|
|
|
|
|
Desencriptar archivos encriptados por el virus de la policia |
|
| Hola,
Hace un mes fui infectado por una variante del virus de la policía, que además de aparecer el típico mensaje para pagar una multa de 100€, me encriptó todos los archivos office, videos e imágenes. He utilizado bastantes herramientas para limpiar el PC y parece que el virus está completamente eliminado (Panda, Malwarebytes, iSafe, Adaware, Spybot, Kaspersky, Ccleaner, etc). El problema son todos los archivos encriptados, pues siguen encriptados y todas las herramientas que he utilizado para desencritarlos han fallado (pandaunransom.exe , RannohDecryptor de kaspersky, DeBlock, etc.). Algunos necesitaban los key files utilizados por el virus (que no se encuentran en mi PC) y otros simplemente no desencriptan ningún archivo. Los archivos encriptados no son copias, son los originales y tienen el mismo nombre y la misma extensión que tenían originalmente. La única diferencia es que pesan algo más (pocos KB mas) y que al abrirlos aparece el mensaje de “File is encrypted”, y a continuación dice que debes abrir el programa dirtydecrypt para desencriptarlo. Éste programa forma parte del virus y ya ha sido también completamente eliminado. Por eso todas las herramientas que he encontrado no funcionan, ya que en versiones anteriores del virus los archivos encriptados manteníen el mismo tamaño. Ahora el tamaño es algo distinto y estos programas ya no pueden compararlos como antes (comparaban el archivo original con el encriptado). Alguien conoce algún modo de desencriptar los archivos encriptados por dirtydecryt (documentos Office, videos e imágenes)? Gracias Julio Windows 7, Office 2010. |
#1   swissman (39.814 Posts) - 20/08/2013 20:43:48 | ||
| Ni idea, si no obtienes respuesta, intenta si restaurando sistema consigues algo. | ||
| Bajar - Subir | ||
#2  stovar (7 Posts) - 21/08/2013 01:46:49 | ||
| Hola.
Tengo el mismo problema, oajala podamos obtener ayuda al respecto, te aseguro que encontraremos la solucion, Julo su encuentas algo avisame Si yo encuentro algo te aviso. Saludos, | ||
| Bajar - Subir | ||
#3  juloperez2 (1 Posts) - 21/08/2013 19:21:24 | ||
| Hola stovar, he contactado con Panda y creo que será más complicado de lo que pensaba. Por el momento, ni siquiera ellos tienen solución. Te paso su respuesta:
Lamentablemente no es posible recuperar los archivos encriptados por DirtyDecrypt debido al método de encriptación que utiliza. Hemos redactado un documento en el que analizamos el funcionamento de este ransomware e indicamos las causas por las que no es posible recuperar los archivos encriptados el cual adjunto Análisis - Dirty Decrypt Este ransomware, además de desactivar una serie de características de seguridad de nuestro sistema, como el centro de seguridad o el cortafuegos, cifra todos los archivos que tengan las siguientes extensiones: .jpg,.jpeg,.png,.avi,.mpeg,.mpg,.wmv,.pdf,.doc,.rtf,.docx,.docm,.xls,.xlsx,.xlsm,.rar,.zip,.7z Recibe su nombre del componente que nos permite descifrar los archivos cifrados (siempre que tengamos una clave proporcionada por el creador o controlador del malware), tal como nos muestra el mensaje que aparece en pantalla cuando iniciamos el sistema o abrimos alguno de los archivos cifrados por el mismo. File is encrypted This file can be decrypted using the program DirtyDecrypt.exe Press CTRL + ALT + D to run DirtyDecrypt.exe Al ejecutar el malware por primera vez, este lanza una serie de hilos sincronizados con diferentes funciones. Mientras el hilo principal se encarga de desactivar funciones de seguridad y recorrer todos los archivos del sistema, los hilos secundarios se encargan de comprobar la extensión de los archivos suministrados por el hilo principal, y en caso de que la extensión sea alguna de las mencionadas anteriormente, los cifran. Al usar varios hilos para el cifrado, este se realiza más rápido. Durante las primeras fases de la ejecución del DirtyDecrypt se crean en el sistema un par de claves RSA1024, una pública y otra privada. Las dos se exportan a unos contenedores (blob) usando la función CryptExportKey de la CryptoAPI de Windows, y el que contiene la clave privada se cifra con otra llave pública, contenida en un recurso del DirtyDecrypt (ver cuadro). Evidentemente la clave privada asociada a esta última clave pública solo está en posesión del controlador del malware. 06 02 00 00-00 A4 00 00-52 53 41 31-00 04 00 00 ♠☻ ñ RSA1 ♦ 01 00 01 00-3B 45 6C CF-A9 FB 55 3E-63 C9 7E C1 ☺ ☺ ;El¤®¹U>c╔~┴ 1C 8D D2 31-A6 C4 B0 33-41 BC A4 2F-D5 C5 03 50 ∟ìÊ1ª─░3A╝ñ/ı┼♥P 74 91 8C 5B-3E C7 47 0E-CA FF 1E 5B-36 6C 27 83 tæî[>ÃG♫╩ ▲[6l\ 'â F6 4C 29 24-F3 37 67 18-91 BB 6B CF-21 55 EC A1 ÷L)$¾7g↑æ╗k¤!Uýí 6E 92 5A 02-2D 81 75 F2-58 5E 2B BF-17 25 5F 8E nÆZ☻-üu‗X^+┐↨%_Ä 1C A6 DE 39-AB 93 B5 D4-88 04 02 3B-EA BD 0B E3 ∟ªÌ9½ôÁÈê♦☻;Û¢♂Ò 35 9A 0F 33-A2 C6 17 B1-40 9F F6 BC-34 1A 09 16 5Ü☼3óã↨▒@ƒ÷╝4→○▬ 13 2E 87 A6-D7 23 75 37-B5 8D 3B 54-7B 6C 69 6C ‼.çªÎ#u7Áì;T{lil 23 C4 FD B0- Posteriormente se cifran los archivos usando la clave pública generada en el paso anterior, y se guarda la clave privada, ya cifrada, dentro de cada uno de los archivos cifrados. De este modo no existe posibilidad alguna de que se pierda. Tras analizar este mecanismo podemos decir que nos resulta imposible recuperar dichos archivos cifrados, ya que: • Todas las operaciones relacionadas con importación y exportación de certificados, generación de claves y cifrado se realizan usando la CryptoAPI de Windows, que a día de hoy se ha demostrado una implementación perfectamente segura. • Las operaciones de cifrado se basan en RSA 1024, algoritmo de cifrado cuya robustez, en estos momentos, resiste cualquier ataque criptográfico conocido. • Los archivos originales se sobrescriben con los datos cifrados, con lo que si no tenemos una copia de seguridad tampoco es posible usar métodos de recuperación de archivos borrados. Seguiremos buscando y esperando. Suerte Julio | ||
| Bajar - Subir | ||
| #4 stovar (7 Posts) - 21/08/2013 22:02:17 | ||
| Gracias Julio,
Tambien mande ur reporte general a Kaspersky en donde me hacen unas indicaciones que probare, ojala y resulten cualquier comentario lo hago saber. lo que me recomiendan es similar a lo que se muestra en el siguiente link. http://**** Por lo que lei este virus es nuevo y no hay mucha información al respecto. pero hay que tener paciencia. Saludos, Comentario del Moderador: No está permitido poner links a otras páginas que no sean oficiales o que no hayamos Autorizado. [Mensaje editado por Moderador victorhck con fecha: 21/08/2013 22:03:46]. | ||
| Bajar - Subir | ||
| #5 joseki (53 Posts) - 21/08/2013 22:19:23 | ||
| He puesto un mensaje con el mismo problema.teniendo el original de alguna imagen encriptada no se puede hacer?. | ||
| Bajar - Subir | ||
| #6 stovar (7 Posts) - 22/08/2013 01:15:54 | ||
| ¿En especifico que archivos te daño?
En mi caso daño solo los Archivos Word, Excel y PDF, pero he visto en algunos casos daña también txt, Power Point y JPG. He visto tutoriales para recuperar JPG pero aún sigo sin recuperar Excel y word. | ||
| Bajar - Subir | ||
| #7 joseki (53 Posts) - 22/08/2013 10:51:49 | ||
| Sobre todo archivos \ "jpg\ "(unos 10.000), aunque también archivos de audio, video y PDF.
He utilizado infinidad de programas y no consigo nada. | ||
| Bajar - Subir | ||
| #8 joseki (53 Posts) - 22/08/2013 12:33:13 | ||
| Me he metido en la web de PANDA y por el tipo de cifrado, no se pueden desencriptar los archivos.
Seguire mirando. | ||
| Bajar - Subir | ||
| #9 stovar (7 Posts) - 22/08/2013 17:24:39 | ||
| He visto tutoriales para recuperar fotos por medio de otros programas de kaspersky pero en mi caso no daño fotos sino documentos como word, Excel y PDF.
Pero al igual seguiremos investigando cualquier novedad estaremos al pendiente. Saludos, | ||
| Bajar - Subir | ||
| #10 joseki (53 Posts) - 22/08/2013 21:32:54 | ||
| He pasado un antivirus actualizado, antes de que arranque windows y resulta que también tengo muchos archivos \ "ZIP\ " de aplicaciones dañados. A alguien le ha pasado esto?.
salu2. | ||
| Bajar - Subir | ||
| #11 stovar (7 Posts) - 23/08/2013 01:11:46 | ||
| Yo sigo sin resolver nada,
El virus ya lo elimine pero me falta desencriptar todos los archivos, espero encontrar un metodo eficiente para hacerlo prque los que he probado no me han funcionado, Gracias, | ||
| Bajar - Subir | ||
| #12 joseki (53 Posts) - 24/08/2013 06:12:01 | ||
| Seguiremos buscando alguna solucion.
Ya he podido instalar los servipack del XP (antes no me dejaba), pero aún con esto el ordenador me va lento. saludos. | ||
| Bajar - Subir | ||
| #13 swissman (39.814 Posts) - 24/08/2013 06:33:59 | ||
| No veo que digais si habeis probado restaurando a antes de la entrada del virus.
[Mensaje editado por Moderador swissman con fecha: 24/08/2013 06:34:16]. | ||
| Bajar - Subir | ||
| #14 joseki (53 Posts) - 25/08/2013 17:42:49 | ||
| No entiendo lo que dices.como que restaurando?.
| ||
| Bajar - Subir | ||
| #15 stovar (7 Posts) - 27/08/2013 21:35:51 | ||
| En mi caso ya intente restaurar el equipo a unos dias antes de que se me infectara la maquina pero nada, inicialmente me infecto puros archivos excel, Word y PDF pero después se infectaron Imagenes.
Espero exista una solución para poder recuperar toda mi informacion. De antemano Gracias, | ||
| Bajar - Subir | ||
| #16 joseki (53 Posts) - 28/08/2013 04:36:47 | ||
| Yo tampoco consigo nada, todas las soluciones que encuentro por internet, no me sirve ninguna.
| ||
| Bajar - Subir | ||
| #17 joseki (53 Posts) - 28/08/2013 05:30:04 | ||
| He visto por internet que para descifrar claves se usan diccionarios que contienen millones de palabras, pero lo que he visto hasta ahora es para descifrar claves WPA-WPA2 y nada para archivos.
alguien sabe algo del tema?. | ||
| Bajar - Subir | ||
| #18 swissman (39.814 Posts) - 28/08/2013 06:46:13 | ||
| Restaurar sistema en Windows 7 | ||
| Bajar - Subir | ||
| #19 joseki (53 Posts) - 28/08/2013 18:17:31 | ||
| De que me sirve eso que has puesto? | ||
| Bajar - Subir | ||
#20  bellotin1 (6 Posts) - 28/08/2013 18:57:23 | ||
| Hola
el jueves me ataco el virus de la policia que sale una web con pedofilia , desde francia ,, me salia en frances , después de quitarlo con el kasperski- rescue 10 desde el cd , veo que tengo las fotos , words y excel encriptados ,,,,he ensayado con el rannodepcryptor de kasperski ,,,pero el archivo encriptado no es del mismo tamaño que el original y tampoco consigo ponerlo a los mismos tamaños ,,,le mando la foto del encriptado,,,,,es que hay alguna solucion,? Gracias | ||
| Bajar - Subir | ||
| #21 bellotin1 (6 Posts) - 28/08/2013 19:07:40 | ||
| Hola tengo el mismo problema ,,,,me bajaron la pagina pedofila y luego después de quitar el virus tengo los archivos encriptados un poquito mas grandes que los originales, una imagen negra con letras rojas , file is encripted pres crtl+ alt etc ,
alguna ayuda por favorrrrrrr, tampoco puedo restaurar el sistema no se porque el w7 no me hace los puntos de restauracion automaticamente como antes me hacia el xp,,, | ||
| Bajar - Subir | ||
| #22 bellotin1 (6 Posts) - 28/08/2013 20:12:59 | ||
| Hola tengo el mismo problema ,,,,me bajaron la pagina pedofila y luego después de quitar el virus tengo los archivos encriptados un poquito mas grandes que los originales, una imagen negra con letras rojas , file is encripted pres crtl+ alt etc ,
alguna ayuda por favorrrrrrr, | ||
| Bajar - Subir | ||
| #23 joseki (53 Posts) - 29/08/2013 10:43:21 | ||
| Es complicado desencriptar estos archivos por el tipo de cifrado. | ||
| Bajar - Subir | ||
| #24 llumblanca (1 Posts) - 11/09/2013 14:28:40 | ||
| Ami también me pasa lo mismo.
en este video lo arreglan pero no se que es lo que hacen si alguien me lo puede aclarar? [Mensaje editado por Moderador Mega-tron con fecha: 11/09/2013 18:27:18]. | ||
| Bajar - Subir | ||
| #25 backmrc (2 Posts) - 19/09/2013 15:36:32 | ||
| En que video lo has visto ? pon el enlace para verlo | ||
| Bajar - Subir | ||
| #26 swissman (39.814 Posts) - 19/09/2013 20:49:19 | ||
| No se pueden poner enlaces externos NO oficiales. | ||
| Bajar - Subir | ||
#27  Lupe92 (1 Posts) - 11/02/2014 20:38:05 | ||
| Buenas tardes.
No sé si sea demasiado tarde, pero encontré una posible solución al encriptamiento de los archivos. la información se encuentra en la página de pandasecurity de Colombia y descargando un programita llamado Panda Ransomware Decrypt. Espero sirva de algo. | ||
| Bajar - Subir |
Temas relacionados: |
| Virus bingo@opensourcemail.org desencriptar archivos encriptados | |
| Buenas Amigos, un familiar mío ha tenido problemas con un virus que le ha infectado el pc y le ha dejado el ordenador lleno de archivos encriptados que ahora no puede usar porque no se pueden desencriptar, por lo visto se trata del Virus (prohibido poner emails) que hace ese destrozo, ya le ha pasado el antivirus y demás pero dice que no hay manera, antes de que formato y todo eso me ha preguntado si yo sabía qué hacer, pero he estado buscando info y hay poca información sobre el tema aunque muchos afectados, ¿A alguien le ha pasado y sabe c... | |
| Virus archivos encriptados | |
| De que forma puedo eliminar la encriptacion de archivo (.crypt) Windows 7 ultimate. ... | |
| Archivos encriptados por virus | |
| Hola a todos.se me infecto el ordenador con el virus \"de la policia\", lo conseguí eliminar, pero ahora tengo muchas imágenes,audios y vídeos encriptados. He de decir que el virus no me renombro los archivos, por lo que tienen el mismo nombre y sin ninguna extensión rara (locked). Al no tener los originales, la mayoría de los programas que existen no me valen para desencriptar los archivos.Como puedo hacerlo sin tener los originales?. Gracias por todo. PD.me descargue la imagen de muestra \"invierno\" de windows XP sin bloquear, pero t... | |
| Ayuda pf,,,,encriptado archivos por virus policia , prdofilia | |
| Hola el jueves me ataco el virus de la policia que sale una web con pedofilia , desde francia , me salia en frances , después de quitarlo con el kasperski- rescue 10 desde el cd , veo que tengo las fotos , words y excel encriptados ,he ensayado con el rannodepcryptor de kasperski ,pero el archivo encriptado no es del mismo tamaño que el original y tampoco consigo ponerlo a los mismos tamaños ,le mando la foto del encriptado,es que hay alguna solucion,? Gracias Windows 7 (6.1) 32b, Firefox 23.0. ... | |
| Como Desencriptar Archivos de Windows. | |
| El problemas es el siguente. Formatie una laptop Lenovo, El cual tenía Windows Xp Sp3, pero ella tenía clave, me dan la clave pero por varias veces intenté y no era la clave, habian olvidado la clave del usario para inicio de secion de Windows, yo logro acceder a mis documentos de la maquina para respaldar documentos e imagenes a una particion llamada Respaldo. Desde uni disco de instalación de Linux Canaima 3.0, para hacer el respaldo pero intente abrir archivos para chismosearle las fotos pero no las vi el cual estaban guardadas en la part... | |
| Foros: Virus, Archivos |
| Subir |
Foros: |
|