NOVEDADES SOBRE UN SUPUESTO RANSOMWARE CRYPTOWALL 3.0
Es conocido de antaño que despues de conocer que el cryptolocker codificaba con RSA 2048, añadía encripted a la extension de los ficheros cifrados y mantenía las copias realizadas por el Shadow Copy en los terminales de equipos con sistemas > W7, apareció el CRYPTOWALL, que no añadía ni modificaba el nombre de los ficheros cifrados, pero borraba las copias realizadas por el Shadow Copy, con lo que fastidiaba a los usuarios que no tenían copia de seguridad al día, y posteriormente apareció la versión 3, que ofrecía este pantallazo en llas carpetas donde había coifrado ficheros, aparte de en el escritorio y en la carpèta de inicio:
HELP_DECRYPT.PNG:
Pues bien, esta supuesta version 3 resulta que presenta información falsa, ya que no cifra con RSA2048, sino con AES 256, y a diferencia del Cryptowall inicial, no borra las copias que hace el Shadow Copy, asi que pueden recuperarse los ficheros originales de antes del cifrado, al igual que ya se podía hacer con el Cryptolocker.
Recordamos que una vez terminado el cifrado, este ransomware se autoborra del ordenador infectado (en el que se ha ejecutado el fichero malicioso), asi que se podrá proceder a restablecer laa copias de dichos ficheros, si bien siempre aconsejamos arrancar en MODO SEGURO y lanzar el ELISTARA eliminando temporales, por si se tratara de otra variante de las que tanto abundan.
Por último recordar que de esta familia de Cryptowall existe la version 4, que no solo codifica el contenido de los ficheros sino ademas el nombre de los mismos, para fastidiar aun mas al usuario infectado, como ya indicamos en la informacion que dimos al respecto.
Como ya pasó con el cryptolocker, ha sido nuestro buen amigo JuanLuis de VB42 quien nos ha hecho saber lo indicado, al haberse encontrado con ordenadores de sus clientes con dicho ransomware y en su empeño en lograr solucionar el problema del cifrado, ha conseguido el éxito indicado, y nos lo ha participado. Gracias JuanLuis !
saludos
ms, 19-11-2015
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.