• Registrarse
  • Iniciar sesión


  • Resultados 1 al 2 de 2

    Eliminar Ransom .LOCKED

    Guía de cómo eliminar Ransomware .LOCKED Ransom.LOCKED es una nueva variante de este tipo de secuestradores de archivos (Cripto-Ransomwares) está circulando en estos días consiguiendo muchas víctimas al venir escondido en diferentes Keygens (que prometen ...

          
    1. #1
      FS-Admin
      Avatar de @MarceloRivero
      Registrado
      ene 2005
      Ubicación
      Miami
      Mensajes
      40.917

      Investigación Eliminar Ransom .LOCKED

      Guía de cómo eliminar Ransomware .LOCKED


      Ransom.LOCKED es una nueva variante de este tipo de secuestradores de archivos (Cripto-Ransomwares) está circulando en estos días consiguiendo muchas víctimas al venir escondido en diferentes Keygens (que prometen la clave para determinados programas) que circulan en la red.

      Tiene la particularidad de que una vez que ingresa al sistema de la víctima y es ejecutado, se encarga de encriptar (cifrar/bloquear) todos los archivos de las extensiones de más abajo, con el algoritmo RSA-1024, agregándoles la extensión .LOCKED al final, por ej: archivos.txt.LOCKED


      Al intentar acceder a algunos de los archivos afectados se mostrara un mensaje como este:

      README TO UNLOCKED

      Your files are locked and encrypted with a unique RSA-1024 key!
      To regain access you have to obtain the private key (password).
      ++++++++++++++++++++
      To receive your private key (password):
      Go to http: //**Editado**.onion.to and follow the instructions.
      You will receive your private key (password) within 24 hours.
      Your ID# is 28403

      If you can't find the page, install the Tor browser (https://www.torproject.org/projects/torbrowser.html.en) and browse to
      http://**Editado**.onion
      ++++++++++++++++++++
      BEWARE - this is NOT a virus.
      The ONLY way to unlock your files/data is to obtain your private key (password) or you may consider all your data lost.
      You have just 5 days before the private key (password) is deleted from our server, leaving your data irrevocably broken.
      ++++++++++++++++++++
      LOCKED ON POSSESSION OF COPYRIGHTED MATERIAL AND SUSPICION OF (CHILD)PORNOGRAPHIC MATERIAL.


      Ransom.LOCKED encripta los siguientes tipos de archivo:

      doc, xls, docx, xlsx, db, mp3, waw, jpg, jpeg, txt, rtf, pdf, rar, zip, psd, msi, tif, wma, lnk, gif, bmp, ppt, pptx, docm, xlsm, pps, ppsx, ppd, tiff, eps, png, ace, djvu, xml, cdr, max, wmv, avi, wav, mp4, pdd, html, css, php, aac, ac3, amf, amr, mid, midi, mmf, mod, mp1, mpa, mpga, mpu, nrt, oga, ogg, pbf, ra, ram, raw, saf, val, wave, wow, wpk, 3g2, 3gp, 3gp2, 3mm, amx, avs, bik, bin, dir, divx, dvx, evo, flv, qtq, tch, rts, rum, rv, scn, srt, stx, svi, swf, trp, vdo, wm, wmd, wmmp, wmx, wvx, xvid, 3d, 3d4, 3df8, pbs, adi, ais, amu, arr, bmc, bmf, cag, cam, dng, ink, jif, jiff, jpc, jpf, jpw, mag, mic, mip, msp, nav, ncd, odc, odi, opf, qif, qtiq, srf, xwd, abw, act, adt, aim, ans, asc, ase, bdp, bdr, bib, boc, crd, diz, dot, dotm, dotx, dvi, dxe, mlx, err, euc, faq, fdr, fds, gthr, idx, kwd, lp2, ltr, man, mbox, msg, nfo, now, odm, oft, pwi, rng, rtx, run, ssa, text, unx, wbk, wsh, 7z, arc, ari, arj, car, cbr, cbz, gz, gzig, jgz, pak, pcv, puz, r00, r01, r02, r03, rev, sdn, sen, sfs, sfx, sh, shar, shr, sqx, tbz2, tg, tlz, vsi, wad, war, xpi, z02, z04, zap, zipx, zoo, ipa, isu, jar, js, udf, adr, ap, aro, asa, ascx, ashx, asmx, asp, aspx, asr, atom, bml, cer, cms, crt, dap, htm, moz, svr, url, wdgt, abk, bic, big, blp, bsp, cgf, chk, col, cty, dem, elf, ff, gam, grf, h3m, h4r, iwd, ldb, lgp, lvl, map, md3, mdl, mm6, mm7, mm8, nds, pbp, ppf, pwf, pxp, sad, sav, scm, scx, sdt, spr, sud, uax, umx, unr, uop, usa, usx, ut2, ut3, utc, utx, uvx, uxx, vmf, vtf, w3g, w3x, wtd, wtf, ccd, cd, cso, disk, dmg, dvd, fcd, flp, img, iso, isz, md0, md1, md2, mdf, mds, nrg, nri, vcd, vhd, snp, bkf, ade, adpb, dic, cch, ctt, dal, ddc, ddcx, dex, dif, dii, itdb, itl, kmz, lcd, lcf, mbx, mdn, odf, odp, ods, pab, pkb, pkh, pot, potx, pptm, psa, qdf, qel, rgn, rrt, rsw, rte, sdb, sdc, sds, sql, stt, t01, t03, t05, tcx, thmx, txd, txf, upoi, vmt, wks, wmdb, xl, xlc, xlr, xlsb, xltx, ltm, xlwx, mcd, cap, cc, cod, cp, cpp, cs, csi, dcp, dcu, dev, dob, dox, dpk, dpl, dpr, dsk, dsp, eql, ex, f90, fla, for, fpp, jav, java, lbi, owl, pl, plc, pli, pm, res, rnc, rsrc, so, swd, tpu, tpx, tu, tur, vc, yab, 8ba, 8bc, 8be, 8bf, 8bi8, bi8, 8bl, 8bs, 8bx, 8by, 8li, aip, amxx, ape, api, mxp, oxt, qpx, qtr, xla, xlam, xll, xlv, xpt, cfg, cwf, dbb, slt, bp2, bp3, bpl, clr, dbx, jc, potm, ppsm, prc, prt, shw, std, ver, wpl, xlm, yps, md3.




      Antes de poder desbloquear sus archivos, tiene que poder tener total acceso nuevamente a su equipo una vez que sea desinfectado del Ransomware, por lo que para ello es necesario utilizar algún AV Live CD o nuestra herramienta especializada llamada PoliFix siguiendo los pasos de la:




    2. #2
      FS-Admin
      Avatar de @MarceloRivero
      Registrado
      ene 2005
      Ubicación
      Miami
      Mensajes
      40.917

      Re: Eliminar Ransom .LOCKED

      Guía de cómo desencriptar los archivos .LOCKED


      Por suerte en este caso la gente de Kaspersky Lab ha salido al rescate con la creación de otra de sus geniales mini-herramientas gratuitas llamada: XoristDecryptor con la cual se puede desbloquear los archivos de extensión .Locked.


      Siga los pasos sugeridos por Kaspersky Lab

      1. Descargar el archivo XoristDecryptor.zip y descomprimirlo (con WinZip, por ejemplo) en la máquina infectada.
      2. Ejecutar el archivo XoristDecryptor.exe.
      3. La herramienta comienza a funcionar al pulsar el botón Start Scan.

        La herramienta va a pedir que indique la ruta a por lo menos un archivo encriptado para empezar el proceso de desencriptación.



        La herramienta va a buscar y desencriptar los archivo encriptados.

      4. Si habilita la opción Delete crypted files after decryption, la herramienta eliminará las copias de los archivos encriptados con tales extensiones como .crypted, .encrypted, etc. después de desencriptarlos.
      5. Por defecto, la herramienta graba un informe en la ruta del disco de sistema. El archivo de informe tiene un nombre tipo Herramienta.Versión_Fecha_Hora_log.txt.


        Por ejemplo, C:\XoristDecryptor.2.0.0.0_15.02.2014_15.31.43_log.txt.






      ________________________________________________

      Esto es una guía de esfuerzo personal. Úsela bajo su propio riesgo.

      Forospyware.com no se hace responsable de los problemas que pueden ocurrir usando esta información. Si necesita ayuda personalizada, recuerde que puede abrir un nuevo tema el sector de "Virus y Spywares" del foro.




      Marcelo Rivero
      Microsoft MVP Enterprise Security.



      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.