SOBRE RECUPERACION DE LA INFORMACIÓN DE FICHEROS CIFRADOS POR EL ACTUAL CRYPTOLOCKERmsc hotline sat Tuesday, March 7, 2017 Como sea que hemos tenido incidencias de todo tipo con los ransomwares, y que si el usuario no tenía Copia de seguridad de los ficheros cifrados, o no la tenía protegida fuera del acceso de unidades compartidas, las últimas versiones borraban las copias hechas por el ShadowCopy, en su día ya indicamos que, a través de un cliente profesional y colaborador nuestro, se nos informó del posible método para descifrar los ficheros cifrados por variantes del Cryptolocker, que facilitaban a través de la colaboración de la OSI (Oficina de Seguridad del Internauta) quienes indicaban como enviar al CERT ficheros cifrados para que estos últimos facilitaran utilidad de descifrado específico de la versión de entonces, la cual borraba las copias hechas por el ShadowCopy, impidiendo su recuperación por dicho método, conforme a lo que decíamos en: http://blog.satinfo.es/2016/muy-importante-descifrado-de-ficheros-cifrados-por-ransomwares-especialmente-con-el-cryptolocker-del-falso-mail-de-endesa/ Además resulta que el actual sistema operativo Windows 10 ya no tiene activada dicha creación de copias Pues para los usuarios que se encuentren con ficheros cifrados en estaciones de trabajo que no usan Windows 10, es posible la recuperación de las copias del SHADOWCOPY en los terminales, siguiendo estos pasos: -ARRANCAR EN MODO SEGURO -LANZAR EL CLRANSOM.EXE -RENOMBRAR A .VIR EL FICHERO QUE ENCUENTRA EN LA CLAVE DE REGISTRO O4 RUN INDICANDO MALWARE -Y MUY IMPORTANTE ! , SIN REINICIAR, LANZAR EL SHADOWEXPLORER.EXE Esperamos que ello sirva a algun afectado, si bien recordamos LA IMPORTANCIA DE TENER SIEMPRE ACTUALIZADA LA COPIA DE SEGURIDAD, pues como este ransomware, hay otros de las familia LOCKY-OSIRIS, CERBER 4, y demás, que borraban las copias del SHADOWCOPY , como ya deciamos en http://blog.satinfo.es/2017/interesante-consideracion-para-evitar-el-borrado-de-las-copias-de-seguridad-de-ficheros-cifrados-por-ransomwares/ Y sobre el último Cryptolocker recibido, podemos decir que, además de controlarlo la versión del ELISTARA 36.37 actualmente disponible en nuestra web, ya la detectan nuestros antivirus, tanto Kasperky como McAfee, si bien este último heuristicamente, por lo cual es necesario tener activada la heuristica a nivel MUY ALTO, según se ve en el último analisis al respecto de VIRUSTOTAL: MD5 56ea4385bd58a497b7a8dd5ac2e4ae68 SHA1 73d1f2f0ee14949adcd61636f30e262ebf304d9b Tamaño del fichero 348.9 KB ( 357249 bytes ) SHA256: b905da5fd5b45e320bca944312cd5e364d896bd1e4023a75744976c415b0ff67 Nombre: ajpbalkt.exe Detecciones: 30 / 61 Fecha de análisis: 2017-03-07 13:48:00 UTC ( hace 2 minutos ) https://www.virustotal.com/es/file/b905da5fd5b45e320bca944312cd5e364d896bd1e4023a75744976c415b0ff67/analysis/1488894480/ "Kaspersky Trojan.NSIS.Sod.jny 20170307 Malwarebytes Ransom.Crypt0L0cker 20170307 McAfee Artemis! McAfee-GW-Edition BehavesLike.Win32.Kovter.fc 20170307" Esperando que lo indicado les haya sido de utilidad, quedamos pendientes de las consultas que tuvieran al respecto. saludos ms, 7-3-2017 |
RSS Noticias RSS Articulos RSS Descargas>> Compartircomparte con tus amigos, zonavirus.com |