Bueno pues me ha tocado lidiar con este bicho.
Esta mañana nada más llegar a la oficina , no había hecho más que enchufar el portátil y me llaman del despacho de al lado que algo falla en el pc . SORPRESA , se ha producido un error al leer la bd de un programa de los que utilizamos normalmente y el ordenador se ha bloqueado. Al reiniciar, el escritorio aparece con fondo negro y dos archivos nuevos que se auto ejecutan en el arranque. Uno es un txt que indica:
" sus archivos han sido cifrados con RSA 4096" y unas indicaciones de como descargar desde servidores TOR un archivo y unas URL donde obtener la clave de cifrado.
El otro es un archivo de imagen con una captura del texto del txt .
Estos archivos se llaman : +REcovER+hprip+.png y el otro +REcovERhprip+.txt , REcovER+ryhuj+.png , +REcovER+ryhuj+.txt , +REcovER+vinrr+.png , +REcovER+vinrr+.TXT
Bien estos archivos, se han copiado a todas (todas) las carpetas de C: incluyendo las carpetas sincronizadas en la nube, Dropbox y driver.
Pues bien en todas las carpetas en las que se ha copiado esos archivos (que no son el virus en sí, estos son inofensivos) se han cifrado los archivos pdf, dbd, doc, xls etc etc .... realmente no se si están cifrados ya que no se les ha cambiado la extensión, ni el nombre , simplemente no se pueden abrir .
Lógicamente es un rasonware , el problema es que no se cual exactamente , se que no es cryptolooker .
Mi pregunta es
¿ puedo saber como se ha infectado? ¿cuando? ¿la ejecución de este tipo de malware es instantánea o permanece oculto y se activa en un momento concreto?
Necesito saber esas cosas para poner barreras ya que la solución como siempre ante estos ataque es formatear y eso ya está echo . El daño no ha sido mucho ya que las políticas de seguridad se han cumplido y las copias de respaldo estaba hechas del viernes .
Hay dos cosas que me llaman la atención.
1 el disco 1 tiene dos particiones c: y d: y solo ha infectado c: , el disco 2 tiene otras 2 particiones y ha infectado e: pero no f: se da la circunstancia que este disco dos es el antiguo disco primario del pc y por tanto contiene archivos de sistema en e: . Esto me indica que el rasonware solo ha atacado al sistema operativo y no a las particiones de datos ( por suerte) y esto no es habitual ya que este tipo de malware ataca todas las unidades que tienen letra asignada
2 los archivos que estaban en las carpetas sincronizadas con la nube también contienen esos archivos (el txt y el jpg) y el bicho automáticamente los ha subido a todas las carpetas remotas, con lo que esos archivos tampoco se podían abrir , pero si se podían abrir en línea. Osea utilizando la apertura online de las herramientas de driver si que se abrían y estaban correctos .
Esto junto con el NO cambio de extensión, ni el cambio de nombre me hace sospechar que quizá no estuvieran cifrados realmente y fuera un tipo de virus que imita el comportamiento de un rasonware , sin serlo.
¿que os parece ?
Si queréis más info y siempre que disponga de ella os la paso.
Pero ya digo lo que más me importa es averiguar el como, ya que como sabéis. Si preguntas al usuario del pc,¿ que ha hecho? dice que nada .
Revise los correos recibidos en el día de hoy y estaban limpios y esta es la forma de infección más comun de este tipo de virus (siempre que sea un rasonware )
Saludos
edito : ya e puesto los nombres exactos de los archivos que copia