Infectado por .MADO (Ransomware)

Hola gente. Soy de Argentina y en las últimas 48 hs mi computadora fue infectada por un Ransomware. Fue al descargar un activador para hacer full la versión premiun de un antivirus. La página estaba en inglés, y obviamente nunca sospeche que me iba a pasar esto, es más, ni siquiera sabía que era un Ransomware hasta que me ocurrió, nunca supe que existía eso…

Bueno como ya leí en este foro casos anteriores, y considerando que entiendo que cada caso es particular, decidí crear este tema solicitandole ayudas a ustedes. La verdad que siempre me pareció un foro tremendo con gente que sabe un montón y está en el tema.

Ya entré a la página del ID Ransomware, y para ahorrar tiempo les paso el link del reporte: https://id-ransomware.malwarehunterteam.com/identify.php?case=842a3f1a25a8a60d5ca4efa87f77c9f04076b0f6

Respecto al programa ScriptSPOT.Djvu.exe (el desencriptador que un usuario de acá le recomendó a otros con el mismo problema) lo descargo todo bien, pero lo ejecuto y no se ejecuta. En el administrador de tareas aparece el proceso, pero al rato desaparece. No aparece nada.-

Luego de la infección elimine los archivos que se me descargaron adicionalmente, tanto de la papelera como así también he pasado el MalwareBytes y me detectó 45 amenazas. Ahora la PC aparentemente estaría limpia (O SEA, ANDA TODO OK MENOS TODOS LOS ARCHIVOS QUE SE ME ENCRIPTARON JAJA), pero mucho no confío. Si acá desde este foro me aconsejan que la formatee la formateo si es que así se soluciona este problema. Todo lo que pierdo lo volveré a descargar, tenía libros y documentos…

IMPORTANTE: Me asesoré con personal que investiga delitos de este tipo. Es que quiero hacer la DENUNCIA PENAL, es un delito informático y está así tipificado en el C.Penal de Arg. Me dijeron que suele ser muy complicados rastrearlos ya que no hay una IP fija para identificar el domicilio del imputado. En investigaciones que se han hecho dan IP de países insólitos, Ej. Australia, Nueva Zelanda. Pero tengo presente el link de donde descargué el archivo. Me dijeron que a la fiscalía de mi provincia especialista en delitos cibernéticos eso le podría cerbir para dar con los delincuentes que portaban programas maliciosos en esa página.

Solicito sus ayudas. Bendiciones a todos.-

Hola @Arroyomu y Bienvenido al nuevo Foro…!!

Como habrás visto en otros temas(que ya visitaste) este tipo de infecciones es poco probable(por NO decir imposible) que puedas recuperar los archivos que YA te han cifrado. :-1:

Lo que es más raro es que NO te deje usar la herramienta que has descargado y que supongo que es la que indicamos en este tema :

La usaste antes de pasar Malwarebytes… o después de hacerlo… :thinking:

Saludos.

Hola, muchas gracias por tu respuesta. La usé después de pasar el Malwarebytes. ¿Alguna idea? ¿Si es casi imposible recuperarlos me conviene formatearla? Pregunto: si al formatearla por completo se borraría cualquier rastro o residuo de virus que haya quedado en mi PC, cierto? -Un técnico en computadora puede descifrar o desencriptar los archivos? O es casi imposible para ellos también? Saludos.

Hola.

Puedes probar a ejecutar la herramienta entrando a Windows desde el modo seguro, por SI desde ese modo se ejecuta :

Para hacerlo desde Windows 7 y/o anteriores versiones :arrow_forward: ¿Cómo iniciar el PC en Modo a prueba de fallos?.

O para W8/8.1 y 10 usando el 2º MÉTODO: de :arrow_forward: ¿Cómo iniciar Windows en Modo Seguro?.

Correcto, SI haces un formateo del disco duro y luego instalas Windows se eliminaran TODAS las infecciones que puedas tener. :+1:

El tipo de encriptación que se usa en este tipo de infecciones es un algoritmo de cifrado de tipo AES-256, que es uno de los algoritmos más populares usados en criptografía simétrica y sin tener la clave de encriptacion NO es posible descifrar los archivos

Si te fijas en lo que se indica en el tema de STOP Ransomware que te puse antes :

Cuando se ejecuta el STOP ransomware, tiene un determinado servidor con el que intenta hablar (cada variante tiene un servidor diferente o una ruta diferente que consulta). Esta es esencialmente una “clave en línea” (ONLINE KEY) , y no existe forma de reproducir esta clave actualmente, y es única por víctima.

Si el Ransomware no pudo hablar con el servidor , por ejemplo, por un problema de red, o si el servidor se agotó o tuvo un error, entonces el malware se rendirá (generalmente 4 intentos) y recurrirá a una clave codificada : esta es la clave fuera de línea. (OFFLINE KEY)

La única esperanza posible actualmente es GUARDAR/ALMACENAR los archivos en un disco externo o pendrive/usb y que a futuro pudieran encontrar una solución a esta variante.

Cualquier duda nos comentas.

Saludos.

Muchas gracias por tu ayuda, la verdad que agradezco mucho todo como me estás ayudando. Lo voy a hacer a eso, leí también que le habáis respondido vos (o no se si vos, otro miembro del staff) a uno que le pasó lo mismo que amí que pase el ESET Online Sanner, lo voy a hacer para ver si sale algo disntinto, además es compatible con el Malwarebytes por lo que leí.

Dejo este link que encontré en inglés por si a alguien le sirve. El problema es que está en inglés. Me parece que es de la empresa de Panda Antivirus, pero no estoy seguiro. https://malwarefixes.com/remove-mado-ransomware/

Amigo Javier, si denuncio este delito, crees que hay posibilidades de que una fiscalía especializada en estos temas (cybercrimen) pueda dar con el resposable??? Si yo les aporto el link de donde descargué eso que me genero el problema.

Gracias x tu ayuda

De nada. :+1:

Conseguiste ejecutar la herramienta de detección desde el Modo Seguro…??

Como podrás ver también en ese enlace que pusiste…mas de lo mismo :

Etapa 3: Desbloqueo de archivos con la herramienta de descifrado Mado

Las herramientas que pueden descifrar archivos infectados por Mado aún no están disponibles en este momento.

Text

Lo único que se puede intentar en un equipo infectado es usar herramientas de desinfección para eliminar la infección del sistema, pero como YA dijimos lo que NO ARREGLA son los archivos encriptados.

Dinos SI te queda alguna duda y/o vas a formatear tu equipo.

Saludos.

Hola chicos y permiso:

@Arroyomu Paso unos momentos solo para aclararte algunas consultas en mi condición de Argentina y de conocer algo del marco legal de nuestro país.

Estabas pirateando un antivirus (La piratería es delito), por lo cual ya empezarías mal tu denuncia.

Si esta tipificado en nuestro Codigo Penal, pero nuestro país que esta lejos del primer mundo en tecnología no podrá hacer mucho con la IP de la pagina, ellos infectan casi todo lo relacionado con cracks, keygens, hacktools, incluso estan atacando Hospitales, empresas gigantescas de nivel mundial, en estas épocas solo por dinero, recolectan millones, me pregunto estas en condiciones económicas de solventar una causa penal de estas características?

De hecho dudo que puedan dar con los delincuentes, a gigantes como Microsoft le a costado años con toda su tecnología desactivar una botnet.

Pues yo creo que nop, por lo antes dicho.

Hace años que existen, y han complicado todo.

La mejor recomendación es no utilizar piratería, analizar cada archivo que se descarga, con tu AV o con paginas como VirusTotal.

Utilizar en el navegador extensiones como Malwarebytes Malware Extensión que impedirán que caigas en sitios maliciosos.

Si quieres es buen Antivirus pago con protección contra Ransomware paga por el o bien utiliza alguno gratuito de buena calidad que los hay.

Sin mas, pueden continuar.

Salu2

Hola @SanMar, gracias por tus aclaraciones. :+1:

Poco más que añadir por mi parte. :clap:

Saludos.

1 me gusta

Hola. Muchas gracias por responder. Si la verdad que ni me conviene denunciar. Respecto a los costos tengo entendido que es gratis para la víctima cualquier investigación penal, pero igual es algo que ya lo descarto, no soy una empresa ni ningún organismo, me tocó amí y de mala suerte pasó esto.

Si la verdad que sí. No me podrías recomendar algo gratuito o algún antivirus de confianza para mi PC que no le sea tan invasivo? Es decir, que no sea algo tan complejo que me la temrine relentizando con cada cosa que hago. Mirá, yo tenía el Microsoft Security Essentials pero no se me actualizó más (tenía problemas para conectarse al servidor y descargar las actualizaciones), razón por la cual como dije antes, me pasé al otro.

Bueno chicos muchas gracias. Ya probé todo pero lo que voy a hacer es FORMATEAR MI COMPUTADORA, he tomado esa decisión. Quisiera preguntarles al respecto si la tengo que formatear yo o se la tengo que llevar a un técnico para que lo haga? Actualmente tengo Windows 7 ultimate (es una PC que compre en el 2010) y pienso que por ahí pudo haber cumplido su ciclo, en el transcurso de 10 años jamás la formatié, nunca le paso nada igual como hasta ahora.- Qué windows me recomiendan ponerle? El 7 o el 10? Alguna especificación que deseen hacerme al respecto, recomendación tips?

Por otro lado un amigo de acá me dijo que comienze a utilizar la Nube o Google Drive, que ahí si tenes las copias de seguridad de archivos que tenas en tu PC ningún virus te los va a poder hackear, o sea, están almacenados en la web de ellos y para eso tendrían que hackearlos a ellos, a no ser que consigan tu pass.

Bueno, es todo, gracias a ustedes por responder.

Hola @Arroyomu

Ya te indicara @JavierHF los programas que serian buenos a tener en cuenta en tu equipo.

Por el resto siguen uds.

Salu2

Hola.

Que un antivirus ralentice, NO solo depende del propio antivirus, tambien dependera del hardware que tengamos en nuestra máquina. :roll_eyes:

Un buen antivirus(gratuito) y ademas bastante ligero es el de :arrow_right: Kaspersky Free.

Perfecto. :+1:

Lo puedes hacer TÚ perfectamente.

Máquinas más antiguas siguen funcionando correctamente.

Lo más importante es que TU version de Windows sea legal y la tengas siempre actualizada e igualmente TODOS los programas que tengas instalados en el equipo.

Hoy en día debemos pasar a Windows 10.

Windows 7 es un sistema obsoleto y que dejó de recibir actualizaciones desde hace unos meses y por lo tanto expuesto a fallos de seguridad constantemente. :-1:

Si tu version de Windows 7 es legal podras hacer la “migración” a Windows 10 sin problemas.

:arrow_right: https://www.microsoft.com/es-es/software-download/windows10

Bueno… evidentemente esa es una opción, tener copias de seguridad es la alternativa a este tipo de infecciones, sean en la “nube” o en dispositivos externos(discos, usb…etc) y que una vez realizadas las copias los desconectemos de nuestros equipos.

Espero que esto aclare tus dudas, nos comentas para dar el tema por resuelto.

Saludos.

Muchas Gracias, si creo que es legal, por lo hemos he recibido un par de actualizaciones automáticas y sí, no he tenido problema. Cuando voy a “EQUIPO”, click derecho --> propiedades, me sale que Windows está activado y me muestra el ID del producto. No así sucede con los Microsoft Office que tengo (sean word, excel, etc), los cuales no están activados y me piden la clave de activación.

El tema es que yo quiero hacer una migración a windows 10 pero quiero asegurarme de que voy a arrancar todo de 0. No quiero rastros de ningún tipo de virus -aunque los he eliminado- o archivo encriptado (que me quedaron todos jeje). Quiero todo de cero, instalar programas, plugins, extensiones, etc etc, todo desde 0, sin nigún residuo de mi antiguo windows o PC. Se puede hacer a través de esa página?

En caso de que no sea así, que recaudos o medidas debería tomar?

Muchas Gracias JavierHF

Hola.

Desde la página que te puse se puede hacer perfectamente, en ella tienes dos opciones la primera que indica “Actualizar ahora” y la segunda Descargar ahora la herramienta y esta es la que debes usar.

Pulsamos sobre esa opción y la guardas en tu escritorio para luego ejecutarlo con boton derecho " Ejecutar como Administrador" siguiendo los pasos que te vaya indicando.

Deberás seleccionar la opción de crear medios en USB y deberás tener una unidad USB de al menos 8Gb y que este vacía.

Una vez que la tengas creada y lista se usará para Instalar con ese USB el sistema operativo en TU equipo y FOrmateando la unidad de disco duro para que se elimine TODO lo que tengas en el equipo.

Aqui tienes un manual que explican bastante bien TODO el proceso :arrow_right: https://www.softzone.es/instalar-windows-10-manual-e-instalacion-paso-paso/

Cualquier consulta comentas.

Saludos.

AMIGO!!! ACABO DE ENCONTRAR LA SOLUCIÓN PARA DESENCRIPTAR LOS ARCHIVOS!!! Y TODO, VER TODO PARA QUE SEA NORMAL! En breve subo la solución!

1 me gusta

:thinking:

Comooooo…??

Javier hice un videito al respecto para subirlo a YouTube así lo ves por ahí, porque si lo cuento todo acá va ser un poco largo, ahora lo estoy cargando a YouTube. Salio con mala calidad, parece que se mueve un poco la pantalla pero se entiende qué fue lo que yo hice. Recalco eso porque no se si funcionará para otros usarios que le pasen lo mismo, almenos amí si me funcionó, pero por ahí otro haciendo lo mismo no le da resultado.

Ahora lo estoy subiendo al Youtube, disculpen la calidad, es que hice un video que llegó a pesarme 18GB y encima era cortito, después fui cambiando de compresores, bajando la calidad del mismo, y este que voy a subir me tarda 1hs y 10 minutos, jaja.

Ahí les dejo el link para que vean como hice y me gustaría saber sus opiniones… Si al final esos hackers son unos chantas que sólo asustan o qué. Más allá de todo eso yo creo que son las compañías de antivirus (como spyhunter) y las empresas que fabrican software para desencriptar como los que se ofrecen para estos problemas las que estána atrás de todos estos virus, cerandolos para luego hacerse populares o que las personas les compren sus programas.

Fuera de todo esto tengo una pregunta para los mirmbros del staff: Voy a formatear mi PC desde la lectora de DVD, voy a grabar el DVD con windows 10, etc etc, configuro la bios para que arranque desde allí y listo. Mi pregunta es, ¿terminado de formatear, es decir, ya dentro de mi PC en windows 10, cuando salga, la reinicie o la apague yo, tengo que volver a configurar la Bios para que ahora arranque desde el disco rígido? es decir, configurarla de vuelta para que no arranque más de la lectora de DVD o eso no hace falta, saco el DVD y listo, arrancaría normal como siempre? Pregunto, esa es mi gran duda y miedo.

También yo uso para conectarme a internet un captador de wi-fi, o sea, un microchip o nanochip USB que se pone como un pendrive. ¿Al formatearla por completo, no me borraría el programa o el driver del chip que yo instalé con un CD que me vino al comprar, y la computadora así se quede sin internet en el momento de la instalación??? O eso no pasaría?? Pregunto esto porque veo que es fundamental para instalar windows 10 que tenga una permanente conexión a internet.

Muchísimas gracias!

Bueno nadie me respondio ni me dijo nada respecto del video jeje lo saco entonces ¿??

Hola.

Noooo… NO lo saques dejalo por SI a alguien mas le puede venir bien. :roll_eyes:

No tengas prisa, :expressionless: ten en cuenta que andamos con mucho trabajo últimamente, tenemos a todos los usuarios en sus casas y con peticiones de ayuda constantes. :upside_down_face:

Bien… que a ti te haya funcionado y a otros NO les funcione, dependerá en este caso, de que se sigan teniendo “copias” de las que hace automaticamente Windows por la opción de "Restaurar sistema".

Normalmente este tipo de infecciones por Ransomware(y en algunos otros también) lo que suelen hacer es eliminar y/o desactivar-dañar esa opción(Restaurar sistema) para que NO exista esa posibilidad, en tu caso probablemente NO se llegase a producirse o algo fallase en el proceso.

Espero que esto aclare tu consulta. :thinking:

Saludos.

Amigo, tengo el mismo problema con el virus .mado, quería ver el video que pusiste, pero me sale como no disponible, o privado, me lo podrías compartir por favor?