Foro de elhacker.net

Hola.

Esta tarde mientras navegaba tranquilamente por la red me percato de que>

*****


http://www.subeimagenes.com/img/timo-1187236.html


La cagamos.

Ahora mismo estoy conectado con Un Live CD de Ubuntu.

Le he pasado el antivirus, y no consigo nada.

Sugerenncias...

Se me acaba el tiempo.

Titulo no descriptivo, recuerda las reglas del foro, ya llevas tiempo en el foro por favor trata de seguirlas

 https://foro.elhacker.net/dudas_generales/reglas_del_subforo_y_razon_por_lo_que_temas_podran_ser_eliminados-t424833.0.html  (https://foro.elhacker.net/dudas_generales/reglas_del_subforo_y_razon_por_lo_que_temas_podran_ser_eliminados-t424833.0.html)

---

Has respaldo de tu discoduro, hay formas de desencrptar brindadas por karpesky y otras, el asunto es saber cual virus fue

Cómo te infectaste?

Infectado mientras navegaba.
No se si por via web , o si un troyano abrio la puerta.

¿Alguna forma de eliminar el virus ahora mismo?

Hola B€T€B€, yo estoy buscando algo de informacion, pero con lo poco que deduzco de la imagen, no encuentro nada.

Antes de nada haz lo que te ha indicado engel lex, de cambiar el titulo por uno descriptivo, ya que sino, te pueden cerrar el post, aparte de que es mas facil que alguien te pueda hechar una mano.

Y intenta aportar toda la informacion posible, desde las ultimas webs que estubieras visitando a todo lo que se te ocurra que pueda ser causa del virus.

Ademas intenta explicar que cosas has probado aparte del antivirus, ya que parece bastante nuevo y de ser asi, lo mas probable es que ningun antivirus lo detecte hasta que no tengan la solucion.

modo a prueba de fallos?

Haz una copia de seguridad del disco duro, y al menos no pierdes la informacion y si con el live cd te deja entrar, guarda aquello de valor.

Has notado algo raro? al entrar con el live CD?

Es muy parecido al virus de la policia, prueba a hacer la misma solución que con el virus de la policia al vez sea igual nada más cambie el texto  :rolleyes:

No usen modo a prueba de fallas señores... si alguien hace un virus que alcanza permisos de administrador se va puede ejecutar igual en modo a prueba de fallos

bNK8ii9CXRE

Kaspersky Rescue Disk 10

Y también puedes probar esto: http://www.forospyware.com/t259185.html

siguele viendo porno  :silbar

formatea punto  :P

Pues no se si ha sido por ver porno.
En ocasiones lo veo, pero no se si es el caso.

El virus en cuestion tiene nombre> CryptoLocker

revisate esto

https://blog.avast.com/es/tag/cryptolocker-es/ (https://blog.avast.com/es/tag/cryptolocker-es/)

Busca algun ejecutable llamado kjschnuiewhnisdkj.exe  por todo el sistema yo e borrado varios y tenian ese nombre, pero claro hace tiempo... Se abran modernizado, asi que te toca hacer analisis profundo de todo el sistema para encontrar el culpable.

PD:El nombre ese es un ejemplo porque son nombres asi...

Puedes echarle un vistazo a este articulo,espero que te sirva http://losvirus.es/cryptolocker/ (http://losvirus.es/cryptolocker/)

Si realmente es un cryptolocker te recomiendo que no lo elimines ni trates de desinfectarete. Lo primero que deberías hacer es copiar tus archivos (aunque estén cifrados) por si acaso a un sitio seguro. Luego seria buscar información sobre esta variación en concreto y ver si tiene fallas en la implementación y en el cifrado o si por casualidad guardan la clave en algún sitio concreto de tu PC.

Si no tiene fallas te puedes despedir de los archivos que tengas. En tal caso un formateo al HDD por completo y a todas las unidades que hayas podido enchufar mientras estabas infectado debería solucionar tu problema.

En los casos de los cryptolockers es difícil recuperar información cifrada... Quizás tengas algún backup o algo pero..

Para que veas un ejemplo...
http://www.securitybydefault.com/2014/12/atencion-infecciones-masivas-de.html

Saludos

Hola.

Acabo de descubrir la primera falla del Virus.
El contador de tiepo de la Bomba Logica no funciona el timepo que el S.O. esta inactivo.

 ;-) ;-) ;-) ;-) ;-) ;-) ;-) ;-) ;-) ;-) ;-) ;-) ;-) ;-) ;-) ;-) ;-) ;-) ;-) ;-) ;-) ;-) ;-) ;-) ;-) ;-) ;-) ;-)

Una chapuza de virus.
Mas tiempo para darle por  :-X :-X :-X  al virus.

Hola de nuevo.

Al final pude librarme del malware sin la imperiosa necesidad de tener que formatear.
Voy a poner en común una serie de cuestiones para aclarar las cosas.

El malware en concreto que ha padecido mi ordenador es: Ransomware CTB-Locker (Curve Tor Bitcoin-Locker)

Similar al virus de la policía.
Para entrar en mi S.O. probablemente se a valido de un troyano, y (puede que) sólo se ha activado al detectar la presencia y actividad de un monedero Bitcoin.
Así que incluso puede que llevase largo tiempo inactivo en mi S.O. a la espera...

Lo que hace el Ransomware CTB-Locker es cifrar algunos archivos, y entorpecer el manejo del S.O. con una molesta patalla de bienvenida.
Pantalla que solicita en pago de una determinada cantidad de dinero (Bitcoins), con la promesa de descifrar los archivos afectados.
Cifra y se centra en (mi caso) archivos tipo OpenOffice, e imagenes (.jpeg y .jpg).
No ha tocado los pdf, los .txt, los .gif, ni los vídeos.
Es muy selectivo.
Sabe lo que lo busca.
Aunque el daño que me a causado a sido mínimo.
El S.O. sique siendo funcional, pero la molesta y omnipresente pantalla de presentación inmpide la correcta instalación de herramientas (software); necesarias para su eliminación.

He intentado eliminar el Ransomware CTB-Locker de varias formas.
Incluyendo algunos programas que ya ni recuerdo, así como también Kaspersky Rescue Disk 10.
Kaspersky Rescue Disk 10 no he llegado a poder ni cargarlo exitosamente.
No se porque razón se bloqueaba.

Finalmente, y al primer intento (con esta herramienta) logré mi propósito.
Se trata de "ESET Rogue Aplicación Remover"

32-bit Version – http://download.eset.com/special/ERARemover_x86.exe
64-bit Version – http://download.eset.com/special/ERARemover_x64.exe


Se descarga el exe, y se inicia.
Rápidamente comienza la búsqueda del Ransomware CTB-Locker.
Y tras unos minutos (15 aproximadamente).


(http://www.subeimagenes.com/thumb/captura-2-desinfeccion-1226963.JPG) (http://www.subeimagenes.com/img/captura-2-desinfeccion-1226963.html)


Ahora y una vez solucionado el problema sólo me queda el borrar los archivos cifrados.
Su recuperación es una misión imposible; salvo que alguien afirme lo contrario.
Así pues: "Asunto Resuelto"


Gracias y salu2.

Madre mia, no sabes la suerte que has tenido.  Es una nueva variante del ya conocido y odiado cryptolocker. 

El jueves pasado nos llamaron de una empresa donde una chica a las 9 am había descargado el troyado que llego por correo desde la misma organización. Oculto en un word. a las 10 am el bichito ya había llegado a 3 de los 6 servidores que tenían, cifrando toodo lo que podía. a las 11 am se enteraron de que algo iba mal. a las 12 llegué yo con mi compañero y no había nada que hacer, toda la empresa cifrada xD

Clro dile tu a un ejecuta que el trabajo de más de 500 empleados de un día va a ser borrado para tirar de la copia XD

Has tenido suerte.

A mi lo que no me queda claro es lo de oculto en un word....

un word ".exe" ¬¬ o un word en el que ponia ejecuta el otro archivo y riete....

Vamos que no digo yo que no hayan encontrado un bug en el word, para poder meter el virus dentro, pero que 99.9% de seguridad de que era el tipico "word.doc.exe"
recibido desde un correo "Has ganado un premio" y de los que encima esta todo el texto mal escrito....

En fin...

ElP4nd4N3gro, yo de ti, les decia que borren y tiren de copia y que si les molesta que hablen con la que abrio el "word".

Hola tremolero. Sip, la chica pues no debió estar muy fina descargando nada..


Por otro lado, yo no querría ponerme en la piel de quién ejecute este archivo. Por ejemplo.

(http://i.imgur.com/lb1JtHg.png)

Mod: Tamaño máximo de imágenes 800*600..

hm....

Veo que lo tienes, seria mucho pedir que me lo pasaras??

para evitar problemas si quieres lo comprimes y lo subes a cualquier servidor como mega

Sigo bastante sorprendido y asi de paso me entretengo ejecutandolo :P

Bueno imagino que sera uno de esos macrovirus... pero por ver si se ve algo....

Gracias

Qué tal tremolero, entiendo perfectamente tu curiosidad pero en primer lugar decirte, que es una prueba que hice y no tiene absolutamente nada que ver con cryptolocker.
Es un exploit completamente diferente.

y en segundo lugar y más importante, no te conozco de nada y no me parece buena idea ni ético empezar a mandar por internet. Espero que lo entiendas.

Lo hice con un módulo de metasploit cargando mi propio payload, no tiene más. esty seguro de que si investigas podrás hacer el tuyo.

Un saludo!!

PD. Gracias por la reducción de la imagen, para la próxima respetare las medidas! :rolleyes: