Ransomware

Hola buenas.

EDICION: He intentado colgar unas imagenes de todo, pero por lo visto al tener cuenta nueva no me deja subir imagenes.

Parece ser que tengo un ransomware en el ordenador desde hace unos dias. Ningun antivirus lo detecta como tal, pero la herramienta cyberansomfree es la que esta deteniendo la encriptacion.

Antivirus he probado Windows Defender, Avast, Malwarebytes, ESET y Kaspersky rescue disk.

La forma de actuar es la siguiente. En todas las unidades, en la raiz y en carpetas del sistema, se crean dos carpetas nuevas con nombres raros creados al azar, y dentro de las carpetas hay archivos de varios tipos de extensiones, con nombres tambien al azar.

Los antivirus no detectan nada raro, pero si intento borrar esos archivos o las carpetas, entonces me salta el Cyberansomfree alertandome que se estan intentando encriptar archivos:

Tambien he detectado que se han duplicado varios servicios de windows, añadiendo un guion y texto tambien al azar

Si borro las carpetas se vuelven a crear. Las puedo borrar en modo a prueba de fallos, al igual que los servicios, pero al reiniciar se vuelven a crear otra vez.

Kaspersky rescue disk no puede hacer nada, me deja ver las unidades, pero no puede montarlas y no analiza ni me deja borrar.

IDRansomware no puedo usarlo porque al no encriptarse los archivos no me sale un mensaje de advertencia.

Adjunto el log de Hijackthis:

HiJackThis.txt (42,8 KB)

Gracias de antemano por la ayuda.

Hola @Poche_King

Bienvenido al Foro!!!

Interesante.

Veamos tu equipo mas profundamente:

Realiza lo siguiente:

1.- Desactiva temporalmente tu antivirus y cualquier programa de seguridad.

2.- Descarga Farbar Recovery Scan Tool. en el escritorio, seleccionando la versión adecuada para la arquitectura (32 o 64bits) de su equipo. >> Como saber si mi Windows es de 32 o 64 bits.?

  • Ejecuta FRST.exe.
  • En el mensaje de la ventana del Disclaimer, pulsamos Yes
  • En la ventana principal pulsamos en el botón Scan y esperamos a que concluya el proceso.
  • Se abrirán dos(2) archivos(Logs), Frst.txt y Addition.txt, estos quedaran grabados en el escritorio.

Guía: Como Ejecutar FRST

3.- En tu próxima respuesta, pega los reportes generados.

Guía : ¿Como Pegar reportes en el Foro?

Esperamos esos reporte.

Salu2

Aqui dejo los reportes solicitados.

FRST.txt (128,8 KB) Addition.txt (61,8 KB)

Hola @Poche_King

Primero una consulta tienes El acceso controlado a carpetas activado en Windows Defender ademas de Cyberansomfree???

Desde cuando tienes instalado Cyberansomfree?

La herramienta quedo discontinuada recientemente y YA NO se puede descargar o actualizar, a pesar de ello sigue siendo útil y haciendo perfectamente su trabajo.

Lo que estas describiendo es el propio comportamiento de la herramienta.

Usa una técnica de control un tanto curiosa La forma de actuar que tiene es la de crear carpetas con nombre raros que suelen empezar con _guiones bajos o con nombre que empiezan por letra o números para que queden posicionados alfabéticamente como las primeras carpetas de los directorios donde se ubica, normalmente en C: y en las carpetas del usuario fundamentalmente.

En esas carpetas ubican ficheros de tipo Excel, Word, Acces, TXT, JPG y algunos otros, que ademas son ficheros con pocos bytes y corruptos para que de esa manera según intenten ser eliminados salte el bloqueo de Cybereason.

En algunos casos los ficheros son ocultos pero también los hay que quedan visibles sin tener habilitado la visualización de ese tipo de ficheros/carpetas con atributos de “solo lectura” y/o “oculto”.

En Síntesis la herramienta cree que un Rasonware te esta atacando por que tu borras los archivos que ella crea para protegerte.:upside_down_face:


No se ven infecciones en tu equipo, solo algunos restos.

Sigue estos pasos:

1.- Muy Importante >>> Realizar una copia de Seguridad de su Registro.

  • Descarga DelFix en el escritorio de Windows.
  • Clic Derecho, “Ejecutar como Administrador”.
  • En la ventana principal, marca solamente la casilla “Create Registry Backup”.
  • Clic en Run.

Al terminar se abrirá un reporte llamado DelFix.txt, guárdelo por si fuera necesario y cierre la herramienta…

2.- Desactiva Temporalmente tu antivirus. y cualquier (TODOS) otro programa de Seguridad.

3.- Abre un nuevo archivo Notepad/Bloc de Notas y copia y pega este contenido:


Start
CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-1190635516-3450097252-2682465791-1001\...\Policies\Explorer: []
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
FF HKU\S-1-5-21-1190635516-3450097252-2682465791-1001\...\Firefox\Extensions: [[email protected]] - C:\Users\dark1\AppData\Roaming\ACEStream\extensions\awe\firefox\acewebextension_unlisted.xpi => not found
FF Plugin-x32: @videolan.org/vlc,version=2.2.4 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll [2019-08-14] (VideoLAN -> VideoLAN)
FF Plugin HKU\S-1-5-21-1190635516-3450097252-2682465791-1001: @acestream.net/acestreamplugin,version=3.1.11 -> C:\Users\dark1\AppData\Roaming\ACEStream\player\npace_plugin.dll [No File]
CHR StartupUrls: Default -> "hxxp://inicio.lalibrenoticia.com/","hxxp://www.mystartsearch.com/?type=hp&ts=1422239259&from=smt&uid=SamsungXSSDX840XPROXSeries_S12PNEAD101144P","hxxp://www.mystartsearch.com/?type=hp&ts=1428875988&from=cor&uid=SamsungXSSDX840XPROXSeries_S12PNEAD101144P","hxxps://www.google.com/"
CHR HKLM-x32\...\Chrome\Extension: [dhancbnhabhandieicagelcddkdfgoif] - C:\Program Files (x86)\Allavsoft\Video Downloader Converter\extensions\3.14.8.6425\BVDChromeExt.crx [2017-08-08]
CHR HKLM-x32\...\Chrome\Extension: [elhpdacimkjpccooodognopfhbdgnpbk] - hxxps://chrome.google.com/webstore/detail/elhpdacimkjpccooodognopfhbdgnpbk
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
ContextMenuHandlers1: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} =>  -> No File
ContextMenuHandlers6: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} =>  -> No File
AlternateDataStreams: C:\ProgramData\TEMP:4FC01C57 [128]
AlternateDataStreams: C:\ProgramData\TEMP:B4258C5D [188]
FirewallRules: [{BE143C7D-3B00-4AB6-8FA0-EC2CE921892C}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe No File
FirewallRules: [{313B81C9-4A5F-41BD-8570-FE62D111C5DA}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe No File
FirewallRules: [{202D2B8B-5830-437E-833F-CF544B1DB15E}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe No File
FirewallRules: [{2CEE9A19-7202-42E8-B837-0258791F3B0F}] => (Allow) C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamUserAgent.exe No File

CMD: ipconfig /flushdns
CMD: ipconfig /renew
CMD: bitsadmin /reset /allusers
CMD: netsh winsock reset
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
RemoveProxy:
EmptyTemp:
Hosts:
END
  • Lo guardas bajo el nombre de fixlist.txt en el escritorio <<< Esto es muy importante.

Nota: Es necesario que el ejecutable Frst.exe y fixlist.txt se encuentren en la misma ubicación (escritorio) o si no la herramienta no trabajara.

  • Ejecutas Frst.exe.
  • Presionas el botón Fix y aguardas a que termine.
  • La Herramienta guardara el reporte en tu escritorio (Fixlog.txt).
  • Lo pegas en tu próxima respuesta.

Nos comentas .

Salu2.

Gracias SanMar, tienes toda la razon, no es un virus, es el funcionamiento de cyberansomware. De hecho deberia haberlo supuesto, sabia como funcionaba el programa. Pero hacia tiempo que no usaba este ordenador y se me habia olvidado.

Tambien he ejecutado las reparaciones recomendadas.

Agradezco mucho tu ayuda y la labor de este foro. Por mi parte se puede cerrar el tema.

Un saludo a todos.

Hola @Poche_King

Deberías haber puesto el reporte del Fixlog para revisar si todo estaba en orden.

Para eliminar las herramientas utilizadas:

Descargas >> Delfix, a tu escritorio.

  • Doble clic para ejecutarlo.(Si usas Windows Vista/7 /8 /10,presiona clic derecho y selecciona >> “Ejecutar como Administrador”)
  • Marca las casilla Remove disinfection tools y Purgue Sistem Restore
  • Pulsar en Run.

Se abrirá el informe (DelFix.txt), guárdalo por si fuera necesario y cierra la herramienta.


Que bueno que hayamos podido resolver tu consulta…:+1:

Para otros problemas, ya sabes donde encontrarnos. :wink:

Tema Solucionado

Salu2.