Infección de ransomware

Eliminar Malwares
1

Hola, al descargarme e instalar un archivo se me infectó el PC con un ransomware, iba muy lento y me resetó las coockies, el windows defender iba a explotar de tantos trojanos etc. Me descargué Malware bytes pero no lo solucionó del todo y también probé con Kaspersky y parece que lo solucionó, el caso es que acabo de ejecutar un juego, y me da tirones de FPS como me daba antes de hacer el análisis con Kaspersky. En su momento ya eliminé muchos archivos del día que se me infectó el equipo, pero ahora he vuelto a mirar y encuentro unas carpetas que no me suenan en C:\ProgramData, como esta ruta C:\ProgramData\46 o C:\ProgramData\WWKB5C9XPCY9Y65DMYETXVMYL , dentro de esta última hay una carpeta llamada “files” y dentro hay 8 carpetas vacías, se llaman “Autofill”, “CC”, “Cookies”, “Downloads”, “Files”, “History”, “Soft” y “Telegram”. La fecha de modificación de estas carpetas son el 23/10/2021 que fue el día que se infectó el ordenador. En las carpetas nombradas con números, también con fecha de modificación el 23/10/2021, hay archivos .txt con información mía, y no se si están ahí debido al ramsonware o porque hle hacen falta a windows. Gracias de antemano.

2

Hola, buenas @buenasnoches99 bienvenido al foro. Al ser nuevo te recomiendo que te leas las políticas de este. No porque hayas hecho nada mal, sino para saber más acerca del funcionamiento de este.

Entiendo que te interesa descifrar tus ficheros cifrados por el RansomWare, así como desinfectar tu máquina de este completamente. ¿Correcto?

Traes de todos los logs que comentas del Malwarebytes y del Kaspersky.

Y SÍ, por todo lo que comentas es muy probable de que aún queden restos del RansomWare activo o malware en general derivado de este.

:warning: Muy Importante :warning: Coloca el reporte que te he pedido como se muestra en la siguiente imagen:

report
report703×272 3.73 KB

Salu2.

3

Muchas gracias por responder, pero tuve que reinstalar windows, encontré un driver en la carpeta System32 que parecía ser el detonante de todo, el nombre era 76n21e.sys, los antimalwares me los reconocían como indispensable para el correcto funcionamiento de windows, y yo acabé borrándolo desde el cmd, lo que llevó a un error de inicio de windows y desistí, reinstalé windows y formateé los discos duros. Mi PC estaba muy enfermo, tenía 30 cepas de covid xd

4

Hola buenas @buenasnoches99

De nada.

Mala idea :-1:. Probablemente no fuese ese el causante y té “petaste” un .sys principal del sistema. Por eso después te paso esto:

Lo que decía. Te lo petaste…

OK. Pues como el tema de la infección ya esta “finiquitado”… Entiendo que te sigue interesando descifrar tus ficheros cifrados por el RansomWare. ¿Correcto?

Salu2.

5

El driver ese era el único que los antivirus me notificaban como malware y no podía borrarlo ni desinfectarlo, pero bueno, lo hecho, hecho está. Sí, me sigue interesando, pero se borró todo, no se como se podría hacer para recuperarlos y desencriptarlos. Además, yo no noté que tuviera archivos corruptos, solo los .txt que encontré con datos míos, que ya el hacker pues los tendrá aunque ya he cambiado la contraseña de todos los sitios que me acuerdo. Y tengo 3 € en paypal, si se los quiere quedar… xd Gracias de nuevo :slight_smile:

6

OK.

OK. ¿Así que ya no dispones de los ficheros cifrados? ¿Correcto?

¿Que extensión de cifrado tenían?

Salu2.

7

Correcto, se eliminó todo. Si te refieres a la extensión de formato de los archivos pues eran .txt, los podía leer con el bloc de nota, si te refieres a otra cosa no lo se, lo que se de script y tal es por haber visto Mr. Robot xd. Lo que si se, es que me salió una carpeta con un archivo .txt que se llamaba IDcontent y la ID acababa en t6, no se si eso es de relevancia. Muchas gracias por tu tiempo Marr0n, si puedo hacer algo en el blog que te pueda ayudar, como dar una buena referencia o un like o algo así, házmelo saber.

8

Hola buenas @buenasnoches99

OK.

Bueno realmente me refería a la extensión de los ficheros cifrados particulares tuyos de la máquina. Es decir… la extensión de tus ficheros personales cifrados (extensión con la que el RansomWare) los cifro.

Bueno eso sería la nota de rescate para tus ficheros con su correspondiente ID, pues si pagabas :money_mouth_face: :money_with_wings: :moneybag: con dicha ID en bitcoins probablemente te hubiesen dado tu llave para descifrar los ficheros.

OK :+1:

Muchas gracias a ti por tus buenas palabras y por todo tu último mensaje de agradecimiento. Comentarios como el tuyo son los que me siguen dando ganas y lo que realmente más me motiva para seguir atendiendo nuevos casos. Llegar al final de un tema y aunque en este caso no se haya podido solucionar y que te den comentarios como este último. No tiene precio.

Muchas gracias por confiar en mi persona y también por confiar en el foro de infospyware.

A continuación, te daré algunas recomendaciones para que en un futuro no te infectes con tanta facilidad.

Salu2.

9

Para tener el equipo fortificado razonablemente y prevenir futuras infecciones a nivel de usuario común, así como una serie de buenas praxis en cuanto a un buen nivel (aceptable) de seguridad de vida digital yo te recomendaría/te diría que hicieses lo siguiente:

  1. Mantén siempre que se pueda tu sistema operativo actualizado.

  2. Asegúrate de tener actualizados todos los programas/software que tengas en tu PC/dispositivos.

  3. Tener activado siempre el firewall de tu sistema operativo.

  4. Tener un antivirus/antimalware comercial de reputación y prestigio contrastados o bien uno gratuito.

  5. Utiliza contraseñas robustas, que tengan palabras poco conocidas. De una longitud de como mínimo 10 o más dígitos y que tengan (mayúsculas, minúsculas, números y símbolos especiales siempre que sea posible). Modifícalas, cámbialas cada ‘X’ tiempo, utiliza siempre que sea posible factor de doble autentificación y no utilices la misma, password para diferentes servicios.

  6. Siempre que conectes dispositivos externos en tu PC asegúrate que estén libres de malware. Para ello puedes realizar un análisis como el que te indiqué con Malwarebytes Anti-Malware, pero solo con dicho dispositivo que vayas a conectar o bien con un antivirus comercial de reputación y prestigio contrastados o bien uno gratuito, en última instancia.

  7. Vigilar mucho cuando instalas programas gratuitos descargados de fuentes no oficiales y aveces si son de fuentes oficiales también debes de vigilar. Pues se aprovechan de que el usuario instala dando todo el rato en Siguiente y deja marcadas/desmarcadas casillas las que harán que el instalador del programa instale malware de tipo Adware entre otros para lucrarse económicamente del quipo infectado.

  8. Cuando te conectes en redes wifi o similares públicas (hoteles, restaurantes, aeropuertos, etc). No utilices/te conectes a servicios/cuentas personales y si lo haces pues contratas una VPN de pago (nunca gratuita, ya que te llevaras sorpresas desagradables).

  9. Nunca jamás de los jamases descargues software o sistemas operativos de tipo comercial/de pago pirateado/crackeado para ahorrar dinero. Pues la gran mayoría de este software de pago crackeado y de forma gratuita trae como regalo fabulosos y maravillosos malwares.

  10. Desconfía siempre de cualquier comunicación no esperada, incluso si proceden de remitentes conocidos. Como por ejemplo: he recibido un correo de fulanito de tal que lo conozco, pero no lo esperaba y el email tiene un formato extraño, faltas de ortografía, dice algo muy genérico pero nada concreto, dice alguna cosas sin sentido o que no cuadra, adjunta ficheros sobretodo .rar o .zip. En estos casos contrasta siempre la información con la persona que te lo envía (el correo, comunicación). Pues los ciberdelincuentes siempre utilizarán todas las tácticas que puedan de ingeniería social para comprometer tu seguridad.

Salu2.

10

Ok. Perfecto pues por mi parte ya estaríamos.

Ha sido por mi parte un placer ayudarte y has tenido paciencia y has sido muy fácil de llevar. Muchas gracias por confiar en ForoSpyware.

No olvides de marcar el tema como Solucionado. Para ello miras el enlace que te he pasado y marcas como solución mi última respuesta.

Y respecto a esto que me decías:

Aparte de recomendar nuestro foro a otra gente/usuarios…

Como consejo/apunte final, te invito a que nos sigas en nuestras redes sociales para estar al tanto y prevenido de los nuevos tipos de malwares y de otros temas relacionados que puedan ser de tu interés.

Blog

Twitter

Facebook

Salu2.

11

Este tema se cerró automáticamente 2 días después de la última publicación. No se permiten nuevas respuestas.