SOBRE RECUPERACION DE LA INFORMACIÓN DE FICHEROS CIFRADOS POR EL ACTUAL CRYPTOLOCKER

Como sea que hemos tenido incidencias de todo tipo con los ransomwares, y que si el usuario no tenía Copia de seguridad de los ficheros cifrados, o no la tenía protegida fuera del acceso de unidades compartidas, las últimas versiones borraban las copias hechas por el ShadowCopy, en su día ya indicamos que, a través de un cliente profesional y amigo nuestro, se nos informó del posible método para descifrar los ficheros cifrados por variantes del Cryptolocker, que facilitaban a través de la colaboración de la OSI (Oficina de Seguridad del Internauta) quienes indicaban como enviar al CERT ficheros cifrados para que estos últimos facilitaran utilidad de descifrado específico de la versión de entonces, la cual borraba las copias hechas por el ShadowCopy, impidiendo su recuperación por dicho método, conforme a lo que decíamos en:

tolocker-del-falso-mail-de-endesa/

Además resulta que el actual sistema operativo Windows 10 ya no tiene activada dicha creación de copias, con lo cual aunque no fueran borradas, no cabía dicha posibilidad, y volvimos a recurrir al posible descifrado por dicho medio, lo cual era de agradecer ante la desesperación de usuarios sin copia de seguridad y que habían perdido documentos y fotos irrepetibles, pero … BUENA NOTICIA ! Otro luchador nato contra los malwares, J.L. Martín, tambien amigo nuestro, nos ha participado hoy que la actual saga de los actuales Cryptolockers, no borran la copia del Shadow Copy, si es que se ha creado en las estaciones de trabajo que no usan Windows 10, y en ellas, si se sigue escrupulosamente las siguientes indicaciones, es posible recuperar, como antaño, los ficheros originales guardados por el ShadowCopy, para lo cual los viejos del lugar ya saben que cabe utilizar comodamente la utilidad SHADOWEXPLORER.EXE, si bien tambien recordarán que si en los servidores no se configuró dicha actuación, en ellos, aunque estaba disponible, no estaba configurada, y se había de activar previamente, antes del cifrado de cualquier ransomware.

Pues para los usuarios que se encuentren con ficheros cifrados en estaciones de trabajo que no usan Windows 10, es posible la recuperación de las copias del SHADOWCOPY en los terminales, siguiendo estos pasos:

-ARRANCAR EN MODO SEGURO
-LANZAR EL CLRANSOM.EXE
-RENOMBRAR A .VIR EL FICHERO QUE ENCUENTRA EN LA CLAVE DE REGISTRO O4 RUN INDICANDO MALWARE
-Y MUY IMPORTANTE ! , SIN REINICIAR, LANZAR EL SHADOWEXPLORER.EXE

Esperamos que ello sirva a algun afectado, si bien recordamos LA IMPORTANCIA DE TENER SIEMPRE ACTUALIZADA LA COPIA DE SEGURIDAD, pues como este ransomware, hay otros de las familia LOCKY-OSIRIS, CERBER 4, y demás, que borraban las copias del SHADOWCOPY , como ya deciamos en

https://blog.satinfo.es/2017/interesante-consideracion-para-evitar-el-borrado-de-las-copias-de-seguridad-de-ficheros-cifrados-por-ransomwares/

Y sobre el último Cryptolocker recibido, podemos decir que, además de controlarlo la versión del ELISTARA 36.37 actualmente disponible en nuestra web, ya la detectan nuestros antivirus, tanto Kasperky como McAfee, si bien este último heuristicamente, por lo cual es necesario tener activada la heuristica a nivel MUY ALTO, según se ve en el último analisis al respecto de VIRUSTOTAL:

MD5 56ea4385bd58a497b7a8dd5ac2e4ae68
SHA1 73d1f2f0ee14949adcd61636f30e262ebf304d9b
Tamaño del fichero 348.9 KB ( 357249 bytes )
SHA256: b905da5fd5b45e320bca944312cd5e364d896bd1e4023a75744976c415b0ff67
Nombre: ajpbalkt.exe
Detecciones: 30 / 61
Fecha de análisis: 2017-03-07 13:48:00 UTC ( hace 2 minutos )

total.com/es/file/b905da5fd5b45e320bca944312cd5e364d896bd1e4023a75744976c415b0ff67/analysis/1488894480/

“Kaspersky Trojan.NSIS.Sod.jny 20170307
Malwarebytes Ransom.Crypt0L0cker 20170307
McAfee Artemis!56EA4385BD58 20170307
McAfee-GW-Edition BehavesLike.Win32.Kovter.fc 20170307″

Esperando que lo indicado les haya sido de utilidad, quedamos pendientes de las consultas que tuvieran al respecto.

saludos

ms, 7-3-2017