Virus ficheros extensión YGKZ

Buenos días, Tengo un problema con unos fichero que parece que estan encriptados por un virus. los fichero tienen ext. YGKZ y no me lod deja leer, ademas me han añadido un fichero .txt que me dice que mis ficheros están encriptados y que tengo que pagar un dinero para usar una herramienta para poder utilizar dichos fichero. es un virus verdad?? Me podéis ayudar a eliminar el virus y poder recuperar los archivos?? Gracias.

Hola @peponcete2006,

Siento decirte que es muy posible que tengas un Ransoware de la familia STOP/DJvu,

Voy a dejarte unos enlaces del foro para que los leas y así entiendas mejor de que estamos hablando por favor leetelos os bien.

y el enlace a la pagina:

https://id-ransomware.malwarehunterteam.com/

y leete este tambien:

Un saludo.

¡¡¡ Muchas Gracias ¡¡¡ :grinning: Por la celeridad de respuesta y la información. Probaré lo que me dice. Pero tengo una duda , a ver si me la sabes responder, Tengo Instalado el malwarebytes y antivirus avast free pero no me ha detectado nada de viurs, cómo lo puedo eliminar el virus que me ha infectado los ficheros?? Gracias . Pondré el resultado de la prueba realizada

Hola Loren, pues me sale el siguiente mensaje:

y luego al usar el decrypt_STOPDjvu.exe me dice " Error: No key for New Variant online ID: 2UVlC2YDXwlVvcYlRHIjf93ecdozzLD5DdJ7Nw0s Notice: this ID appears to be an online ID, decryption is impossible " Esto quiere decir que no se puede verdad?? es una actualización nueva y no lo puede desencriptar, cierto?? Gracias

Hola @Loren disculpa que me ponga en el medio pero…

Muy posible no…, sino que lo tiene claramente de dicha familia/variante.

@peponcete2006

Pues sí, pinta muy mal. Hoy en día extensión no se puede descifrar, pero vamos, que por probar que no quede… De todas formas supongo que ya lo probaste de esta forma:

Descarga la siguiente herramienta: Emsisoft Decryptor for STOP Djvu y miras como utilizar esta herramienta a partir de su Manual. Lee todo el manual antes de realizar el proceso, si tienes alguna duda me la haces saber. Seguidamente coges un pequeño grupo de archivos que tengas cifrados con dicha extensión (haz una copia/duplicado de dichos archivos, mejor trabajar siempre en estos casos con copias de los archivos cifrados) y realizas el procedimiento descrito en el manual.

Traes el log / reporte que generará el programa. :warning: Muy Importante :warning: Colocalo como se muestra en la siguiente imagen:

DE MOMENTO NO UTILICES EL ORDENADOR PARA NADA MÁS, NI NINGÚN DISPOSITIVO EXTERNO QUE TENGAS QUE LO HAYAS CONECTADO RECIENTEMENTE A ESTE ORDENADOR LO USES TAMPOCO, pues no sabemos si aún tienes infección alguna o no a pesar de lo que comentas.

Salu2.

Hola Marr0n, ante todo disculpa la tardanza, no he podido utilizar el ordenador ni hacer pruebas. Pues no ha podido descifrar fichero el programa Emsisoft Decryptor for STOP Djvu.

te copio el log del resultado del programa:

Starting…

File: D:\colegio Pablo\AULA VIRTUAL.txt.ygkz Error: No key for New Variant online ID: 2UVlC2YDXwlVvcYlRHIjf93ecdozzLD5DdJ7Nw0s Notice: this ID appears to be an online ID, decryption is impossible

File: D:\colegio Pablo\Ingles macmillaneducation.txt.ygkz Error: No key for New Variant online ID: 2UVlC2YDXwlVvcYlRHIjf93ecdozzLD5DdJ7Nw0s Notice: this ID appears to be an online ID, decryption is impossible

Finished!

Ante esto, no puedo hacer nada verdad?? sólo esperar a que haya alguna versión actualizada del programa y lo haga.

Muchas gracias por la ayuda de loren y la tuya. si se os ocurre algo, por favor no dudar en decrmelo. Muchísimas gracias

1 me gusta

Hola @peponcete2006 ok tranquilo no pasa nada. Disculpado.

OK. Me lo imaginaba ya se veía muy claro de la otra forma, pero preferí asegurar.

De momento te has quedado sin archivos. Lo siento.

¿Tienes sospechas de que tu máquina aún a día de hoy esté infectada por dicho RansomWare o malware vario pinto y quieres que lo validemos/desinfectemos el equipo?

O

¿Quieres que te dé unos consejos acerca de cómo almacenar dichos archivos para sí algún día sí que pueden descifrarse y una serie de recomendaciones para el futuro?

O

¿Ambas cosas?

Ya me dices y seguimos.

Salu2.

Hola Marr0n :smiley: Creo que no está infectado, pero por asegurar pues si me asesoras mejor y vemos como desinfectarlo. y con respecto a la segunda pregunta de asesorar de cómo almacenar los ficheros cifrados y recomendaciones para el futuro… pues por supuesto :grin:

Muchas Gracias, Cuando puedas o quieras me contestas

Feliz Tarde

@peponcete2006 :+1:

De nada. Gracias.

Vamos a por lo primero.

:one: EN BUSCA / ELIMINACIÓN DE MALWARE

(Mantén conectados todos tus dispositivos externos que tengas como: USBs, discos duros externos, etc).

Por favor, descarga todo el software de los enlaces que pongo/de sus respectivos manuales.

Ahora ejecutarás una serie de herramientas respetando el orden los pasos con todos los programas cerrados incluidos los navegadores.

Conectas todos tus dispositivos externos (todos los discos duros externos que tengas, así como todas las USB que tengas y discos duros externos si también tienes.

Realiza los pasos que te pongo a continuación, sin cambiar el orden y síguelos al pie de la letra:

0) Descarga Ccleaner Aquí te dejo su manual: Manual de CCleaner , para que sepas como usarlo y configurarlo correctamente.

Lo instalas y lo ejecutas. En la pestaña Limpieza personalizada dejas la configuración predeterminada. Haces clic en Analizar y esperas a que termine. Seguidamente haz clic en Ejecutar Limpiador. Clic en la pestaña Registro > clic en Buscar Problemas esperas que termine. Finalmente clic en Reparar Seleccionadas y realizas una Copia de Seguridad del registro de Windows.

1) Descarga IFS

  • Desactiva tu antivirus :arrow_forward: Como deshabilitar temporalmente un antivirus y cualquier programa de seguridad que tengas activado.
  • Cierra todos los programas que tengas abiertos.
  • Ejecuta IFS.exe (Si usas Windows Vista/7/8 u 10 presiona clic derecho y selecciona “Ejecutar como Administrador.”)
  • Pulsar en el botón Analizar, y espera a que se realice el proceso. Puede tardar varios minutos.
  • Al terminar se abrirá un informe, lo adjuntas en tu próxima respuesta (puedes encontrarlo en C:\IFS.log).
  • Activa de nuevo tu antivirus y cualquier programa de seguridad que tengas activado.

2) Descarga, instala, actualiza y ejecuta Malwarebytes’ Anti-Malware. Aquí te dejo su manual: Manual de Malwarebytes, para que sepas como usarlo y configurarlo correctamente.

  • Realizas un Análisis Personalizado, marcando Todas las casillas de la Derecha y de la Izquierda, actualizando si te lo pide. Es decir: conectas todos tus dispositivos externos (todos los discos duros externos que tengas, así como todas las USB que tengas, incluida la que me has dicho anteriormente y marcas todas las unidades de disco disponibles y las siguientes casillas:

1. Analizar objetos en memoria

2. Analizar configuracion de inicio y registro

3. Analizar dentro de los archivos

  • Pulsar en “Eliminar Seleccionados” para enviar las infecciones a la cuarentena y Reinicias el ordenador.
  • Para acceder posteriormente al informe del análisis te diriges a: Informes >> Registro de análisis >> pulsas en Exportar >> Copiar al Portapapeles y pones el informe en tu próxima respuesta.

3) Descarga Adwcleaner en el escritorio.

  • Desactiva tu antivirus :arrow_forward: Como deshabilitar temporalmente un antivirus y cualquier programa de seguridad que tengas activado.
  • Ejecuta Adwcleaner.exe (Si usas Windows Vista/7/8 u 10 presiona clic derecho y selecciona “Ejecutar como Administrador.”)
  • Pulsar en el botón Analizar Ahora, y espera a que se termine el análisis. Inmediatamente pulsa sobre el botón Iniciar Reparación.
  • Espera a que termine y sigue las instrucciones que te aparezcan. Si te pidiera Reiniciar, pues reinicias el ordenador pulsando en Aceptar.
  • Si no encuentra nada, pulsa en Omitir Reparación.
  • El log lo encontrarás en la pestaña Informes, volviendo a abrir el programa, si es necesario o en la siguiente ubicación: C:\AdwCleaner\Logs\AdwCleaner[C0].txt.
  • Para más información aquí te dejo su manual: Manual de Adwcleaner.
  • Activa de nuevo tu antivirus y cualquier programa de seguridad que tengas activado.

4) Descarga JunkwareRemoval Tool en el escritorio.

  • Ejecuta JRT.exe (Si usas Windows Vista/7/8 u 10 presiona clic derecho y selecciona “Ejecutar como Administrador.”)
  • Presiona cualquier tecla para continuar y espera pacientemente a que termine su proceso.
  • Al finalizar, se guardará el siguiente registro en el escritorio: JRT.txt.

5) Ejecuta un Full Análisis con UsbFix y adjuntas su log. Aquí te dejo su manual: Manual de UsbFix , para que sepas como usarlo y configurarlo correctamente. Recuerda conectar todos tus dispositivos extraíbles (USBs, discos duros, Micro SD, etc).

  • En caso de detectar amenazas, selecciona todo los elementos detectados y presiona “Limpiar todo
  • Si te pide reiniciar el sistema, Aceptas.
  • Una vez que se reinicie el equipo, se abrirá el reporte de USBFix indicando lo detectado y lo eliminado. Pon el reporte en tu próxima respuesta (en caso de que no se abra, el reporte se guarda con el nombre de UsbFix_Report.txt en el Escritorio).

Una vez terminado el análisis, con todas las unidades conectadas, vuelve a ejecutar USBFix como Administrador, y vacunas los mismos, siguiendo los pasos del Manual.

Nota: UsbFix creará una carpeta oculta llamada “$RECYCLE.BIN” “autorun.inf” en cada partición y cada unidad USB que se encuentre conectado al momento de ejecutar este. No elimines estas carpetas de ningún lugar en el que se hayan creado, ya que estas ayudará a prevenir y proteger tus dispositivos extraíbles y particiones de futuras infecciones.

6) Utiliza nuevamente CCleaner tal como te dije en el punto 0.

Pegas los reportes de IFS, Malwarebytes, AdwCleaner, JRT y UsbFix y comentas como va el problema inicial planteado por el cual abriste este tema. También responde a las preguntas que te haya realizado a lo largo de este Post, siempre que te haya hecho alguna, sino, no

NOTA IMPORTANTE

Por Favor, mientras estemos desinfectando tu maquina o terminando de hacerlo:

  • No realices pasos/acciones que NOSOTROS no te hayamos indicado.
  • No descargues NADA de Internet y/o conectes dispositivos externos a tu equipo.
  • No instales NADA (programas/software/complementos/extensiones del navegador…).
  • No ejecutes otros programas de seguridad (Antivirus, Antimalware, ANTINADA…).
  • No realices por tu cuenta otros procedimientos.
  • Usa tu equipo EXCLUSIVAMENTE para desinfectarlo siguiendo nuestras indicaciones.

:warning: Muy Importante :warning: Coloca los diferentes reportes que te he pedido como se muestra en la siguiente imagen:

Salu2.

Buenas Marr0n, Te anexo los anexos de los análisis que me has comentadoAdwCleaner[C00].txt (2,1 KB) log malware.txt (3,8 KB) UsbFix_Report.txt (13,3 KB)

ya me dices lo que has visto.

gracias de nuevo

Hola, buenas @peponcete2006

De nada.

¿Has podido realizar JRT?

Respecto Malwarebytes >> ha hecho lo que tenía que hacer. De todas formas: ¿Tienes el Malwarebytes pirata? Por lo que veo almenos descargaste uno que era pirata. Cuéntame lo máximo posible acerca de este tema.

Respecto AdwCleaner >> ha hecho lo que tenía que hacer.

Respecto UsbFix >> está limpio. De todas formas: ¿Has podido vacunar los dispositivos tal y como te indiqué?

Comenta como notas/encuentras el ordenador.

Salu2.

buenos días,

Lo priemro perdona el retraso en contestar, he estado de viaje fuera de casa por trabajo . bueno todas las comprobaciones que me indicas estás lista. con respecto a Malwarebytes lo bajé de la propia página. Respecto **AdwCleaner si realziado lo que me dijiste Respecto UsbFix vacunado los dispositivos

el ordenador ya me vá bien, me he una copia de los datos cifrados y formatee el disco en el cual estaba infectado los archivos. Tenéis alguna novedad sobre el tema de poder recuperar dichos archivos??

gracias de nuevo y disculpa la tardanza en contestar

un saludo

Hola, buenas @peponcete2006

Ok, tranquilo no pasa nada. Pues Yo últimamente también dispongo de muy poco tiempo para dedicarle al foro.

OK. :+1: perfecto. Más que nada lo del Malwarebytes te lo comentaba por lo siguiente:

Trojan.MalPack.GS, C:\USERS\MR. BEAN\DOWNLOADS\MALWAREBYTES+PREMIUM+(2020)+FULL+[PERMANENTE]+(ESPAñOL)-RTMD-ADBLRMCWHWAAVHWCAEVTFWASAHF5GASA (1)\MALWAREBYTES+PREMIUM+(2020)+FULL+[PERMANENTE]+(ESPA+¦OL)-RTMD-ADBLRMCWHWAAVHWCAEVTFWASAHF5GASA\MALWAREBYTES+PREMIUM+(2020)+FULL+[PERMANENTE]+(ESPA+¦OL)-RTMD-ADBLRMCWHWAAVHWCAEVTFWASAHF5GASA.EXE, En cuarentena, 8439, 920503, 1.0.38179, 676626C85516B9D55B8D69D3, dds, 01158192, 59C098F5C8EC7B5FE24B3998E1F822AC, 954013E3CCEFFB512405E154E959C043FA481230F5DCBA8B99A65198FEC05194

PUP.Optional.IntroKeygen, D:\HERRAMIENTAS\VIRUS\1234MAMP2181057JHSDFSF\MALWAREBYTES ANTI-MALWARE PREMIUM V2.1.8.1057 FINAL\KEYGEN' S.RAR, En cuarentena, 15458, 279993, 1.0.38179, 0000000000000000000003EB, dds, 01158192, 1815EB5FC1DFC55A82B3C506087A2E20, EEA02CBFE84D8C2A0C0B2FF9E46910B4C32BCBB77C362AE21299D1B40BB9EEA4

¿Lo descargaste de la página oficial, pero lo activaste con el KEYGEN?

Ok. De todas formas responde a las preguntas que te vaya haciendo a lo largo del post.

OK. ¿Entiendo que por todo lo que comentas ya no se te han cifrado más archivos? ¿Correcto esto que digo?

Por desgracia en principio NO. A día de hoy siguen sin poder recuperarse. Piensa que pueden llegar a pasar años hasta que se puedan recuperar.

De todas formas si quieres más información al respecto: About the STOP/Djvu Decrypter - Help, my files are encrypted! - Emsisoft Support Forums

Te recomiendo que leas dicho artículo, todo y que puede ser que en el futuro se puedan descifrar. Aunque sinceramente dada dicha variante, no creo que sea pronto o en u plazo razonable de unos meses.

Seguro que te han pedido un rescate (o en su momento muy probablemente te lo pidieron), esta sería la única forma rápida a día de hoy de recuperar los archivos. De todas formas, nosotros no recomendamos para nada pagar el rescate, ya que tampoco hay garantías de que recibas dichas claves para descifrar los archivos y también estarías apoyando económicamente a los cybercriminales a seguir con sus actos delictivos, entre otras cosas.

Lo que te recomiendo es que guardes varias copias de seguridad de todos los ficheros cifrados en varios sitios físicos y en varios discos duros externos, guárdalas en un lugar seguro, ya que quizás en el futuro se puedan descifrar (nunca se sabe y todo es posible, la esperanza es lo último que se pierde).

Finalmente, también te recomiendo estar atento/alerta en las siguientes fuentes, ya que generalmente se informa sobre nuevos desarrollos con descifradores de ransomware:

Y quizás en el futuro uno de esos sea el tuyo. Pues por ejemplo recientemente el ransomware Avaddon ha cerrado las puertas y libero las claves de descifrado para las víctimas afectadas aún hoy en día. No es algo muy común que suceda esto, pero nunca se sabe. Mira este artículo: El grupo de ransomware #Avaddon cierra sus puertas y libera las claves de descifrado gratuito

Así que por mi parte solo quedaría:

  • asegurar de que la máquina, así como dispositivos externos no están infectados a día de hoy.
  • si tienes alguna duda acerca de lo que comento de como guardar/almacenar los ficheros cifrados, me comentas. Si no seguiremos con lo otro (asegurar que ya no queda ningún malware).

Salu2.

1 me gusta