Ransomware

Hola @Poche_King

Primero una consulta tienes El acceso controlado a carpetas activado en Windows Defender ademas de Cyberansomfree???

Desde cuando tienes instalado Cyberansomfree?

La herramienta quedo discontinuada recientemente y YA NO se puede descargar o actualizar, a pesar de ello sigue siendo útil y haciendo perfectamente su trabajo.

Lo que estas describiendo es el propio comportamiento de la herramienta.

Usa una técnica de control un tanto curiosa La forma de actuar que tiene es la de crear carpetas con nombre raros que suelen empezar con _guiones bajos o con nombre que empiezan por letra o números para que queden posicionados alfabéticamente como las primeras carpetas de los directorios donde se ubica, normalmente en C: y en las carpetas del usuario fundamentalmente.

En esas carpetas ubican ficheros de tipo Excel, Word, Acces, TXT, JPG y algunos otros, que ademas son ficheros con pocos bytes y corruptos para que de esa manera según intenten ser eliminados salte el bloqueo de Cybereason.

En algunos casos los ficheros son ocultos pero también los hay que quedan visibles sin tener habilitado la visualización de ese tipo de ficheros/carpetas con atributos de “solo lectura” y/o “oculto”.

En Síntesis la herramienta cree que un Rasonware te esta atacando por que tu borras los archivos que ella crea para protegerte.:upside_down_face:


No se ven infecciones en tu equipo, solo algunos restos.

Sigue estos pasos:

1.- Muy Importante >>> Realizar una copia de Seguridad de su Registro.

  • Descarga DelFix en el escritorio de Windows.
  • Clic Derecho, “Ejecutar como Administrador”.
  • En la ventana principal, marca solamente la casilla “Create Registry Backup”.
  • Clic en Run.

Al terminar se abrirá un reporte llamado DelFix.txt, guárdelo por si fuera necesario y cierre la herramienta…

2.- Desactiva Temporalmente tu antivirus. y cualquier (TODOS) otro programa de Seguridad.

3.- Abre un nuevo archivo Notepad/Bloc de Notas y copia y pega este contenido:


Start
CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-1190635516-3450097252-2682465791-1001\...\Policies\Explorer: []
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
FF HKU\S-1-5-21-1190635516-3450097252-2682465791-1001\...\Firefox\Extensions: [[email protected]] - C:\Users\dark1\AppData\Roaming\ACEStream\extensions\awe\firefox\acewebextension_unlisted.xpi => not found
FF Plugin-x32: @videolan.org/vlc,version=2.2.4 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll [2019-08-14] (VideoLAN -> VideoLAN)
FF Plugin HKU\S-1-5-21-1190635516-3450097252-2682465791-1001: @acestream.net/acestreamplugin,version=3.1.11 -> C:\Users\dark1\AppData\Roaming\ACEStream\player\npace_plugin.dll [No File]
CHR StartupUrls: Default -> "hxxp://inicio.lalibrenoticia.com/","hxxp://www.mystartsearch.com/?type=hp&ts=1422239259&from=smt&uid=SamsungXSSDX840XPROXSeries_S12PNEAD101144P","hxxp://www.mystartsearch.com/?type=hp&ts=1428875988&from=cor&uid=SamsungXSSDX840XPROXSeries_S12PNEAD101144P","hxxps://www.google.com/"
CHR HKLM-x32\...\Chrome\Extension: [dhancbnhabhandieicagelcddkdfgoif] - C:\Program Files (x86)\Allavsoft\Video Downloader Converter\extensions\3.14.8.6425\BVDChromeExt.crx [2017-08-08]
CHR HKLM-x32\...\Chrome\Extension: [elhpdacimkjpccooodognopfhbdgnpbk] - hxxps://chrome.google.com/webstore/detail/elhpdacimkjpccooodognopfhbdgnpbk
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
ContextMenuHandlers1: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} =>  -> No File
ContextMenuHandlers6: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} =>  -> No File
AlternateDataStreams: C:\ProgramData\TEMP:4FC01C57 [128]
AlternateDataStreams: C:\ProgramData\TEMP:B4258C5D [188]
FirewallRules: [{BE143C7D-3B00-4AB6-8FA0-EC2CE921892C}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe No File
FirewallRules: [{313B81C9-4A5F-41BD-8570-FE62D111C5DA}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe No File
FirewallRules: [{202D2B8B-5830-437E-833F-CF544B1DB15E}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe No File
FirewallRules: [{2CEE9A19-7202-42E8-B837-0258791F3B0F}] => (Allow) C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamUserAgent.exe No File

CMD: ipconfig /flushdns
CMD: ipconfig /renew
CMD: bitsadmin /reset /allusers
CMD: netsh winsock reset
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
RemoveProxy:
EmptyTemp:
Hosts:
END
  • Lo guardas bajo el nombre de fixlist.txt en el escritorio <<< Esto es muy importante.

Nota: Es necesario que el ejecutable Frst.exe y fixlist.txt se encuentren en la misma ubicación (escritorio) o si no la herramienta no trabajara.

  • Ejecutas Frst.exe.
  • Presionas el botón Fix y aguardas a que termine.
  • La Herramienta guardara el reporte en tu escritorio (Fixlog.txt).
  • Lo pegas en tu próxima respuesta.

Nos comentas .

Salu2.