Win32:TrojanX-Gen

Perfecto, realizaré mañana todos los pasos que me has comentado y os pondré los resultados.

Muchas gracias de nuevo.

Saludos.

1 me gusta

Hola.:+1:

Sólo entró para realizar un comentario.

Es imprescindible que antes de NADA TODOS los equipos tengan Windows totalmente actualIzado.

Para evitar “agujeros” de seguridad que puedan propagar las infecciones

Saludos.

1 me gusta

Hola de nuevo y perdón las molestias.

Voy a realizar el procedimiento y me gustaría saber si tengo que desactivar temporalmente el AVG o puedo dejarlo funcionamiento sin problemas.

Respecto a lo del Windows si estan actualizados, lo tendré en cuenta.

Os iré informando.

Gracias.

Mejor desactivar cualquier antivirus.:+1:

Fundamentalmente para que NO interfiera en los procedimientos.

Saludos.

Hola,

Ya he realizado todos los pasos en un ordenador y os adjunto los datos del Malware y AdwCleaner, ya que ZHP no me ha detectado nada.

Todo esto lo he hecho con al AVG desinstalado y ahora lo volveré a instalar.

Saludos.

AdwCleaner[S00].txt (92,9 KB) analisis malware.txt (36,8 KB)

Hola de nuevo,

Justo acabo de instalar el AVG y me aparece que detecta de nuevo la amenaza con X “numeros”.exe, en donde al parecer la amenaza va cambiando de c:\windows a c:\windows\system32 …

Tienes el equipo muy infectado. El informe de Adwcleaner indica que fue sólo de escaneo. ¿Eliminaste las amenazas detectadas?

¿puedes enviarnos el informe de detección de AVG?

Vamos a pasar estas otras dos herramientas para un escaneo más general:

:one: Realiza un escaneo en línea ESET Online Scanner

• Me envías el informe del análisis (ver el Manual).

Manual de ESET Online Scanner.

:two: Uso de Kaspersky Free

  • Descargar en el escritorio Kaspersky Free

  • Para finalizar el análisis de su sistema, recomendamos realizar un escaneo con el antivirus gratuito desde la nube: Kaspersky Free

  • Kaspersky Free es gratuito y compatible con cualquier otro antivirus. Tiene una interfaz muy intuitiva y sencilla.

  • En caso de que Kaspersky Free le detecte algún tipo de amenaza, déjenos su reporte para que podamos indicarle como eliminarlo, ya que la herramienta genera ese informe pero no desinfecta.

Hola,

Ayer estuvieron los técnico de AVG conectados en remoto a un ordenador durante unas 2 horas y comentaron que podrían ser falsos positivos…

Por otra parte, me he dado cuenta que en unos de los PC’s infectados, en los archivos del Outlook PST aparece extensión RYK, creo que esto es de un virus que secuestra cuentas verdad?

Ahora estoy analizando los equipos con las herramientas que me has comentado y a ver si consigo solucionarlo.

Os iré informando.

Gracias por todo.

Gracias por responder. Estamos al tanto de sus avances. En cuanto algún maleware que cambiar la extensión de archivos outlook (previamente con extensión PST) a RYK, es la primera noticia que tengo.

Hola chicos y permiso:

Pues no parece :upside_down_face:

Mencionas varios equipos, eres parte de una empresa? Deberían desconectar todos los equipos de la red.

Aparentemente estas infectado con un Ransomware.

No podemos dar soporte a Empresas, ya que somos un Foro de ayuda voluntaria gratuita, y una empresa tiene que tener su personal idoneo, o pagar por el servicio.

Pero si podemos ayudarte con un equipo para que al menos puedas identificar el problema.

Para identificar el ransomware que los ataco, sube la nota de rescate y uno de tus archivos encriptados al siguiente enlace:

ID Ransomware.

Te dará un resultado, nos pegas el enlace en tu próxima respuesta, allí podras saber si existe a la fecha algún desencriptador que pueda salvar tus archivos.

Pero lo mejor, si tienen backup, una vez que logras limpiar la red, lo mejor es usarlos si los tuvieran.

Nos comentas.

Pueden continuar.

Salu2

1 me gusta

Gracias @SanMar por la ayuda.

Efectivamente hay un ransomware que encripta los ficheros y coloca la extensión .RYK. Si es así, deberías tener todos (o una parte de tus documentos y archivos) con esa extensión en el ordenador que indicas la encontraste.

Hola,

Acabo de subir la nota que pone del supuesto rescate, y esto es lo que me pone:

### Este ransomware no tiene ninguna forma conocida para descifrar los datos en este momento.

Se recomienda hacer una copia de seguridad de sus archivos cifrados, con la esperanza de una solución a futuro.

Al parecer es Ryuk Ransomware, en algunos archivos cambiando la extensión me ha funcionado de nuevo, como por ejemplo el PST que ahora ya me funciona.

Por otro lado que se me olvidó comentar, nosotros somos una empresa de instalación de Hardware y Software en el cual trabajamos con varios clientes.

Siento las molestias.

Saludos.

Pues has tenido suerte con esos archivos. Creo que en ocasiones el ransomware primero cambia la extensión de los archivos y luego encripta y el proceso de encriptación posiblemente se paralizo por cualquier motivo. Si no tienes todos tus archivos de empresa o personales encriptados, este podría ser el motivo.

Hola de nuevo,

Tengo noticias sobre este virus, y al parecer es el virus Emotet, ayer limpié todos los equipos con vuestro procedimiento pero está mañana vuelve a estar disponible el virus en el cual tiene nombre de “numeros.exe” y en el que aparece en los servicios de Windows… Me he dado cuenta porque la ip publica de esa empresa está bloqueada para que no puedan enviar correos.

Pues en principio si el equipo se volvió a infectar eso significa que probablemente tras conectar a la Red local de la empresa, la cual aún seguía infectada, se volvió a conectar. Debes realizar el procedimiento descrito poca cada equipo totalmente desconectada de la red. Y yo dejaría ese equipo un dia más desconectada de la red probando reinicios para confirmar que no se reinfecta.

Este trojano Emotet es una infección bastante grave y puede comprometer de forma seria las computadoras de una red.

Mirate este enlace del foro:

Ampliando lo que le comenté, decirle que cada equipo que vaya a desinfectar (siguiendo el procedimiento que le describí) debe estar DESCONECTADO de INTERNET y ¡no debes volver a conectarlo a la red de tu empresa hasta que TODO equipo de su empresa esté limpio de malewares!

Debes ser serio con los empleados y avisar de que NADIE se conecta a internet hasta nueva orden.

IMPORTANTE: Con el programa Malewarebyte, activa el periodo de prueba de 14 dias de version Premium ya que le protegerá de esa infección.

Y posteriormente de YA NO funcionarte la “prueba” debes instalar Malwarebytes-AntiExploit versión beta, previa desinstalación TOTAL de Malewarebyte. Para desintalar totalmente Malewarebyte nos lo comenta y le indicamos cómo hacerlo.

Bien, tras tener TODOS los equipos (tanto estaciones de trabajo como servidores) LIBRES del maleware, entonces podrás conectarlos a la red corporativa.

Deberíais formar a los usuarios para evitar ciertas conductas peligrosas (como abrir adjuntos en correos maliciosos, etc.).

Esperemos que este procedimiento sea suficiente porque este maleware es polimórfico, es decir cambia de “aspecto” para despistar a los antivirus. Como le dije es una infección de las gordas.

Hola de nuevo!

Tengo buenas noticias, despues de seguir los procedimientos que me habeis comentado, parece que todo vuelve a la normalidad, de momento no ha vuelto a salir el Virus… Pero aún así seguiré haciendo un seguimiento.

A parte de desconectar a todos de la red y pasar el Malware, adware y ccleaner, tambien quiero comentar un dato importante, y es que el virus “Emotet” lo encontré en los servicies de Windows con “números”, por lo que tuve que eliminarlo manualmente desde el registro, y la ruta era la siguiente.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

Dentro de Services, casi al principio están las carpetas con números de unos 8 digitos y en cual corresponde a las amenazas que detectaba Malwarebytes y que en ocasiones no acaba de eliminar.

Lo comento como dato, por si sirve de ayuda.

Gracias por todo.

Saludos!

2 Me gusta

¡Nos alegra saber estas buenas noticias! Gracias por la información del Registro de Systema. Será de utilidad para otros.

¿has activado el periodo de prueba de Malewarebyte Premium para 14 dias? Ya sabes que despúes de este periodo deberías instalar algún programa que protega sobre los exploits como por ejemplo Malwarebytes-AntiExploit.

Y ya que una de las principales vías de contagio de este maleware y otros muchos es a través de mensajes de correos electrónicos, deberíais pensar en enviar algún comunicado general para que todos los usuarios sean más precavidos.

Ten en cuenta que en una empresa, la última barrera debería ser la actitud de los usuarios (50% del éxito) y un buen sistema de seguridad en los equipos locales.

¿Nos das tu permiso parar dar el tema por SOLUCIONADO?

Perdón por tardar en responder.

Si!, ya lo podéis dar como finalizado el problema ;-).

De cara a un futuro ya he hablado con todos los usuarios y les he informado de que sean mas precavidos, y en referencia a los exploits lo tendré en cuenta para instalarlo en las maquinas.

Gracias por todo!

1 me gusta

¡Buenas noticias nos traes! Antes de darlo por solucionado vamos a eliminar algunas de las herramientas usadas (el día que lo necesites puedes volver a descargártelas nuevamente en su ultima version YA actualizadas). Guarda si quieres este tema para futuras ocasiones. CCleaner y Malwarebytes no se desinstalarán. Si quieres desinstalarlas me comentas y te indico cómo hacerlo adecuadamente.

Ejecutar DelFix para desinstalar herramientas usadas

Para eliminar algunas de las herramientas usadas, sigue estos pasos:

  • Para hacerlo descarga >>DelFix en tu escritorio . Consulta su manual en caso necesario.

  • Doble clic para ejecutarlo. (Si usas Windows Vista/7/8 o 10 presiona clic derecho y selecciona "Ejecutar como Administrador” )

  • Marca “ Remove desinfection tools, y pulsas en Run

  • Pulsar en Run .

Al terminar Se abrirá un reporte llamado DelFix.txt , verifica que se hayan eliminado las herramientas usadas para desinfectar el Pc.

Y nos comentas. :thinking:

1 me gusta