MUY IMPORTANTE: SOLUCION AL CIFRADO DE FICHEROS PRODUCIDO POR EL CRYPTORBIT (en sistemas Microsoft Windows® VistaTM /

---

Gracias a la aportacion de Wikipedia y a la colaboracion de buenos distribuidores que han comprobado la funcionalidad con éxito de los pasos que les hemos dado, hemos logrado, en dichos casos, la restauracion de los ficheros cifrados con el CRYPTORBIT, que ha afectado a varios de nuestros usuarios, en base a restaurar versiones anteriores de los archivos codificados, en sistemas operativos recientes (no XP)



En wikipedia puede verse:



"Shadow Copy (also known as Volume Snapshot Service, Volume Shadow Copy Service or VSS), is a technology included in Microsoft Windows that allows taking manual or automatic backup copies or snapshots of data, even if it has a lock, on a specific volume at a specific point in time over regular intervals. It is implemented as a Windows service called the Volume Shadow Copy service. A software VSS provider service is also included as part of Windows to be used by Windows applications. Shadow Copy technology requires the file system to be NTFS to be able to create and store shadow copies. Shadow Copies can be created on local and external (removable or network) volumes by any Windows component that uses this technology, such as when creating a scheduled Windows Backup or automatic System Restore point."



http://en.wikipedia.org/wiki/Shadow_Copy



Y para ello puede probarse el SHADOWEXPLORER.EXE, que puede descargarse de http://www.shadowexplorer.com/downloads.html



" Information about ShadowExplorer, a free replacement for the Previous Versions feature of Microsoft Windows® VistaTM / 7 / 8. and it seems to work* on Windows Server 2003/2008/2008 R2 aswell. It is shown how you can restore lost or damaged files from Shadow Copies. However, this is by no means a replacement for traditional backups!"



Se recomienda arrancar en MODO SEGURO CON FUNCIONES DE RED y lanzar dicha utilidad. Y si el virus lo impide por haber modificado las claves de:



KEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal



HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network



en tal caso, lanzar el ELISTARA para restaurar dichas claves, y luego arrancar en MODO SEGURO CON FUNCIONES DE RED, y en dicho modo lanzar la indicada utilidad.





Manualmente, puede restaurarse individualmente cada archivo cifrado por este virus, para lo cual los usuarios pueden probar con versiones anteriores de archivo.



Para restaurar puntualmente un archivo o carpeta, haga clic con el botón derecho del ratón sobre el archivo, seleccione Propiedades y haga clic en la pestaña Versiones anteriores. Si el archivo en cuestión tiene su punto de restauración creado, selecciónelo y haga clic en el botón "Restaurar".





Por supuesto que conviene eliminar, si aun no se ha hecho, el virus propiamente dicho antes de recuperar dichos ficheros, De todas formas, en las versiones conocidas hasta la fecha , el virus se elimina automaticamente tras el codificado de ficheros de datos. De todas formas, aconsejamos configurar la sensibilidad heuristica del VirusScan a nivel ALTO y lanzar tras ello un escaneo con el VirusScan.

Independientemente, recordamos la conveniencia de instalar el SITEADVISOR de McAfee (http://www.siteadvisor.com) y de no ejecutar ficheros anexados a mails no solicitados, ni pulsar en sus links ni en sus imagenes, aparte de no visitar webs sospechosas, en lo cual el SITEADVISOR le ayudará.





Por último, sabido que muchos malwares aprovechan agujeros de seguridad de windows, por lo que es importante tener siempre actualizados los parches, o bien automaticamente, o lanzando un windowsupdate (http://windowsupdate.microsoft.com) e instalando los que se encuentren a faltar.



saludos



ms, 23-3-2014





*NOTA: Ante experiencias posteriores con sistemas SERVER 2003 y 2008 R2 (posiblemente igual en Server 2012), conviene tener en cuenta que en dichos sistemas se ha de activar manualmente la opción de crear dichas copias de versiones anteriores, pues al parecer Microsoft no configura por defecto dicha opción en los sistemas indicados, posiblemente para no utilizar el espacio requerido para ellos en los servidores, entendiendo que en los dichos equipos ya se tendrá instalado un sistema de copias de seguridad fuera de dicha unidad. Si no se tiene configurada dicha opción, no se creará la copia de seguridad y no se dispondrá de la posibilidad de recuperación ni con el SHADOW COPY ni con el SHADOW EXPLORER. ms, 28-4-2014