locked
cifrado de datos por virus ctb-locker RRS feed

  • Pregunta

  • Hola, me ha entrado un virus en un ordenador y me ha cifrado todos los archivos de word, excel, jpg etc.. y me han añadido una extension aleatoria ,el cifrado es ctb-locker, he leido muchos foros y he visto que no hay forma de desencriptar los archivos, asi que he intentado restaurar sistema pero los puntos de restauracion estaban borrados, asi que he intentado recuperar archivos borrados con software como recuva, he podido recuperar datos borrados, estaban todos y sin la extension aleatoria, el problema es que al abrirlos he visto que tambien estaban cifrados.

    Me surge una duda, entre los archivos borrados recuperados tambien he recuperado la carpeta System Volume Information y he visto que hay mas archivos dentro que los que tengo actualmente, pero no se como acceder a los datos que estan dentro, he probado con shadow explorer pero no me reconoce los puntos de restauracioin que hay dentro, ¿hay alguna forma de sacar datos de esa carpeta System Volume Information recuperada?

    tengo windows 7 home premiun 64 bit

    gracias.

    martes, 24 de marzo de 2015 10:06

Respuestas

  • Hola, Javi:

    Este es un foro oficial de Microsoft, en el que se pueden recsolver dudas y preguntas referentes a productos y servicios Microsoft, y veo que tu consulta está orientada al uso de la herramienta. La herramienta "Recuva" y sus prestaciones han sido desarrolladas por la compañia Piriform Software, y es en sus foros oficiales donde deberías presentar dudas y preguntas acerca del funcionamiento de sus herramientas.

    Personalmente, no conozco cómo funciona Recuva, y no puedo responderte dudas acerca de los efectos que puede tener manipular archivos con dicha herramienta. Quizá algún compañero pueda decirte algo más en base a su experiencia personal, pero mi recomendación es que traspases la consulta al FAQ de Recuva. Más info:

    · Recuva - FAQ: https://www.piriform.com/recuva/faq

    Desiderio Ondo || Engineer

    • Marcado como respuesta Moderador M viernes, 27 de marzo de 2015 17:20
    martes, 24 de marzo de 2015 12:42

Todas las respuestas

  • Hola, Javi:

    El troyano CTB-locker actual es una versión recodificada mucho más peligrosa que la edición que se hizo tristemente famosa por causar estragos en numerosos PC's particulares (y corporativos) hace algunos años. Al ser un virus de memoria, no es posible eliminarlo tras un arranque normal del sistema, por lo que el método para desinfectar el sistema viene a ser un tanto.. pesado, pero efectivo: ejecutar desde el "modo seguro" un aplicativo que podrás descargarte desde una de las URL que permitan eliminar el infesto troyano. Detalles paso-a-paso cortesía del compañero Jerry Seeger:

    · Eliminar CTB Locker:
    http://www.2-removevirus.com/es/eliminar-ctb-locker/


    Desiderio Ondo || Engineer

    • Propuesto como respuesta Moderador M viernes, 27 de marzo de 2015 17:18
    martes, 24 de marzo de 2015 11:40
  • Muchas gracias Desiderio, ya tengo desinfectado el ordenador, lo que quiero es recuperar datos, y mas concretamente de volume shadow copy recuperado, ¿Hay alguna forma?
    martes, 24 de marzo de 2015 11:48
  • Hola, Javi:

    Las indicaciones facilitadas en el enlace anterior te indican paso-a-paso cómo desinfectar el sistema.. y la mejor prueba de ello es que puedas acceder a los archivos limpiamente. Por lógica, si los archivos siguen siendo inaccesibles, es obvio que el sistema no está desinfectado todavía.

    Por favor, sigue las indicaciones señaladas previamente con calma. En menos de 5min es prácticamente imposible que hayas seguido los pasos indicados por Jerry.. máxime aún si él señala que el tiempo mínimo esperado para hacer todos los pasos son casi 2h..

    Desiderio Ondo || Engineer

    martes, 24 de marzo de 2015 11:56
  • la desinfeccion ya la realice hace dias, este tipo de cifrado no se puede recuperar los archivos cifrados, se que esta desinfectado porque ya no me cifra los archivos que hago nuevos, lo unico que quiero es recuperar datos de la carpeta volumen shadow copy recuperada con recuva.

    Muchas gracias por tu ayuda.

    martes, 24 de marzo de 2015 12:15
  • Hola, Javi:

    Este es un foro oficial de Microsoft, en el que se pueden recsolver dudas y preguntas referentes a productos y servicios Microsoft, y veo que tu consulta está orientada al uso de la herramienta. La herramienta "Recuva" y sus prestaciones han sido desarrolladas por la compañia Piriform Software, y es en sus foros oficiales donde deberías presentar dudas y preguntas acerca del funcionamiento de sus herramientas.

    Personalmente, no conozco cómo funciona Recuva, y no puedo responderte dudas acerca de los efectos que puede tener manipular archivos con dicha herramienta. Quizá algún compañero pueda decirte algo más en base a su experiencia personal, pero mi recomendación es que traspases la consulta al FAQ de Recuva. Más info:

    · Recuva - FAQ: https://www.piriform.com/recuva/faq

    Desiderio Ondo || Engineer

    • Marcado como respuesta Moderador M viernes, 27 de marzo de 2015 17:20
    martes, 24 de marzo de 2015 12:42
  • gracias por tu ayuda, un saludo
    martes, 24 de marzo de 2015 12:54
  • Estimado,

    Tiene configurado los Shadow Copy, ya que el virus lo que hace es esa eliminación; adema de la encriptacion?

    Si tiene el previous Version, te dejo estos link:

    Virus Encriptador de Archivos

    Y este link por Microsoft:

    Recovery Archivos por Previous Version

    Saludos,


    Edwin Duran Ospina _____________________________________________ Si la respuesta ha sido la solución, favor marcarla.

    • Propuesto como respuesta jhnjohn359 martes, 14 de abril de 2015 8:14
    martes, 24 de marzo de 2015 13:25
  • hola Edwin, gracias por contestar, mi version de sistema operativo es windows 7 64bit, el virus cuando encripto los archivos hizo una copia de ellos y los renombro con una extension aleatoria del tipo .edhfrty

    despues de eso borro los archivos originales que previamente habia encriptado y borro todos los puntos de restauracion, lo unico que he podido recuperar valido con software de recuperacion de archivos borrados ha sido la parpeta donde se guardan las shadow copy de windows, con un cd de linux arrancable copie los archivos que contenia esa carpeta dentro de la carpeta system volume information original, despues arranque windows y desde restaurar sisteme mire si aparecian esos puntos de restauracion, pero no me aparecian puntos de restauracion anteriores al dia de la limpieza del ordenador, asi que me preguntaba si habia una forma de sacar la informacion de esos archivos sin utilizar el restore de windows que no me los renococe, ni desde previus version ni desde la linea de comandos con vssadmin.

    gracias a todos.

    martes, 24 de marzo de 2015 15:55
  • Se utiliza para eliminar la amenaza de que el sistema es más fácil
    • Editado jhnjohn359 martes, 14 de abril de 2015 8:13
    martes, 14 de abril de 2015 8:12