Ransomware.

[Sergio MÜLLER]

Hola estimados, les comento que necesito eliminar un ransomware de dos note y 3 pen drive, el backup lamentablemente también se encuentra infectado. Les consulto acerca del procedimiento recomendado para la eliminación del malware y que posibilidades existen de recuperar la data cifrada. Es posible usar herramientas free ? se recomienda arrancar desde herramientas booteables ? luego de la limpieza es imprescindible un formateo del disco ?...

Desde ya les agradezco cualquier aporte al respecto.

Saludos.

Lic. Sergio MÜLLER

El Trébol (SF)

Libre de virus. www.avast.com

[Fabricio Mengo]

Hola Sergio

         Primero es importante saber que virus es. Cual es la extension con la que te encriptaron. Si me pasas uno de los archivos encryptados y/o uno de los .txt que dejan en las carpetas de puedo dar una mano como para guiarte.

         Los podes enviar aca o tambien a mi correo de la empresa: fabr...@mengo.ca

Saludos.

--
Has recibido este mensaje porque estás suscrito al Grupo "ForoSI" de www.segu-info.com.ar
Por favor lee atentamente la FAQ en http://www.segu-info.com.ar/faq.htm y http://www.segu-info.com.ar/netiquette.htm
---
Has recibido este mensaje porque estás suscrito al grupo "ForoSI" de Grupos de Google.
Para cancelar la suscripción a este grupo y dejar de recibir sus mensajes, envía un correo electrónico a forosi+un...@googlegroups.com.
Para ver esta conversación en el sitio web, visita https://groups.google.com/d/msgid/forosi/CAFy0Ywks8W7YzeC-TevmW0mMewGHwqM4pfgty8fnmGoVFNPZ8Q%40mail.gmail.com.

[Guillermo Isaac Lopez Hernandez]

Saludos Sergio.

Es lamentable escuchar que te has visto afectado.

Pero inicialmente, debes aislar de la red los equipos afectados y evitar conectar los pendrive a otras máquinas, ya que podrían infectarlas. De igual manera, es muy poco probable que puedas recuperar la información cifrada, existen versiones de Ransomware (no todas) que pueden descifrarse los archivos y si optas por utilizar herramientas free, considera todas aquellas que provengan de Vendors de seguridad y de fuentes confiables. Escanear con discos booteables es buena opción, de igual manera así podrás colectar la muestra del archivo malicioso y subirla a virus total para verificar si ya ha sido detectada por distintas familias de antivirus, y si manejan alguna familia de seguridad antivirus, enviarles la muestra para que puedan crear la firma de definición ante esa variante. También se sugiere que posterior a los pasos previos que ejecutes, recomendaría que se corra un escaneo de bajo nivel del disco duro, para eliminar todos los datos y sectores y poder cargar de nueva cuenta el sistema operativo legitimo, al igual que los programas que se usen, de igual manera mantener las últimas actualizaciones de software y evitar abrir enlaces, archivos y correos sospechos, que puedan llegar a perjudicar la integridad de la información y usar un software antivirus actualizado con las últimas definiciones liberadas día con día.

Saludos.

--

[Sergio Pantoja]

Super catedrática tu respuesta Guillermo, sin embargo, no estás ayudando a la resolución del problema.

Sergio lo que se necesita es lo que te comento Fabricio, la extensión con la que cifraron los archivos para poder identificar el ransomware y ver que posibilidades hay de recuperar la información.

Para ver esta conversación en el sitio web, visita https://groups.google.com/d/msgid/forosi/BYAPR05MB527029694683C564BCB23630D1079%40BYAPR05MB5270.namprd05.prod.outlook.com.

--

Sergio Pantoja H.
span...@gmail.com
CISSP, CCNA, CCSK, ISO27001 LA, ITIL v3 Foundation
Linux User register #239475

[Sergio MÜLLER]

Hola estimados, gracias por la celeridad en la respuesta, voy a revisar el tipo de virus que a atacado los medios, y se los paso para ver que solución se puede encontrar.

Saludos.

Lic. Sergio MÜLLER

Libre de virus. www.avast.com

Para ver esta conversación en el sitio web, visita https://groups.google.com/d/msgid/forosi/CAKrovMa%3DGiTo%2BoBvjKfs5FPThg%3D1zeQ3Uz%3DCsuUfe3GeyxdcFA%40mail.gmail.com.

[Andrés Rusconi]

Hola !
Quizá puedas comenzar por aquí : https://www.nomoreransom.org/
Te puede dar una idea acerca de la familia a la que pertenece el
ransomware y la posibilidad de recuperación.

Saludos !

Andrés


El 24/6/21 a las 10:32, Sergio Pantoja escribió:

[Luis]

Estimado, buen día.

te comento que desafortunadamente las infecciones por Ransomware evitan que recuperes la información ya que un comando ejecutado en el cifrado, es la eliminación de las copias de seguridad, sin embargo, si por alguna razón no se eliminó esa parte, puedes correr shadowexplorer, https://www.shadowexplorer.com/downloads.html,     desde esta liga lo descargar y lo ejecutas, de preferencia en modo seguro, y seleccionas ls discos, si te muestra la información das exportar a una ubicacion y la recupera, si no te muestra nada, lo más seguro es que no puedas recueprar nada.

Me gustaría saber que tipo de extensión te pone el cifrado, para poder buscar información e indicadores de compromiso, para estar alerta.

Muchas gracias

Para ver esta conversación en el sitio web, visita https://groups.google.com/d/msgid/forosi/BYAPR05MB527029694683C564BCB23630D1079%40BYAPR05MB5270.namprd05.prod.outlook.com.

--

Luis Hernández Cruz
Seguridad en la Información
McAfee Business Support

Chapultenango. Del Tlalpan, 14220, Ciudad de México
Tels: 55  | 0152 56317777 
lhernan...@gmail.com 

[Ricardo Brunel]

Buenas tardes a todos,

Leyendo este tema del Ransomware que afectó al colega, me pregunto si algún participante de este foro ha tenido la dicha en medio de la desgracia de probar esta herramienta: https://github.com/Neo23x0/Raccine  y que nos diga cual ha sido su experiencia (éxito o fracaso).

GitHub - Neo23x0/Raccine: A Simple Ransomware Vaccine A Simple Ransomware Vaccine. Contribute to Neo23x0/Raccine development by creating an account on GitHub. github.com

https://blog.segu-info.com.ar/2021/01/raccine-sencilla-proteccion-contra.html

Raccine: sencilla protección contra ransomware mediante blog.segu-info.com.ar

Saludos.

Sent from Outlook

---

From: for...@googlegroups.com <for...@googlegroups.com> on behalf of Luis <lherna...@gmail.com>
Sent: Friday, June 25, 2021 12:58 PM
To: for...@googlegroups.com <for...@googlegroups.com>
Subject: Re: [forosi:30761] Ransomware.

 

Para ver esta conversación en el sitio web, visita https://groups.google.com/d/msgid/forosi/CAHkg-SsgrJKuPQa%3DBarq%3DSrrQoab0gWUmayty5wrS9HX%2BM1_oA%40mail.gmail.com.