Underc0de

Aquí están las capturas de pantalla, el formato que encripta, es un rar... pero poco se, no hay mucha información en google.
------------> capturas de pantalla:

(http://i.imgur.com/DV3maHa.jpg)

(http://i.imgur.com/M91V9Yp.jpg)

(http://i.imgur.com/QjsKA7k.jpg)

creo que es similar a ACCDFISA v2.0 pero no aparece el mensaje que sale avisando....

asi aparecen los archivos:
nombredelarchivo.pdf (!! to decrypt email id 1193390317 to [email protected]

habrá posibilidad de desencriptarlos? puse un desencriptador de rar pero me dice que tardara 127 años.....

estos son los análisis
https://www.hybrid-analysis.com/sample/c410308eae5b64205be451f9abc398e45d64498178b57b2c439e1e97b26b8176?environmentId=100


Espero respuesta, desde ya muchas gracias.. :'(

que cutre xD

Luego hago una POC de como descifrarlo, que creo que se como se hace

dejo a continuación, un archivo original, sano y el mismo infectado
y el análisis de virus total, del malwarebytes

informes
https://virustotal.com/es/file/da2ff7c5488114047e8f588612a53b2f6e86b2da3e06d28f2c1a19b7a68d8426/analysis/1498083050/

archivos
https://www.transfernow.net/32eyn1v9tz9f?lng=es

Si no recuerdo mal, hay algunos programas que te abren rar y zip aunque tengan contraseña, ¿has probado eso? quizá te funcione
saludos

Amigo, saludos.

Descargaste el directorio desde Internet?

La infección ocurrió al momento de extraer el archivo? y que tanto se logro expander el Ransomwaree (Hasta que parte del sistema logró Encriptar?

Amigo, perdón. Quisiera saber si ¿detectáste como fuiste infectado?

Si conoces el origen de la carga del Rasonware, y si pudiste enmendar el problema.


Gracias, Saludos...
;)

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Si no recuerdo mal, hay algunos programas que te abren rar y zip aunque tengan contraseña, ¿has probado eso? quizá te funcione
saludos

SI, probe,
passware Kit Forensic,  me dice que en 130 años lo saca...
Rar Password Unlocker, solo acepta rar, no exe.
Advanced RAR Repair 1.2

ninguno me dio solución  :(

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Amigo, perdón. Quisiera saber si ¿detectáste como fuiste infectado?

Si conoces el origen de la carga del Rasonware, y si pudiste enmendar el problema.


Gracias, Saludos...
;)

El problema surgió en una oficina, no tengo conocimientos de como se infecto....  respondiendo a tu otra pregunta, infecto todos los dbf, xls, pdf, doc. etc.   solo archivos que usan las aplicaciones.

interesante.....más aún porque utiliza winrar que es algo común se ahorra el encriptado de archivos colocando una contraseña jejeje...pero me llama la atención el que comprime todo haciendo un sfx. la pregunta sería:

porque un sfx y no .rar solamente ?

que pasa con los archivos originales, son eliminados, ocultos, en otro directorio?

si mal no recuerdo en el registro de Windows winrar guarda las rutas de los últimos archivos comprimidos (lo note cuando quería aprender a crackear una pass de .rar usando olly xD).

no se habría que ver la máquina infectada para ver los orígenes porque con ese sfx sólo se trataría de acertar la pass o tardar años en descifrarla....no tiene comentarios de ejecución ese sfx??

Windows almacena de forma temporal archivos que han sido eliminados o alterados, de esta forma podríamos recuperar perfectamente un archivo encriptado por Ransomware.

Para poder realizar este proceso de recuperación de archivos temporales necesitas tener la opción de restauración de sistema activo previamente, y con la ayuda de un software llamado Shadow Explorer puedes recuperar archivos y/o directorios fácilmente.

http://www.shadowexplorer.com/downloads.html

Nota: Lo he utilizado en una ocasión y pude recuperar toda la partición C , suerte!

Saludos

hola Prueba con esto

Opción 1 - quitar manualmente el virus [email protected]

Paso 1. Desinstalar Virus [email protected] programas relacionados y otro software no deseado que ha instalado recientemente.

1. Pulse " de Windows clave" y " R tecla" al mismo tiempo para abrir " Ejecutar ventana", a continuación, escriba "panel de control" en la ventana Ejecutar y haga clic en OK.
(https://i1.wp.com/helpcleaningvirus.com/wp-content/uploads/2017/06/hcv1.jpg?w=495)

2. A continuación, seleccione la categoría de vista, y haga clic en Desinstalar un programa en virtud de los programas.
(https://i2.wp.com/helpcleaningvirus.com/wp-content/uploads/2017/06/hcv2.jpg?w=659)

3. Haga clic en Instalado en para mostrar los últimos programas, desplazarse por la lista para encontrar y desinstalar [email protected] virus y otros programas no deseados instalados recientemente.

(https://i0.wp.com/helpcleaningvirus.com/wp-content/uploads/2017/06/hcv3.jpg?w=659)

Paso 2 Deshacerse de valores del registro maliciosos y las claves asociadas con el virus [email protected].

1. Pulse " de Windows clave" y " R tecla" al mismo tiempo para abrir " Ejecutar " ventana, a continuación, escriba " regedit " en la ventana y haga clic en OK

(https://i2.wp.com/helpcleaningvirus.com/wp-content/uploads/2017/06/hcv4.jpg?w=630)

2. Situar manualmente todos los registros maliciosos creados por el virus [email protected]:

¡¡Atención por favor!! Cualquier pequeño error cometido en el Registro va a arruinar su computadora !!

Para evitar daños a su sistema, nuestro laboratorio de recomendaciones:

>> Descargar SpyHunter herramienta Anti-malware - Uno de los mejor herramienta de eliminación de malware <<

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ [email protected] Virus \ 7TT0-F49X-LPA01-3150QB
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ [email protected] Virus \ 9WG9-L33B-ZSH05-1418OI
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ Shell \ [email protected] Virus \ 0PH1-S39W-JGS29-6268LL
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run "[al azar] .exe"
HKEY_CURRENT_USER \ Software \ AppDataLow \ Software \ brbrcodes @ gmail. Virus com
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Uninstall \ [email protected] Virus
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ BrowserHelperObjects \ [números al azar]


(https://i1.wp.com/helpcleaningvirus.com/wp-content/uploads/2017/06/hcv5.jpg?w=592)

Paso 3. Retire Microsoft Edge / Internet Explorer add-on, extensión de Chrome y relacionados con el virus [email protected] Firefox.

Google Chrome Usuario
(https://i1.wp.com/helpcleaningvirus.com/wp-content/uploads/2017/06/hcv6.jpg?w=660)
(https://i1.wp.com/helpcleaningvirus.com/wp-content/uploads/2017/06/hcv7.jpg?w=660)

Haga clic en el menú de Chrome en la barra de herramientas del navegador.
Haga clic en Herramientas.
Seleccione Extensiones .
Haga clic en el icono de papelera para eliminar la extensión del virus [email protected].
Asegúrese de eliminar todas las extensiones que no conoces o necesita.
Un diálogo de confirmación, haga clic en Eliminar .

usuario Firefox
(https://i0.wp.com/helpcleaningvirus.com/wp-content/uploads/2017/06/hcv8.jpg?w=660)
(https://i0.wp.com/helpcleaningvirus.com/wp-content/uploads/2017/06/hcv9.jpg?w=660)

Haga clic en el botón de menú  y selecciona Add-ons . La ficha Administrador de complementos se abrirá.
En la pestaña Administrador de complementos, seleccione el Extensiones panel.
Asegúrese de eliminar todas las extensiones que no conoces o necesita.
Haga clic en Deshabilitar o Retire el botón de virus [email protected].
Haga clic en Reiniciar ahora si aparece.

Internet Explorer usuario
(https://i0.wp.com/helpcleaningvirus.com/wp-content/uploads/2017/06/hcv10.jpg?w=660)
(https://i1.wp.com/helpcleaningvirus.com/wp-content/uploads/2017/06/hcv11.jpg?w=659)

Abrir el IE, haga clic en el botón Herramientas  y, a continuación, haga clic en Administrar complementos .
Haga clic en Barras de herramientas y extensiones en el lado izquierdo de la ventana., Y luego seleccione Virus [email protected]
Asegúrese de eliminar todo de BHO no sabe o necesidad.
Si el complemento se puede eliminar, verá la opción Quitar. Haga clic en Eliminar y, a continuación, en Cerrar. De lo contrario, haga clic en Desactivar botón.

Tomado de:
http://helpcleaningvirus.com/remove-brbrcodesgmail-com-virus-effectively/


Gracias por la respuesta, lo pude eliminar, y poner en cuarentena.. ahora me keda el tema de descomprimir los archivos rar, que me pide contraseña..
        igualmente agradecido por la respuesta
                        salu2

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Windows almacena de forma temporal archivos que han sido eliminados o alterados, de esta forma podríamos recuperar perfectamente un archivo encriptado por Ransomware.

Para poder realizar este proceso de recuperación de archivos temporales necesitas tener la opción de restauración de sistema activo previamente, y con la ayuda de un software llamado Shadow Explorer puedes recuperar archivos y/o directorios fácilmente.

http://www.shadowexplorer.com/downloads.html

Nota: Lo he utilizado en una ocasión y pude recuperar toda la partición C , suerte!

Saludos

No esta activa la restauracion :( , pero probare el hidem o similar.. el recova no funciono..
gracias por la respuesta

olvídate de sacar la clave del rar

saludos Flamer y párese que me copiaron yo hice uno que comprimía todo en un rar