Resultados 1 al 4 de 4

Tema: Virus criptolocker: Al arrancar desde el disco duro me pide una contraseña

  1. #1

    Predeterminado Virus criptolocker: Al arrancar desde el disco duro me pide una contraseña

    Hola, muy buenas

    A ver si alguien le ha pasado o conoce una posible solución.

    Esta mañana he visto un servidor con este mensaje cuando empieza a arrancar Windows Server:

    "To decrypt contact falcons@scryptmail.com
    enter password:"

    Si le das a enter, continúa, pero inmeditamente da un error diciendo que no se pudo iniciar Windows, error 0xc000000f, etc..

    He sacado el disco duro de ese servidor, lo he conectado por usb y me dice que el disco está sin formato y no me deja acceder. Le he pasado el Getdataback y si puedo acceder a la información y no está encriptada (cosa rara). El caso es que estoy sacando los datos que había y parece que toda la información es legible.

    El tema es que no sé muy bien si hay algún programa que repare este tipo de particiones encriptadas / dañadas o lo que sea, para tener que evitar volver a reinstalar todo de cero. O tenéis alguna sugerencia para hacer.

    He estado brujuleando por google pero no he conseguido ver nada concreto, pues ya hay tantísimas versiones de este tipo de virus que lo que veo se refiere a arranque encriptado y datos encriptados, pero no es mi caso. Aparte que tampoco he visto una solución (que supongo no existirá)

    Gracias!
    Core I7 920 + PB Asus Rampage II Gene + 12GB DDR3 Corsair Trident PC-1600 + Asus AMD Radeon R9 280X Direct CU II 3GB GDDR5 + PSU Corsair HX 850W + LG 24" E2442 LED + Caja NZXT Vulcan MATX + Windows 10 Pro 64 bits

  2. #2

    Predeterminado Re: Virus criptolocker: Al arrancar desde el disco duro me pide una contraseña

    Menuda suerte has tenido, yo he tenido que ver, que no sufrir, varios cerberus y hermes con daños irreparables
    Mio: i5 3570K @ 4200 - Asrock Z77 XT4 - 16GB Crucial Tracer LED 1866Mhz - Palit GTX 1060 6GB OC - Sound Blater Z - Samsung 860 EVO 500GB - WD Green 6TB - Corsair TX650M
    Benq BL3200PT 32" 2K - Logitech's G502 + G19 + G430 + G440 + Z5500 + C600 - Thermaltake Armor+

    Parienta: HP EliteDesk 705 G2 - AMD A8 8650B - 8GB Samsung 1600 - Radeon R6 - Crucial MX100 256GB + WD Elements 3TB + Tacens Levis Combo + Samsung 42" + Logitech Z623

  3. #3

    Predeterminado Re: Virus criptolocker: Al arrancar desde el disco duro me pide una contraseña

    Con lo que comentas es casi imposible decirte nada concreto porque de ransomwares/cryptolockers hay infinidad de variantes.

    Si tuvieras ficheros encriptados, por sus nombres o extensiones se podría concretar pero tu caso no es ese.

    Por lo que dices (de que no tienes ficheros encriptados en su interior) parece un Ransomware del tipo MBR Cifrado, un Encrypted Boot Ransomware y hay varios tipos, pero el más común es el que mueve el MBR original infectado a otra ubicación del disco mientras que lo sustituye por un MBR que muestra ese mensaje de "bienvenida". Algo como ésto, aunque hay muchas variantes:



    Puedes probar diversas herramientas para ver cómo lo identifican y probar a desinfectar el disco, pero antes copia toda la información por precaución. Probaría desde un DVD o USB con:

    - Kaspersky Windows Unlocker
    - GDATA EU Ransomware Cleaner
    - HitmanPro Kickstart

    - Drweb Live CD-USB

    O como lo tienes ya fuera, conéctalo de secundario y analízalo con herramientas antivirus y antimalware típicas (Malwarebytes Antimalware, DrWeb CureIt, TDSSKiller, ....) herramientas que te analicen el MBR.

    Aunque yo prefiero analizar todo desde fuera de Windows (mejor desde un USB).

    Un saludo.
    Última edición por erchinchetas; 12/03/2018 a las 22:15

  4. #4

    Predeterminado Re: Virus criptolocker: Al arrancar desde el disco duro me pide una contraseña

    Cita Iniciado por irmscher Ver mensaje
    Menuda suerte has tenido, yo he tenido que ver, que no sufrir, varios cerberus y hermes con daños irreparables
    Si, efectivamente. Muchísima suerte porque entiendo que el fin no era sólo encriptar el arranque del sistema operativo, era también encriptar todo el disco duro para que fuera imposible recuperar nada. Supongo que fallaría el virus. Lo he dejado toda la noche rescatando los datos del disco duro del servidor con el Getdataback y bien, parece que está todo perfecto. Así que si, al cliente le ha tocado la lotería aunque no lo crea.

    Ese servidor tenía activado el Terminal Server y me da que alguien ha entrado por ahí, porque llevo una racha de entradas a través de este servicio en diferentes servidores para después encriptar los datos bastante importante. No sé si es que ha salido alguna aplicación para reventar las claves de los Terminal Server o alguna vulnerabilidad que están sabiendo explotar, porque en menos de un mes he tenido unos siete avisos por lo mismo. Y mira que he avisado de cerrar este sistema que me parece un peligro desde hace ya la torta, pero en fin, esto es España y aquí la prevención brilla por su ausencia. Luego a lamentarse y a querer que se arreglen las cosas con la varita de Harry Potter.

    Cita Iniciado por erchinchetas Ver mensaje
    Con lo que comentas es casi imposible decirte nada concreto porque de ransomwares/cryptolockers hay infinidad de variantes.

    Si tuvieras ficheros encriptados, por sus nombres o extensiones se podría concretar pero tu caso no es ese.

    Por lo que dices (de que no tienes ficheros encriptados en su interior) parece un Ransomware del tipo MBR Cifrado, un Encrypted Boot Ransomware y hay varios tipos, pero el más común es el que mueve el MBR original infectado a otra ubicación del disco mientras que lo sustituye por un MBR que muestra ese mensaje de "bienvenida". Algo como ésto, aunque hay muchas variantes:



    Puedes probar diversas herramientas para ver cómo lo identifican y probar a desinfectar el disco, pero antes copia toda la información por precaución. Probaría desde un DVD o USB con:

    - Kaspersky Windows Unlocker
    - GDATA EU Ransomware Cleaner
    - HitmanPro Kickstart

    - Drweb Live CD-USB

    O como lo tienes ya fuera, conéctalo de secundario y analízalo con herramientas antivirus y antimalware típicas (Malwarebytes Antimalware, DrWeb CureIt, TDSSKiller, ....) herramientas que te analicen el MBR.

    Aunque yo prefiero analizar todo desde fuera de Windows (mejor desde un USB).

    Un saludo.
    Voy a bajar alguno de los que comentas, a ver si repara el arranque y el servidor vuelve a estar activo.

    En caso de que eso falle, en ese servidor se estaban haciendo copias completas con el programa de backup de Windows Server, incluido el estado del sistema y demás. Ese disco duro le pasa un poco lo mismo, también te dice que el disco duro no es accesible y si quieres formatear.

    Mi idea es intentar rescatar la información de ahí con el Getdatabackup y ver si con eso puedo reconstruir el servidor para que vuelva a arrancar. Realmente nunca he tenido que utilizar el backup de Windows Server para esto en concreto y ni siquiera sé cómo hacerlo. No sé si puedo arrancar con un CD de Windows Server y desde la consola de comandos reconstruir el servidor o tengo que instalar Windows Server y después rescatar el estado desde el backup.

    En fin, voy a ver si encuentro algo de información para ver si puedo dejarlo lo mejor posible.

    Gracias
    Core I7 920 + PB Asus Rampage II Gene + 12GB DDR3 Corsair Trident PC-1600 + Asus AMD Radeon R9 280X Direct CU II 3GB GDDR5 + PSU Corsair HX 850W + LG 24" E2442 LED + Caja NZXT Vulcan MATX + Windows 10 Pro 64 bits

Permisos de publicación

  • No puedes crear nuevos temas
  • No puedes responder temas
  • No puedes subir archivos adjuntos
  • No puedes editar tus mensajes
  •