Hola, acudo a la buena volutad del foro, ya que busque por los temas y no encontré al respecto. Me aparecieron archivos con extensión .0xxx, buscando por Google, se trata de un ransomware en el cual piden dinero en bitcoins por el rescate por mis archivos… habrá alguna forma de desencriptarlos?. Gracias.
1 me gusta
Hola, buenas @Marioge bienvenido al foro. Al ser nuevo le recomiendo que se lea usted las Clic aquí: políticas de este. No porque haya hecho usted nada mal, sino para saber más acerca del funcionamiento de este.
Aclarado esto @Marioge, voy a intentar ayudarle pero antes necesito que me responda usted a algunas preguntas:
Le hago algunas preguntas @Marioge: ¿Le ha realizado usted un proceso de análisis con su Suite de Seguridad a su ordenador? ¿Dispone usted de los Informes y/o Reportes que le a generado las diferentes Suite de Seguridad cuando usted le ha realizado los procesos de análisis a su ordenador en busca de virus e infecciones? Mándeme usted los Informes y/o Reportes para que pueda revisarlos.
@Marioge: ¿Se ha descargado e instalado usted algún programa en su ordenador de alguna página no fiable?
Para poder enviarme el Informe y/o Reporte correctamente que le solicite a partir de ahora en este tema realice usted los siguientes pasos que le indico a continuación:
Como se muestra en el siguiente EJEMPLO:
Quedo a la espera de su respuesta!
1 me gusta
Malwarebytes
www.malwarebytes.com
-Detalles del registro-
Fecha del análisis: 9/7/23
Hora del análisis: 20:48
Archivo de registro: 1b59a5cf-1eb3-11ee-bad3-000000000000.json
-Información del software-
Versión: 4.5.32.271
Versión de los componentes: 1.0.2051
Versión del paquete de actualización: 1.0.72057
Licencia: Gratis
-Información del sistema-
SO: Windows 10 (Build 19045.3086)
CPU: x64
Sistema de archivos: NTFS
Usuario: Desktop\Mario
-Resumen del análisis-
Tipo de análisis: Análisis de amenazas
Análisis iniciado por:: Manual
Resultado: Completado
Objetos analizados: 282957
Amenazas detectadas: 5
Amenazas en cuarentena: 5
Tiempo transcurrido: 11 min, 39 seg
-Opciones de análisis-
Memoria: Activado
Inicio: Activado
Sistema de archivos: Activado
Archivo: Activado
Rootkits: Desactivado
Heurística: Activado
PUP: Detectar
PUM: Detectar
-Detalles del análisis-
Proceso: 0
(No hay elementos maliciosos detectados)
Módulo: 0
(No hay elementos maliciosos detectados)
Clave del registro: 0
(No hay elementos maliciosos detectados)
Valor del registro: 0
(No hay elementos maliciosos detectados)
Datos del registro: 0
(No hay elementos maliciosos detectados)
Secuencia de datos: 0
(No hay elementos maliciosos detectados)
Carpeta: 0
(No hay elementos maliciosos detectados)
Archivo: 5
Neshta.Virus.FileInfector.DDS, C:\USERS\MARIO\DESKTOP\RAKHNIDECRYPTOR\ADVANCED_PORT_SCANNER_2.5.3869.EXE, En cuarentena, 1000002, 0, 1.0.72057, 58161A095420C045FAB563AC, dds, 02374144, 6A58B52B184715583CDA792B56A0A1ED, D0C1662CE239E4D288048C0E3324EC52962F6DDDA77DA0CB7AF9C1D9C2F1E2EB
RiskWare.CredentialsFileView, C:\USERS\MARIO\DESKTOP\CREDENTIALSFILEVIEW-X64.ZIP, En cuarentena, 10505, 931187, 1.0.72057, , ame, , 1E7D2D52D608C3BA8CFE4859D6653A09, A4AEFF3AACB33825B3340C1AA2EC5562DA59A190711F508476EA1AE6112BB785
PUP.Optional.WiperSoft, C:\$RECYCLE.BIN\S-1-5-21-1748688970-2166519057-1106235786-1001\$RHT5F4D.EXE, En cuarentena, 5745, 1060871, 1.0.72057, , ame, , 8448A8CCCB22A9D8C9850EFBE66D1644, D80F08FA416F9BEB6E8A705C7D573FFB9D931DF8F15DF8A8EFEA4C2204B53B92
Malware.AI.2201190785, C:\USERS\MARIO\APPDATA\ROAMING\Microsoft\Windows\Recent\A4C30N90IRKPO9E0G56_67QXTS.ZIP.lnk, En cuarentena, 1000000, -2093776511, , , , , 7EF51CAD6DE19DCB7372F25715E5F483, 3917E860E20DFFAD6D8A52D77E23D121C070BC59670D45BC29B4C35845BFF7B0
Malware.AI.2201190785, C:\USERS\MARIO\DESKTOP\A4C30N90IRKPO9E0G56_67QXTS.ZIP, En cuarentena, 1000000, -2093776511, 1.0.72057, 895E8ACFDAD663DD83338181, dds, 02374144, C88DD5C89BF67816F9CA54395A8E5478, C021219A91B46F3567512309D8E2FB97DD8277794A5D2113926DF9987476B3D0
Sector físico: 0
(No hay elementos maliciosos detectados)
WMI: 0
(No hay elementos maliciosos detectados)
(end)
Estimado,
-
Adjunto el informe de Malwarebytes, también realice un análisis con seguridad de Windows, el cual no arrojó informe en una de las pc.
-
Los archivos que menciono estaban en un servidor Linux local que tenia compartido por SMB con Windows, el servidor es el que tiene afectados los archivos, ninguna Pc de la red tiene este inconveniente. El servidor lo apagué y desconecté actualmente de la red, para analizarlo de forma aislada con un arranque limpio.
Desde ya muchas gracias por su ayuda.
1 me gusta
Buenas @Marioge parece que tu ordenador y todos tus documentos han sido cifradas por un ´´ransomware´´ lo primero que hay que hacer es ver a que tipo de familia pertenece la dicha infección ´´Ramsonware´´ Así que lo primero que debes hacer es tratar de identificarlo usando ID-Ransomware
ID Ransomware (Identificación de Ransomware), es una herramienta online gratuita para ayudar a las víctimas a identificar con qué ransomware en particular ha sido infectado.
El servicio detecta e identifica 807 tipos diferentes de ransomware en base a la nota de rescate que muestran y/o a un archivo que ha sido cifrado . Las víctimas deben simplemente cargar los archivos en el sitio y esperar la respuesta.
Si se reconoce el tipo de ransomware y el ransomware puede descodificarse, el usuario será dirigido hacia una herramienta de descifrado:
Si no se conoce ninguna forma de descifrar los datos en ese momento, se le advertirá que la copia de seguridad de los archivos cifrados puede ser su única esperanza o esperar a que un método de descifrado sea descubierta creado en el futuro, agrega además un link de soporte para el malware en cuestión.
- Identifica el ransom en: Clic aquí: ID Ransomware
Sube dos dos archivos que estén cifrados a su pagina, de esta manera sabrás de que familia se trata y si es posible recuperarlos. Déjanos el enlace en este tema con los resultados
Saludos
Buenas @Chicloi , como verás en la imagen hasta el momento ID-Ransomware no tiene información al respecto. Buscando información al respecto veo que el ataque viene ya hace 2 años, hay algunos comentarios que cifra solamente los primeros 64kb del archivo, que en algunos casos al tratarse de .mp3 pudieron recuperarlos cambiando la extensión, pero en otros casos esto no es posible. Seguiremos buscando… por lo pronto queda aislado el disco fuera de la pc hasta encontrar alguna solución
1 me gusta
@Marioge si lo acabo de ver en este tema lo que usted me comenta en este apartado.
@Marioge con respecto a lo que usted comenta en este tema de cambiarle la extensión no lo creo ya que las Infecciones producidad por Ransomware suelen tener una clave de encriptación fuerte y por ello eso no suele ser posible.
@Marioge en respuesta a lo que me comenta usted en este tema es lo más conveniente.
@Marioge el eliminar la Infección ´´Ransomware´´ completamente es fácil lo difícil van a ser el poder desencriptar los archivos ya que depende de la ´´llave de encriptación´´ que tenga la dicha Infección Ramsonwre que se puedan desencriptar o no todos los archivos pero por mi parte voy a intentar llevar la reparación de su ordenador por el cual usted ha abierto este tema hasta el final pero sea consciente usted que puede llevarle varios días el eliminar la dicha ´´infección Ransonware´´ en todo su ordenador y el poder intentar recuperarle todos los archivos que estén encriptados para que pueda usted recuperar sus archivos encriptados correctamente.
@Marioge: ¿Desea usted que se elimine la dicha Infección ´´Ransomware´´ completamente de su ordenador siguiendo usted todos los pasos e indicaciones que yo le deje en este tema y seguidamente poder recuperarle los archivos para poder desencriptarlos?
[color=orange]Quedo a la espera de su respuesta![/color]
Buenas @Marioge le hago una pregunta: ¿Desea usted que demos el tema como solucionado por el cuel usted ha abierto este tema con respecto a la reparación de su ordenador?
Quedo a la espera de su respuesta!
Estimado,
Lo dejamos como “solucionado” hasta que aparezca una prosibilidad de desencriptado de los archivos. Gracias por todo!
1 me gusta
Este tema se cerró automáticamente 2 días después de la última publicación. No se permiten nuevas respuestas.