Ransomware zqqw

Hola nuevamente,

Hay algunos detalles pero para no desviarnos mucho del tema principal realiza lo siguiente:

:one: Crea otra copia de seguridad del registro con Registry Backup

:two: Deshabilita nuevamente tu antivirus: ¿Cómo deshabilitar temporalmente su Antivirus?

:three: En el equipo, con los demás programas cerrados abra el notepad; puede abrirlo en la barra de búsqueda de windows y escribiendo notepad.exe

Posteriormente, copie y pegue este script de reparación dentro del Notepad comenzando en Start y terminando en End:

Start
SystemRestore: On
CreateRestorePoint:
CloseProcesses:

Policies: C:\ProgramData\NTUSER.pol: Restricción <==== ATENCIÓN
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\53355339.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\53355339.sys => ""="Driver"

CMD: ipconfig /flushdns
CMD: ipconfig /renew
POWERSHELL: Get-BitsTransfer -AllUsers | Remove-BitsTransfer
EmptyTemp:
End
  • Vaya a Archivo y selecciona Guardar Como.
  • En la parte de Códificación eliga Unicode o UTF8 según le de la opción.
  • Guardelo bajo el nombre de fixlist.txt en el escritorio al igual que FRST. Esto es muy importante.

¡:warning:ATENCIÓN! El anterior Script de reparación fue hecho específicamente por un miembro del Staff para este usuario, si tiene un problema similar por favor abra su propio tema para recibir ayuda personalizada. Usar Scripts de otros usuarios puede causar daños a su equipo

  • Ejecute Frst.exe. y presione el botón Fix / Corregir
  • Espere pacientemente a que termine y no use el equipo. Al terminar el equipo podría reiniciarse
  • La Herramienta guardara el reporte en su escritorio (Fixlog.txt).

:four: En la barra de búsqueda del menu de inicio escribe cmd y la primer opción dale clic derecho y selecciona Ejecutar como administrador. Se abrirá una ventana negra, en esta pega el siguiente comando:

sfc /scannow
  • Espera pacientemente a que termine y revisa si teda un mensaje de si encontró o no infracciones y si pudo repararlas. Si te lo pide reinicia.

  • Si encontró algún después de que termine y si hace falta reiniciar ejecuta CMD nuevamente pero con este comando para obtener detalles de la reparación, si no encontró nada puedes omitir este paso:


findstr /c:"[SR]" %windir%\Logs\CBS\CBS.log >"%userprofile%\Desktop\sfcdetails.txt"

Nos traerías:

  • El nuevo reporte de fixlog
  • Comentarios de si sfc encontró problemas, si los pudo reparar y de haber encontrado el reporte sfcdetails que se encontrará en tu escritorio.

Saludos

1 me gusta

buenas noches si encontro unos problemas y aparecio que logro repararlos te anexo ambos reportes

Fixlog.txt (3,4 KB)

sfcdetails.txt (21,5 KB)

nuevamente muchas gracias

Hola nuevamente,

Gracias por ser agradecida :+1:

Como parte final de las reparaciones realiza lo siguiente (si necesitas imprime, saca captura o revisa las siguientes instrucciones desde tu móvil):

:one: Descarga y descomprime Windows Repair Portable en cualquier lugar de fácil acceso.

Tweaking.com - Windows Repair Portable

:two: Inicia en modo seguro: Iniciar el PC en modo seguro

:three: Abre la carpeta de Windows Repair e inicia Repair_Windows. Espera a que inicie y ve a la pestaña Repairs-Main y selecciona la opción Open Repairs.

Se abrirá la ventana de reparaciones. En esta dirígete al listado de la parte izquierda y marca las siguientes casillas:

  • 01 - Reset Registry Permissions
  • 02 - Reset File Permissions
  • 03 - Reset Service Permissions
  • 04 - Register SystemFiles
  • 05 - Repair WMI1
  • 10 - Remove Policies set by Infections
  • 14 - Remove Temp Files
  • 16 - Repair Windows Update
  • 20 - Repair MSI (Windows Installer)
  • 25 - Restore Important Windows Services
  • 26 - Set Windows Services to default Startup
  • 31 - Restore UAC (User Account Control) Settings
  • 32 - Repair Performance Counters

Ya con esto seleccionado das en Start Repairs. Espera pacientemente a que termine. Una vez que lo haga reinicia en modo normal.

Nos comentas como te fue y como esta funcionando. Si todo esta en orden podríamos ir listando que opciones tienes para des-encriptar tus archivos.

Saludos

1 me gusta

Leer la parte final me tiene muy contenta de verdad ya voy a realizar lo que me pides

Terminando esos procesos aparecio mensajes de que no se pudo encontrar archivos te los dejo anexado

Repair_WMI.txt (149,5 KB)

Repair_Windows_Updates.txt (19,7 KB)

Remove_Temp_Files.txt (541 Bytes)

el inicio del windows normal ya no sale el mensaje de scanear discos, al entrar windows el fondo de pantalla cambio al predeterminado, y hasta los momentos se ve bien

Hola nuevamente,

Muy bien parece que el equipo ha quedado en orden.

Como paso final descarga la siguiente herramienta:

KrPm

  • Ejecútala, acepta el declaimer.
  • Asegurate de que solo este marcada las opciones:
    • Delete Tools/ Eliminar herramientas.
    • Delete now / Borrar ahora (Delete quarantine / borrar cuarentena)
  • Presiona en Run / Ejecutar.

En cuanto a la recuperación de archivos no es totalmente positivo. Me parece ver que ya has intentado algunas cosas. Pero tus opciones son:

:asterisk: Puedes probar la herramienta para tu variante de ransomware que es STOP (Djvu)

STOP Ransomware - descifrador gratuito (STOP Djvu Decryptor)

  • Puedes probar si falla la siguiente herramienta que se enfoca en desencriptar archivos multimedia (música y video)

Media_Repair, file repair for STOP/DJVU (MP3, MP4, 3GP) – DiskTuna // Photo Repair & Photo Recovery

:asterisk: Probar subir alguno de tus archivos a alguna de estas páginas para ver si aportan alguna herramienta distinta:

:asterisk: Probar con Shadow Explorer:

Shadow Explorer

:asterisk: Probar con programas para recuperar archivos eliminados. Te dejo algunos:

:asterisk: Subir tus archivos a la web de DrWeb y esperar para ver si te pueden ayudar a recuperarlos:

Recuperación de archivos cifrados por un troyano extorsionista — gratis o de pago en Dr.Web Rescue Pack

:asterisk: Guardar tus archivos en espera que en algún futuro salga alguna solución más especifica.

Más allá de eso de momento no hay más alternativas.

Saludos

1 me gusta

buenos dias ya ejecute el programa que me mencionas, shadow explorer estoy recuperando los archivos por export

mi pregunta es que hago con los archivos que estan con la extension .zqqw ? los borro o que me recomiendas

ya por el shadow explorer estan descargandose hay alguna manera de luego de recuperar lo necesario hacer algun tiempo de scanner? para saber que esta libre de virus esos archivos? y poder pasarlos a un pendrive sin que pueda infectar otra pc?

te comento la pc se queda cuando inicia en windows en negro y luego recien aparece la barra de inicio windows y luegos inconos de escritorio, pero aparte de eso esta funcionando bien

Hola nuevamente,

Respecto a esto primero revisa que el archivo que recuperes pueda ser leido. Si es así puedes borrar su versión encriptada. Si ves que no se logra recuperar algo bien podrías querer mantenerla por si en un futuro se puede desencriptar.

Tu PC estaría libre de virus pero siempre podemos revisar por si acaso.

Podemos hacer posteriormente un chckdsk más profundo pero a este punto te comento que es posible que sea una secuela por parte de la infección y algunos algo que se haya corrompido y no se haya podido arreglar completamente.

A este punto, si tu windows es original podrías considerar hacer upgrade a windows 10.

Igual ya nos vas comentando.

Saludos

revisando lo obtenido si puede leer en su mayoria todo, pero si te comento que en disco c hay muchos archivos con esa misma extension,

Toma tu tiempo en recuperar y nos comentas cuando termines. Como nota, si hay archivos que no reconoces bien puedes omitirlos. Es posible que encuentres algunos temporales encriptados que no tendría caso atender.

los archivos desde el dia antes 03/07/2020 de hacer todo el proceso que hemos hecho no me deja recuperarlos y los de esta fecha ya estan con esa extension

Y antes yo habia recuperado con shadow explorer antes de hacer esta limpieza algunos archivos ahora me dice que no puede copiarlos a que se debe eso porque los veo ahi pero no me deja? sera por antivirus activado?

ya lo desactive el avast ahora si me deja hacer otra vez la exportacion, eso que significa?

Hola nuevamente,

Esto puede ser en gran parte por la infección.Parte de las cosas que hacen este tipo de infecciones es dificultar que puedas usar otro medio para restaurar. Ya sea borrando copias, incluidas las que saca Shadow Explorer, y en ocasiones hace una segunda encriptación si tardas en pagar el rescate para que la perdida sea permanente y a modo de “castigo” por no pagar. Esto ultimo no creo que sea el caso, pero para tener en cuenta por si algo no se recupera.

Igual leyendo lo que comentas, al desactivar Avast esta dejando exportar lo que no dejaba. Esto puede ser parte de la protección de Avast. Es posible que este bloqueando el acceso como medida para que nno pueda eliminar estas copias.

Lo recomendable sería rescatar lo que puedas. Probar con alguna de las otras opciones para ver si se puede rescatar más información.

Ya tengo todos los archivos puedo pasarlos a un pendrive? O hay que hacer un scaneo?

Hola nuevamente,

No considero que haga falta. Pero si quieres te puedo recomendar algun escaneo para despejar dudas.

Saludos

Si porfavor y muchas gracias por todo

Luego de recuperar todo me indicas que deberia actualizarlo a windows 10?

Buenas,

Más que nada es una recomendación y posibilidad que tendrías. Claro siempre que tu licencia actual sea original. Tengamos en cuenta que Windows 7 esta sin soporte por lo que salvo en casos muy específicos no recibirá actualizaciones ni parches de seguridad.

Vamos con uno de los más especializados.

Realiza lo siguiente:

:white_check_mark: Descarga DrWeb Cureit:

Dr.Web CureIt! | InfoSpyware >> Manual de Uso

Ejecuta Drweb según su manual considerando lo siguiente:

  • Ejecuta un análisis personalizado con los parámetros que indica el manual
  • Asegurate de poner el reporte en mínimo como indica el manual
  • Curas, Mueves y Eliminas, lo que encuentre según te de la opción y con ese orden de preferencia.
  • Si te detecta el archivo Hosts puedes permitir que DrWeb lo restaure.
  • Al terminar, revisa el manual en la sección Informe de análisis obtener la parte del reporte que nos interesa.

Si detecto algo nos traerías ese reporte.

Saludos

1 me gusta

El windows 7 que tengo es de fabrica de la pc atras de la lapto tiene su serial

Te comento que ya recupere todo es decir lo mas importante, y borre todo lo demas que tenia esa extension en la pc no tendre problemas verdad?

Buenas,

En cuanto infecciones dudo (a menos que entre una nueva). Pero de presentar cualquier problema o ver que algo funciona no muy bien algún daño que quedo y no se pudo reparar. Pero por lo que comentas el equipo esta funcionando bien.

Saludos

Ok ya voy hacer el.scaneo y cualquier cosa te adjunto si sale algo muchas gracias