Foro de elhacker.net

Hola.
Hoy estaba intentando instalarme el Corel draw de manera gratuita mirando un vídeo de Youtube y me descargue el archivo y mí antivirus empezó a decirme que tenía un montón de virus. Mí computadora empezó a andar más lenta y entonces todos mis archivos se cambiaron a una extensión cdxx. Como soluciono eso? Tenía un montón de cosas importantes ahí y no hice backup de nada (aprendi la leccion). Pero hay una manera de recuperar mis archivos? Por favor ayuda!

No puedo ayudarte, sólo un par de dudas:

1- ¿En el video se te recomendó la página esa o la encontraste por tu cuenta?

2- ¿Cual es la página? Y si te la recomendó el video ¿cual fue el video?

tienes un punto de restauración? por lo regular por defecto siempre se crea, aunque es complicado deshacerse de un ransomware

Lo primero que hace un ransomware es eliminar los puntos de restauración de Windows (shadow copies)  :-X

Para saber que variante es sube la nota de rescate a:

https://id-ransomware.malwarehunterteam.com/

Tendría que ser un ramsomware bastante viejo o de baja calidad para que tenga un descifrador, de todas maneras hay que hacerle caso al antivirus, si este dice: Alto, esto es un ramsomware, pues obviamente no hay que ejecutarlo, si dice: Espera, esto es un keygen/patch/crack hay que ser precavido o asesorarse o probarlo en virtual.

Corel normalmente trae cracks y no vi que ninguno sea detectado por un antivirus, versiones anteriores traían un patch pero eran detectados como keygen o patch o generic malware.

Por eso yo en casa tengo el antivirus protegido con contraseña, si alguien quiere instalar/ejecutar algo y el antivirus no le deja me tienen que llamar a mí para aprobarlo. Esto porque ya es prácticamente normal que todo instalador bajado de "algún sitio" tiene como paso número uno desactivar el antivirus, y esa práctica se ha hecho de lo más normal del mundo, cosa que no debería ser así.

Siempre que veo infecciones por ramsomware es porque el propio usuario lo permitió, veo difícil que uno se infecte sin querer.

Hola, ese virus es un ransonware y lo que hizo fue cifrar todos tus archivos para que no los puedas usar ni recuperar, como bien comentó el-brujo esos malwares lo primero que hacen es borrar los puntos de restauración.

Si ese ransonware ya tiene tiempo desde que se lo creó y no es muy complejo su método de cifrado, puede que si consigas descifrar tus archivos porque los de ahora hasta hoy en dia no hay descifradores ya que trabajan con cifrado AES, aunque puede que en el futuro tengas suerte con la evolución y ayuda de la IA:

https://es.linkedin.com/pulse/el-rumor-que-sacude-mundo-de-la-seguridad-digital-openai-eventos-ti-kms4e

Comentar que esos malwares infectan tu PC porque le has dado el permiso desactivando tu antivirus y ejecutando ese malware.
Por último decirte que no se te ocurra pagar el rescate porque hay gente que por desesperación o porque necesita recuperar la información toma la decisión de pagar y ahí es cuándo es estafada porque lo más probable es que no te envíen ese supuesto software específico para tu PC para descifrar los archivos.


Saludos

Si... Me enteré que es un ransonware buscando en google.  Me instale un descifrador pero me decía que no se encontraba el nombre original del archivo, omitido. Quizás deba llamar a alguien que sepa más de esas cosas. En cuanto a la carta de rescate donde debería aparecer? Porque creo que no me llegó ninguna.
Para deshacerme del ransonware me instale un antivirus llamado Malwerbytes que decía que me encontró 26 amenazas y las movió a la cuarentena ¿Eso sirvió?
Respondiendo a las preguntas de Tachikomaia: las páginas aparecían en la descripción del vídeo. Primero tuve que confirmar que no era un robot para acceder al link (que es lo que usualmente se hace cuando te querés descargar cosas pirateadas) y después accedí al link. El instalador pesaba solo 10 megabytes, lo que me pareció bastante raro y además el antivirus me lo bloqueo, y yo permití la descarga. Si, yo tuve la culpa. El vídeo era este: https://m.youtube.com/watch?v=sAdBNH_no6Y

Probé todos los enlaces y ninguno dirige a un archivo de 10MB, el que se supone que es de Corel lleva a mediafire para descargar el archivo de más de 600MB, los otros dos llevan a pedir permiso de acceso para google drive.

Tampoco veo quejas o comentarios negativos, al contrario. ¿Tienes bloqueador de anuncios?, quizá te comiste un anuncio con ramsomware de los que abundan, o la infección fue por otro lado, sería bueno saber como llegó la infección para no caer nuevamente

Le iba a decir algo similar, a veces al cliquear en una supuesta descarga lo que se cliquea es digamos un botón invisible que luego se elimina, el cual empieza a descargar algo que no es lo que quieres descargar. Me ha pasado varias veces. En tu caso probablemente fue mala suerte pero normalmente uno sabe qué está descargando y por el nombre raro o la extensión de esto otro te das cuenta de que no es. Tuviste mucha mala suerte supongo. Yo normalmente no descargo exes así que cuando me aparece un exe me doy cuenta que no es lo que quiero y lo cancelo.

El bloqueador de anuncios no siempre funciona, o al menos a mí no.

Me parece que te has equivocado de descarga y has dado clic en algún botón (generalmente son enormes) de "Descargar" y ese botón no era propio de la página ni el destino final sinó que era un botón de alguna publicidad y has pensado que era del Corel Draw, por eso siempre hay que estar muy atento de ese tipo de cosas y asegurarse muy bien a donde dirige el link de descarga.

Yo en esos casos lo que hago es hacer clic derecho en el botón Descargar y copio el enlace luego lo pego en por ejemplo el Bloc de notas y ahí lo reviso, si es un link malicioso me voy a dar cuenta porque generalmente tienen dominios y parámetros raros, además de ser muy largos (aunque no siempre), pero claro esto no siempre funciona porque puede pasar que el link sea al contrario muy corto por ejemplo que utilice un acortador de URL y si así fuese ya se que método usar para saber el destino.

También podes analizar los links sospechosos en VirusTotal:

(https://www.virustotal.com/favicon.ico) ^{https://www.virustotal.com/gui/home/url}

Ah, si, creo que me confundi. El archivo se llamaba file_v2.rar y adentro tenia un setup de algo, el archivo decia solo setup.exe. Lo ejecute pensando que era el del corel y me pidio permisos de administrador y todo pero no se me instalo nada. Quizas eso era para instalar el virus?

Con sólo pedirte permisos de Administrador seguramente si, además suelen usar esos nombres como setup.exe para confundir al usuario y que crea que es un instalador, por otro lado es normal que una vez ejecutado no hayas notado nada justamente eso hacen los ransonwares trabajan en segundo plano de forma silenciosa.

Bueno, pues mala suerte. De todas formas tenía cosas importantes pero nada que no pueda volver a empezar, asi que a empezar de cero otra vez  :D

He leído un poco al respecto de ese ransomware, y por extensión dicen que puede ser una variante de STOP/Djvu, tienes un descifrador para ese ransomware aquí:

Link: https://www.emsisoft.com/ransomware-decryption-tools/download/stop-djvu

Ese link te descargará el descifrador que posiblemente te funcione....
Si la variante es muy nueva fallará y te dará error, pero sino, posiblemente puedas descifrar tus archivos.
He leído que ya eliminaste la infección con malwarebytes, con lo cual no pierdes nada por probar.

Si, intenté con eso pero me daba error, así que supongo que am empezar todo de nuevo...