Ransomware zqqw

Terminando esos procesos aparecio mensajes de que no se pudo encontrar archivos te los dejo anexado

Repair_WMI.txt (149,5 KB)

Repair_Windows_Updates.txt (19,7 KB)

Remove_Temp_Files.txt (541 Bytes)

el inicio del windows normal ya no sale el mensaje de scanear discos, al entrar windows el fondo de pantalla cambio al predeterminado, y hasta los momentos se ve bien

Hola nuevamente,

Muy bien parece que el equipo ha quedado en orden.

Como paso final descarga la siguiente herramienta:

KrPm

  • Ejecútala, acepta el declaimer.
  • Asegurate de que solo este marcada las opciones:
    • Delete Tools/ Eliminar herramientas.
    • Delete now / Borrar ahora (Delete quarantine / borrar cuarentena)
  • Presiona en Run / Ejecutar.

En cuanto a la recuperación de archivos no es totalmente positivo. Me parece ver que ya has intentado algunas cosas. Pero tus opciones son:

:asterisk: Puedes probar la herramienta para tu variante de ransomware que es STOP (Djvu)

STOP Ransomware - descifrador gratuito (STOP Djvu Decryptor)

  • Puedes probar si falla la siguiente herramienta que se enfoca en desencriptar archivos multimedia (música y video)

Media_Repair, file repair for STOP/DJVU (MP3, MP4, 3GP) – DiskTuna // Photo Repair & Photo Recovery

:asterisk: Probar subir alguno de tus archivos a alguna de estas páginas para ver si aportan alguna herramienta distinta:

:asterisk: Probar con Shadow Explorer:

Shadow Explorer

:asterisk: Probar con programas para recuperar archivos eliminados. Te dejo algunos:

:asterisk: Subir tus archivos a la web de DrWeb y esperar para ver si te pueden ayudar a recuperarlos:

Recuperación de archivos cifrados por un troyano extorsionista — gratis o de pago en Dr.Web Rescue Pack

:asterisk: Guardar tus archivos en espera que en algún futuro salga alguna solución más especifica.

Más allá de eso de momento no hay más alternativas.

Saludos

1 me gusta

buenos dias ya ejecute el programa que me mencionas, shadow explorer estoy recuperando los archivos por export

mi pregunta es que hago con los archivos que estan con la extension .zqqw ? los borro o que me recomiendas

ya por el shadow explorer estan descargandose hay alguna manera de luego de recuperar lo necesario hacer algun tiempo de scanner? para saber que esta libre de virus esos archivos? y poder pasarlos a un pendrive sin que pueda infectar otra pc?

te comento la pc se queda cuando inicia en windows en negro y luego recien aparece la barra de inicio windows y luegos inconos de escritorio, pero aparte de eso esta funcionando bien

Hola nuevamente,

Respecto a esto primero revisa que el archivo que recuperes pueda ser leido. Si es así puedes borrar su versión encriptada. Si ves que no se logra recuperar algo bien podrías querer mantenerla por si en un futuro se puede desencriptar.

Tu PC estaría libre de virus pero siempre podemos revisar por si acaso.

Podemos hacer posteriormente un chckdsk más profundo pero a este punto te comento que es posible que sea una secuela por parte de la infección y algunos algo que se haya corrompido y no se haya podido arreglar completamente.

A este punto, si tu windows es original podrías considerar hacer upgrade a windows 10.

Igual ya nos vas comentando.

Saludos

revisando lo obtenido si puede leer en su mayoria todo, pero si te comento que en disco c hay muchos archivos con esa misma extension,

Toma tu tiempo en recuperar y nos comentas cuando termines. Como nota, si hay archivos que no reconoces bien puedes omitirlos. Es posible que encuentres algunos temporales encriptados que no tendría caso atender.

los archivos desde el dia antes 03/07/2020 de hacer todo el proceso que hemos hecho no me deja recuperarlos y los de esta fecha ya estan con esa extension

Y antes yo habia recuperado con shadow explorer antes de hacer esta limpieza algunos archivos ahora me dice que no puede copiarlos a que se debe eso porque los veo ahi pero no me deja? sera por antivirus activado?

ya lo desactive el avast ahora si me deja hacer otra vez la exportacion, eso que significa?

Hola nuevamente,

Esto puede ser en gran parte por la infección.Parte de las cosas que hacen este tipo de infecciones es dificultar que puedas usar otro medio para restaurar. Ya sea borrando copias, incluidas las que saca Shadow Explorer, y en ocasiones hace una segunda encriptación si tardas en pagar el rescate para que la perdida sea permanente y a modo de “castigo” por no pagar. Esto ultimo no creo que sea el caso, pero para tener en cuenta por si algo no se recupera.

Igual leyendo lo que comentas, al desactivar Avast esta dejando exportar lo que no dejaba. Esto puede ser parte de la protección de Avast. Es posible que este bloqueando el acceso como medida para que nno pueda eliminar estas copias.

Lo recomendable sería rescatar lo que puedas. Probar con alguna de las otras opciones para ver si se puede rescatar más información.

Ya tengo todos los archivos puedo pasarlos a un pendrive? O hay que hacer un scaneo?

Hola nuevamente,

No considero que haga falta. Pero si quieres te puedo recomendar algun escaneo para despejar dudas.

Saludos

Si porfavor y muchas gracias por todo

Luego de recuperar todo me indicas que deberia actualizarlo a windows 10?

Buenas,

Más que nada es una recomendación y posibilidad que tendrías. Claro siempre que tu licencia actual sea original. Tengamos en cuenta que Windows 7 esta sin soporte por lo que salvo en casos muy específicos no recibirá actualizaciones ni parches de seguridad.

Vamos con uno de los más especializados.

Realiza lo siguiente:

:white_check_mark: Descarga DrWeb Cureit:

Dr.Web CureIt! | InfoSpyware >> Manual de Uso

Ejecuta Drweb según su manual considerando lo siguiente:

  • Ejecuta un análisis personalizado con los parámetros que indica el manual
  • Asegurate de poner el reporte en mínimo como indica el manual
  • Curas, Mueves y Eliminas, lo que encuentre según te de la opción y con ese orden de preferencia.
  • Si te detecta el archivo Hosts puedes permitir que DrWeb lo restaure.
  • Al terminar, revisa el manual en la sección Informe de análisis obtener la parte del reporte que nos interesa.

Si detecto algo nos traerías ese reporte.

Saludos

1 me gusta

El windows 7 que tengo es de fabrica de la pc atras de la lapto tiene su serial

Te comento que ya recupere todo es decir lo mas importante, y borre todo lo demas que tenia esa extension en la pc no tendre problemas verdad?

Buenas,

En cuanto infecciones dudo (a menos que entre una nueva). Pero de presentar cualquier problema o ver que algo funciona no muy bien algún daño que quedo y no se pudo reparar. Pero por lo que comentas el equipo esta funcionando bien.

Saludos

Ok ya voy hacer el.scaneo y cualquier cosa te adjunto si sale algo muchas gracias

Muy bien,

Junto con el escaneo comentanos que dudas/problemas van quedando o si consideras podamos dar el tema por solucionado.

buenas noches aqui te anexo el reporte solo aparecio 3 detectados y creo que ya esta solucionado como me indicas, actualizare el windows porque el disco C tiene vari os archivos con la extension zqqw y nose si eliminarlo o si afectara algo por todo lo demas ya recupere practicamente todo por shadow explorer


-----------------------------------------------------------------------------
Start curing
-----------------------------------------------------------------------------

\NSP\19\WindowsLive Local NSP\Device\HarddiskVolume2\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL - cured, reboot required
\NSP\12\WindowsLive NSP\Device\HarddiskVolume2\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL - cured, reboot required
C:\Users\User\Desktop\documentos\Reset_Epson_TX420W\RESET_EPSON_TX420W.exe - quarantined

Total 73161355857 bytes in 332777 files scanned (710801 objects)
Total 332746 files (710687 objects) are clean
Total 1 file are infected
Total 2 files are suspicious
Total 3 files are neutralized
Total 109 files are raised error condition
Scan time is 04:12:02.415

Hola nuevamente,

Lo que detecto no es de mayor importancia. Hay archivos que parece estaban corruptos pero fueron desinfectados. Respecto a los archivos que quedan con extensión zqqw puedes borrarlo si no los conoces o ya lograste recuperarlos por medio de Shadow Explorer. No causaras mayor problema ya que estos archivos son completamente inutilizables.

Respecto a la actualización te dejo un par de archivos de información:

Por tu SO deberías poder actualizar a Windows 10 Home. Igual revisa un poco para ver si de igual forma te interesa. De momento te puedo decir que este tiene acceso a más opciones de reparación que Win7.

Igualmente, al menos al comienzo podría convenir desinstalar tu AV y ya en windows 10 ver si te interesa el que incluye o quieres volver a Avast. Si tienes dudas al respecto puedes ir al foro de Sistemas Operativos y externarlas

Para poder dar el tema por solucionado habría que marcar una respuesta como tal. Te dejo información:

Te recomendamos mantenerte informado en InfoSpyware Blog y siguiendo tambien nuestras vías de difusión E-Mail - Facebook - Twitter.

Tema Solucionado

1 me gusta

Este tema se cerró automáticamente 2 días después de la última publicación. No se permiten nuevas respuestas.