Urgente ransomware .good, recuperar archivos


#1

Estimados gusto saludarlos, el motivo que escribo, es por que el ransomware y/o virus o troyano. PDM: Trojan.Win32.Bazon.a , mi antivirus kaspersky lo elimino, pero sale que en el proceso de memoria , esta presente.

Sale así los mensajes:

  1. El objeto detectado (archivo) se ha eliminado C:\Windows\System32\shost.exe Archivo: C:\Windows\System32\shost.exe Nombre de objeto: not-avirus:HEUR:RiskTool.Win32.BitCoinMiner.gen Tipo de objeto: Software legítimo que pueden usar los delincuentes para dañar su equipo o información personal Hora: 20/01/2019 2:06
  2. No se ha procesado el objeto detectado (memoria del proceso) c:\windows\system32\shost.exe Memoria del proceso: c:\windows\system32\shost.exe Nombre de objeto: PDM:Trojan.Win32.Bazon.a Tipo de objeto: Programa troyano Hora: 20/01/2019 2:04

Espero alguna ayuda, mi proposito es recuperar la información.


#2

Hola,

Todos los archivos tienen la extension “.good” o el antivirus te hace saltar alguna notificacion? Si tienes algun archivo, subelo a ID-Ransomware y si tienes suerte te dira donde conseguir el desencriptador, aunque no es muy probable.

Saludos.


#3

Estimado Facundo gracias por su respuesta. todos los archivos están con extensión .GOOD he pasado nuevamente el antivirus kaspersky small office y no encuentra nada, pero sale ese mensaje que copie, cómo si el ransomware no haya sido quitado aún. En la carpeta sytem32, encontré un archivo info.hta, lo elimine y ya no me sale el mensaje para pagar. tengo duda de un archivo: rgsvr.exe tengo la duda que sea virus, troyano o ransomware.


#4

Tu me dices que stan cifrados con el .good, sube cualquier archivo con esta encriptacion a la web ID-Ransomware y veras si existe o no un desencriptador. Si no existe, no queda otra que esperar, formatear el equipo o regresar a una copia de seguridad del sistema si es que la has creado.


#5

Logre pasar por id ransomware y sale que no es posible desencriptar. Gracias por su ayuda.


#8

Hola @ghino , lamentablemente aun no hay una herramienta gratuita para poder descifrar loas archivos encriptados por el ransomware Scarab

  • Extensión: .GOOD
  • Nota de rescate: HOW TO RECOVER ENCRYPTED FILES.TXT
  • Emails: [email protected]

Por el momento no existe una solución gratuita para recuperar los archivos cifrados por Scarab, pero hay un afiliado de Dr.Web que cobra unos $150 por una herramienta especifica para cada afectado y garantiza la restauración de la data.

De lo contrario, toca guardar los archivos afectados por si en algún momento a futuro se consiguen las llaves maestras para poder crear una herramienta genérica capaz de descifrar los archivos de Scarab.

Salu2


abierto #9

#10

Estimado Marcelo gracias por su respuesta. Efectivamente este ransomware es muy peligroso , que el ataque que tuve fue por protocolo bruteforce rdp. Ojalá en un futuro se logré descifrar los archivos de ,manera gratuita.

Salu2.


#11

Si, te recomiendo guardar los archivos y esperar por una herramienta gratuita. Es difícil, porque requiere mucho proceso para cada variante requiere de muchos procesos matemáticos específicos para generar la herramienta y por eso es que hasta ahora no ha habido una universal.

Pero no pierdas las esperanzas… refuerza tu seguridad y por supuesto el RPD.

Damos el tema por terminado.

Salu2


#12

Muchas gracias. Estoy configurando mi FW, para generar black list de estos atacantes.

Saludos.


cerrado #13

Este tema se cerró automáticamente 2 días después del último post. No se permiten nuevas respuestas.