.pcrisk.es/guias-de-desinfeccion/7401-cryptowall-virus

Queria saber si alguien lo pudo sacar, si es posible, y desencriptar los archivos. Lo importante son las fotos, y algunos documentos de trabajo.
No hice nada de los metodos que propone el link que puse antes para removerlo, queria consultar antes aca para informarme mas.
Espero su respuesta. Saludos y gracias.

6 respuestas

Message postés
1182
Date d'inscription
lunes, 17 de marzo de 2014
Estatus
Contribuidor
Última intervención
viernes, 11 de octubre de 2019
1.117
No hay problema...descarga,actualiza y ejecuta un escaneo de las siguientes herramientas.100% Garantizado en la eliminación del virus


Malwarebytes:
https://www.malwarebytes.com/mwb-download/

Spy Hunter:
https://www.2-spyware.com/download2/SpyHunter-Installer.exe
------------------------------------------------------------------------------------------------------
1
Message postés
3
Date d'inscription
jueves, 4 de agosto de 2016
Estatus
Miembro
Última intervención
viernes, 26 de agosto de 2016

el facebook de un amigo esta infectado con el virus malware como recupero la cuenta de face
0
Message postés
1182
Date d'inscription
lunes, 17 de marzo de 2014
Estatus
Contribuidor
Última intervención
viernes, 11 de octubre de 2019
1.117
Hicistes muy bien...No hay manera de desencriptar los archivos,pues la llave privada esta en el servidor de los hackers y el metodo de encripcion es fuerte.

Dime que sistema operativo tienes para darte una probabilidad de recovery de tus documentos.
0
Message postés
11
Date d'inscription
sábado, 17 de mayo de 2014
Estatus
Miembro
Última intervención
lunes, 19 de mayo de 2014

El SO es Windows 7 64 bits. Encontre este video en el que elimina el virus, pero no recupera los archivos, sino que los restaura, y esta pc no tiene ninguna copia de seguridad hecha.
0
Message postés
1182
Date d'inscription
lunes, 17 de marzo de 2014
Estatus
Contribuidor
Última intervención
viernes, 11 de octubre de 2019
1.117
Lo primero es revisar si tienes Previous Versions habilitado...escoje cualquier carpeta y con el boton derecho del mouse elije propiedades...busca la pestaña de Previous Versions y si aparecen fechas...busca a ver si salen fechas previas a la infeccion.
0
Message postés
11
Date d'inscription
sábado, 17 de mayo de 2014
Estatus
Miembro
Última intervención
lunes, 19 de mayo de 2014

ya me fije, no hay fechas previas.
0
Message postés
1182
Date d'inscription
lunes, 17 de marzo de 2014
Estatus
Contribuidor
Última intervención
viernes, 11 de octubre de 2019
1.117
Descarga Shadow Explorer y dime si encuentra fechas previas
https://www.shadowexplorer.com/uploads/ShadowExplorer-0.9-setup.exe
0
Message postés
11
Date d'inscription
sábado, 17 de mayo de 2014
Estatus
Miembro
Última intervención
lunes, 19 de mayo de 2014

Lo baje, me aparecen muchas carpetas, creo que todas las del equipo. Donde me fijo si hay versiones previas?
0
Message postés
11
Date d'inscription
sábado, 17 de mayo de 2014
Estatus
Miembro
Última intervención
lunes, 19 de mayo de 2014

Ya encontre, una del de mayo, hace una semana
0
Message postés
11
Date d'inscription
sábado, 17 de mayo de 2014
Estatus
Miembro
Última intervención
lunes, 19 de mayo de 2014

todo esto en modo seguro, o en modo normal de windows?
0
Message postés
1182
Date d'inscription
lunes, 17 de marzo de 2014
Estatus
Contribuidor
Última intervención
viernes, 11 de octubre de 2019
1.117
Verifica primero en Modo Seguro con networking (internet) ...Te dejo donde se ocultan sus archivos para borrar manualmente en Modo Seguro
--------------------------------------------------------------------------------------------------------------------

Presiona la tecla Windows + R y escribe lo siguiente


%userprofile%\application data\microsoft (Borra...[random].exe)

%userprofile%\appdata\local\temp (Borra TODO lo que hay alli)

%Program Files%\CryptoWall Decrypter (Borra esa carpeta)
-------------------------------------------------------------------------------------------------------------------------------

En el registro de Windows estan los siguientes keys del virus.Borralas,si no sabes como llegar,deja que los Antimalware que descargaste se encarguen del asunto.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msmpeng.exe "Debugger" = 'svchost.exe'


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\CryptoWall Decrypter


HKEY_LOCAL_MACHINE\SOFTWARE\CryptoWall Decrypter


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore "DisableSR " = '1?


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\ekrn.exe "Debugger" = 'svchost.exe'


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings "WarnOnHTTPSToHTTPRedirect" = '0?


HKEY_CURRENT_USER\Software\CryptoWall Decrypter
-----------------------------------------------------------------------------------------------------------------------------------

Ejecuta y actualiza las herramientas de desinfeccion.
0
Message postés
1182
Date d'inscription
lunes, 17 de marzo de 2014
Estatus
Contribuidor
Última intervención
viernes, 11 de octubre de 2019
1.117
Se me olvido un detalle Presiona la tecla Windows + R y escribe control.exe folders das enter


Ese comando abrira Opciones de Carpeta,en la pestaña "Ver" pon las cosas como se muestra en la foto de abajo

https://3.bp.blogspot.com/_mHjezx633hw/TE722fDhFXI/AAAAAAAAEeo/tFP-EmLG0dA/s400/Opciones+de+carpeta.jpg
0
Message postés
11
Date d'inscription
sábado, 17 de mayo de 2014
Estatus
Miembro
Última intervención
lunes, 19 de mayo de 2014

de las rutas de archivos que me pasaste, solo encontre la de la carpeta temp y borre todo, los otros del registro (entrando con regedit), no encontre ninguno. Estoy en el proceso de desinfeccion con los antivirus, despues te cuento como me fue,.
tengo una ultima consulta, como restauro los archivos de las copias anteriores con el programa shadowexplorer? Esa es mi ultima duda, cualquier cosa te pregunto mas.
0
Message postés
1182
Date d'inscription
lunes, 17 de marzo de 2014
Estatus
Contribuidor
Última intervención
viernes, 11 de octubre de 2019
1.117
Con Shadow Explorer buscas la carpeta donde están los datos personales por lo general

C:\Users\" Tu nombre de usuario"


Y elije una fecha antes de la infección...HAZLO HOY MISMO SI PUEDES ,antes que se borren las fechas a una mas recientes,no es juego.

Pasa lo restaurado a una nueva carpeta en C:,crea una cuenta nueva de usuario y pasa lo restaurado a esa cuenta...luego borra la cuenta vieja que es la que tiene los archivos encriptados.

Cuando termines...borra todos los puntos de restauración para eliminar los puntos de restauración con los documentos encriptados.

Crea un punto nuevo de restauración y listo...


Orienta a tu amigo sobre el peligro de no revisar correos desconocidos y que siempre tenga cuidado donde entra en internet.

Suerte

Video Tutorial:
https://www.youtube.com/watch?v=tL-pNIbeS7U
0
Message postés
11
Date d'inscription
sábado, 17 de mayo de 2014
Estatus
Miembro
Última intervención
lunes, 19 de mayo de 2014

Muchas gracias por la info, una pregunta. Si el usuario que estaba infectado es el administrador, puedo borrarlo al crear otro?

Ya estuve retando a mi amigo y orientandolo un poco. No tenia antivirus, desde hace unas semanas, y ahi creo que fue cuando se le infecto.
Tendre que restaurar creo que mas que los archivos del usuario, porque tiene el disco duro particionado, y muchos archivos encriptados estaban en este disco, no en el que esta el SO.
Pasando el antivirus, me detecto 50. Estoy por restaurarlos.
0
Message postés
1
Date d'inscription
martes, 24 de marzo de 2015
Estatus
Miembro
Última intervención
martes, 24 de marzo de 2015

A prevenção é sempre melhor do que remediar e ransomware é como um vírus de computador criticla que não podem ser removidos facilmente pelos usuários. No entanto, existem alguns experimentado e testado métodos manuais que podem ser determinada prova que ter muito cuidado, a fim de se livrar de qualquer aplicação hazadrous ransomware no Windows PC. A fim de removê-lo manualmente a partir do seu computador com Windows você precisará removê-lo da extensão do navegador, desinstalá-lo do Painel de Controlo e, mais importante que você terá que terminar todas as tarefas duvidoso de processo do sistema. Para mais informações visite: http://www.locuss.org/como-posso-desinstalar-cryptowall-3-0-cryptowall-3-0-desinstalar-de-software
0
Prevention is always better than cure and ransomware is such a criticla computer virus which can not be removed easily by the users. However, there are few tried and tested manual methods which can be certain proves to be very careful in order to get rid of any hazadrous ransomware application on Windows PC. In order to remove it manualy from your Windows computer you will need to remove it from browser extension, uninstall it from control pannel and most importantly you will have to terminate all doubtful task from system process. For further information visit: <a href="http://www.howtocleanspywarecn.com/">remove virus</a>
0