Virus CryptoLocker: La solución

 

PULSA AQUÍ

ULTIMA HORA: Ataque por encriptación virus en emails de Endesa. Pulsa aquí.

Si has ya has sido infectado por Crytplocker, para obtener ayuda pulsa aquí.

mensaje_cryptoblocker

CRYPTOLOCKER. UNA SERIA AMENAZA PARA LOS NEGOCIOS.

Hace semanas publiqué una entrada con información acerca de la infección de este peligroso virus que encripta absolutamente todos los ficheros de datos de los ordenadores de las empresas. En el mismo, indiqué cómo prevenirlo, en la medida de lo posible, y que cómo se debían tener las copias de seguridad ante la posibilidad de ser infectados.

Pasado este tiempo, tenemos más información de cómo actúa, y lo que es más importante, la única solución posible para poder recuperar nuestros datos, si hemos sido infectados y no tenemos copias de seguridad o posibilidad de recuperar la información de nuestra empresa.

COMO ACTÚA. CÓMO LLEGA.

En principio, es claro que el medio es un correo electrónico, cuya procedencia aparente es de la oficina de Correos, indicándonos que tenemos un paquete por recoger en la oficina y que pulsemos en un enlace de descarga para conocer la información sobre el envío, y que si no lo hacemos tendríamos que pagar un recargo.

mensajecorreos

Lo primero que llama la atención, es que en la mayoría de los casos, es fácil deducir varias cosas extrañas, que nos harían dudar de la veracidad del mensaje:

  • Caracteres extraños en lugar de las acentuaciones (apóstrofe separador en lugar de acento sobre las vocales).
  • Si se lee el texto con atención, nos daríamos cuenta de que la expresión no es del todo correcta -parece una traducción-. Ejemplo “…. a usted para ‘el est’a manteniendo en la cantidad de 7,55 euros por cada d’ia de cumplir.”
  • Y por último y menos obvio, ¿alguna vez has recibido una notificación de Correos para recoger un paquete?

Al final la cuestión, es que con las prisas, descuidos, cientos de correos que leemos a diario, etc. el usuario pulsa en el enlace y el virus empieza a infectar nuestro sistema, en la trastienda, sin que nos demos cuenta. Posiblemente, únicamente detectemos que nuestro sistema va un poco más lento de lo normal, pero mientras nosotros trabajamos, el virus empieza a encriptar todos los archivos de datos que encuentra en la estructura de directorios de nuestro disco duro principal C:, posibles discos duros secundarios (D:, E:), discos externos USB conectados -posiblemente copias de seguridad-, y cualquier unidad mapeada o recurso de red de servidores u otros equipos de la nuestra red (carpetas de documentos comunes, acceso al programa de facturación, etc.).

Los tipos o extensiones de archivo, son prácticamente todas, DOC, DOCX, XLS, XLSX, DAT, DBF, MDB, PPT, PPTX, etc. La velocidad de encriptación es muy, muy rápida -he conocido casos de encriptar más de 10.000 archivos en menos de 1h.

QUÉ PODEMOS HACER

Antes que nada, hay que saber, que a día de hoy, técnicamente no es posible pararlo. No existe software antivirus o hardware, firewall o similar que tenga la posibilidad de detectar la entrada del correo (a lo sumo una posible detección como Spam de forma aleatoria), ni su ejecución en segundo plano una vez infectado. Esta información la hemos podido constatar con los principales fabricantes de soluciones antivirus y perimetrales, y todos coinciden: “la única opción actualmente, es la prevención”.

Es muy importante saber, que el virus o ejecutable que encripta, no se transmite por la red. Es decir, es el propio equipo pc infectado, el que va actuando sobre sus archivos y los que pueda alcanzar en la red, pero esos otros ordenadores o servidores, en su memoria o ejecución, no tienen el virus, ni está actuando, ni por intentar abrir un archivo infectado desde un PC de la red se va a infectar o propagar. Con esto, quiero decir, que en caso de detectar su presencia, por ejemplo, viendo que hay programas que no funcionan o viendo en el disco duro ficheros con extensión adicional .encrypted, lo único que tenemos que hacer es desconectarlos inmediatamente de la red local y/o apagarlo.

Con ello, dejará de actuar el proceso, quizás podríamos incluso trabajar desde otros pc’s no infectados y sobre archivos que no hayan sido encriptados. Ahora sólo nos toca resolver el auténtico problema.

CÓMO RECUPERO MI INFORMACIÓN

Recuerdo, que en mi entrada original de post, del 26 de Marzo, publicamos cómo habíamos podido ayudar a un cliente que nos vino, como primer caso. Un laboratorio de seguridad especializado en resolver problemas de encriptación, nos ayudó, y en menos de 5 horas, el cliente recuperó toda su información.

Ha pasado tiempo desde entonces, y han sido muchos los casos resueltos satisfactoriamente, para nosotros y para nuestros clientes, que vieron peligrar sus datos, sus empleos y sus empresas, sin posibilidad alguna de recuperarlos. Es hoy, cuando podemos decir que hemos solucionado el 99% de nuestros casos. Cierto es, que ahora tardamos más, por la gran cantidad de solicitudes que recibimos a diario, pero en 1 a 3 días podemos asegurar que toda la información es posible recuperarla íntegramente y sobre los mismos equipos infectados, simplemente siguiendo nuestras instrucciones y procesos.

Ese 1% de casos sin resolver, no fueron posibles por otras circunstancias, ya que la información fue manipulada por algunos usuarios o servicios informáticos sin experiencia, y en algunas ocasiones se formatearon los discos, se pasaron programas antispyware, se realizaron procesos de acceso a la FAT del disco, y una serie de operaciones que sólo sirvieron para estropear la información original, y por lo tanto hacerla no recuperable. Personalmente siempre he estado interesado en saber si al final salía alguna vacuna o software standard para solucionarlo, pero creo que todos hemos llegado a la conclusión que no existe. Hay muchas webs con información, pero se limitan a dar información de prevención y seguridad para evitarlo.

Concluyo, indicando lo que creo que todos estáis esperando leer en este post. Que la solución es posible. Que os podemos ayudar, y que vuestras empresas y puestos de trabajo no están en peligro. Simplemente rellena el formulario inferior y te contactaremos.

Si quieres saber más sobre nosotros, pulsa aquí.

 

firma_fran2

 

 

También te podría gustar...

34 Respuestas

  1. sergio dice:

    estamos infectado con este virus que podemos hacer?

  2. Jose Carlos dice:

    Buenas Tardes,

    Estaría interesado en recuperar un pc que le ha ocurrido lo mismo como me pongo en contacto con dr.web.

    Sin más me despido.

    Muchas gracias de antemano por todo.

  3. Paco dice:

    Hola. No veo la solución.
    Como desincryptar ?

  4. Carmen López dice:

    he sido atacada por el troyano crypt0l0cker. necesito recuperar mis archivos. Pueden hacerlo?
    necesito respuesta

  5. Ricardo dice:

    Sin duda que este Antivirus y su laboratorio da grandes resultados.
    No es gratis, pero al menos es 100% seguro que si pagas es porque vas a poder recuperar todos los ficheros encriptados, no como el rescate que te ofrecen, que seguro es la continuación de la estafa…

    Muchas gracias Audidata y muchas gracias Dr.Web.

  6. carlos dice:

    Mi empresa ha sido atacada por el troyano crypt0l0cker. Necesito ayuda para recuperar mis archivos.

  7. JUAN RAMON SEOANE dice:

    Buenas tardes, mi nombre es Juan Seoane y vivo en Santiago de Compostela, he sido atacado por el virus criptlocker y me ha encriptado el trabajo de 6 meses y todas las fotografías de mis hijas pequeñas que es lo que mas me duele, me gustaría saber que es lo que tengo que hacer para poder desencriptar todos mis archivos, que son muchos.

    Estoy totalmente desesperado

    Espero su respuesta, muchas gracias

  8. Eutiquio Lozano dice:

    Hola:

    Esido atacado por el virus crypt0l0cker. informame de como puedo recuperar mis archivos.

    Saludos cordiales

  9. susi dice:

    Necesito ayuda tengo el virus en.mi pc

  10. soporte dice:

    Ayer sufrimos un ataque y uno de nuestros servidores esta inoperativo, necesitamos desencriptar los ficheros de una aplicación. Quien nos puede ayudar.

  11. Miguel dice:

    Hola, tengo un PC encriptado con Crypt0l0cker desde hace dos días. Se puede desencriptar ya esta nueva versión de alguna forma o toca esperar? Gracias.

  12. Tengo solución al virus Kript0l0cker
    Más info contactar por mail.
    He rescatado una empresa con la última varían te de correos. 30.04.2015

    Salu2

  13. Alfonso dice:

    Necesito desencriptar X ataque de criptolocker.
    .gracias

  14. carlos dice:

    He sufrido esta infección y necesito recuperar mis archivos…, podeis ayudar?

  15. ARTURO BLANCO dice:

    He sido atacado por el virus Crypt0L0cker
    Creo que ya conseguí eliminarlo del PC, pero tengo todos mis ficheros encriptados
    Las copias de seguridad de Windows “fundidas”
    Que debo hacer?
    Saludos

  16. ramon graciano dice:

    Pues yo os puedo decir que lo pueden desencriptar, hay una empresa que tiene la solución, a mi se me infecto todo el pc hace unas semanas y vi la web por internet, les envié un .doc encriptado y algun otro archivo y en menos de 24h me dieron un programa para desencriptar todo, y me parece que pagué 125€. Os dejo la web ya que puede salvar a alguien como a mi.. http://www.jbsi.es/sat_ransom

  17. Hector dice:

    mi maquina esta afectada por el virus es posible recuperar mis archivos…

  18. Ana dice:

    Tengo el mismo problema, me gustaría solicitar vuestra ayuda.

  19. Jose Enrique dice:

    Hola tengo un ordenador infectado con ese virus como puedo hacerlo para recuperar mi informacion y cuanto me costaria, necesitaria recuperar unos archivos muy importantes en concreto unos 80 o 90 pdf y excel, gracias.

  20. Oscar De La Cruz dice:

    Necesito informacion para poder recuperar un equipo infectado con cryptlocker podrian enviarme informacion

  21. Francisco gamiz dice:

    He sido atacado por el virus de correos q encripta los arcgivos. me pueden ayudar

  22. gabriel dice:

    Nos han metido el virus a traves de correos…Que hago.Gracias.

  23. Manuel dice:

    Se me ha infectado el PC y discos de red con el virus Cryptolocker, diganme como pueden ayudarme s recuperar los archivos.

  24. Mario Castillo dice:

    Hola, me gustaria que me dijeran como puedo recuperar mis archivos eliminados ya que nuestra empresa también ha sido atacada y tenemos mucha informacion importante de nuestra empresa y la de nuestros clientes. esperamos puedan ayudarnos.

    Saludos.

  25. Recientemente hemos sido infectados por un virus de la familia Cryptolocker. Nos gustaría saber si existe alguna solución para recuperar los datos de nuestro servidor y del PC causante de la infección.

    Les ruego, contacten conmigo para ampliar información. Gracias.

  26. David dice:

    Hola
    Mi ordenador esta infectado con cryptolocker, podrían ayudarme?
    Gracias

  27. Franklin Bohorquez dice:

    Tengo 31gb de información infectado y los técnicos, no me han dado solución, por favor si me pueden ayudar recuperando la información, quedo en espera de sus comentarios.

  28. antonio macias dice:

    necesito recuperar todos los datos y archivos que están encriptados por el virus correos España. por favor ayuda urgente es un pequeño negocio

  29. SONIA dice:

    Buenos dias, me ha afectado este virus, podrían ayudarme por favor?
    gracias de antemano, un saludo

  30. jesus gil leyva dice:

    Estaria interesado en recuperar una carpeta infectada con el virus de endesa y que contiene unos 50 o 60 archivos.
    Pueden ayudarme?

    Saludos

  31. Javier dice:

    Hola, tengo un cliente que se ha infectado con el cryptolocker por medio del email de endesa. Sería posible recuperarle los datos? Cómo se haría?
    Gracias

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *