Spam: te petya el ordenador y o pagas o lo pierdes.

#1 festyabal del humor.

#2 #1 Dejad de fumar petyas!

Hombre, por el tipo de cifrado y lo que cifra, casi lo prefiero a otros.
Se supone que se cepilla el MBR y la MTF.
Perfecto.
Pero un repaso al disco con herramientas forenses permite localizar los archivos, con un problema de partida. No sabes ni como se llama el archivo ni donde estaba.
Pero si sabrás si es de determinado tipo.
Creo que es una putada de virus y hoy he tenido un cliente nuevo con uno de estos y sin backup, ni reciente ni añejo.
Pero de cifrar el contenido del archivo a que solo lo haga del MTF y el MBR, prefiero este.
Los datos están, sin cifrar, pero están. Solo hay que encontrarlos.

Las malas noticias es el coste de la recuperación vs coste del rescate.
Está calibrado para que salga a su favor.

Qué virus más cabroncete

He encontrado uno que lo soluciona por paypal en lugar de bitcoins

wtf.microsiervos.com/matrix/mamadou-ngolo-mago-voodoo-solucion-todos-t

#4 "Se supone que se cepilla el MBR y la MTF."

Si es Windows, desde Linux tienes un comando llamado "fixmbr".

Sobre el MFT, quizá con testdisk se puede recuperar.

Y si no pago me lo va enviando a cachos en sobres?

Pues parece mas inofensivo que Cryptowall 4.0 www.tripwire.com/state-of-security/security-awareness/under-the-hood-o que sobrescribe el contenido del fichero cifrado sobre si mismo.

#7 Fixmbr también lo puedes ejecutar desde el modo consola de Windows. Pero si te tira abajo el MTF olvídate de los datos. Es como tener un libro de mil paginas sin numerar tiradas en el suelo y sin ordenar.
Como dice #4 técnicamente lo puedes recuperar pero te sale más caro que pagando.

Putos Rostov, siempre liandola.

Lo que es absurdo es que Windows no haga backups de los MFT del sistema al igual que en los puntos de restauración se incluyen ficheros de sistema, registro, etc.

Esto facilitaría mucho las cosas para recuperar un equipo afectado aunque no es la solución perfecta, ya que a no ser que se hagan copias del MFT en tiempo real siempre vas a perder archivos al restaurarlo.

#10 Sé lo que es el MFT, pero a veces se puede recuperar con ntfsfix si queda algún resto mínimo.

Si no, adiós y a usar testdisk para recuperar lo que sea.

Eso no es un virus. No se oculta, no se cuela, no se auto-propaga,... en fin, es simplemente aprovecharse del analfabetismo funcional de gran parte de los internautas que son capaces de ejecutar un programa que no saben lo que hace.
La parte buena es lo que decía Wyoming: Se sufre, pero se aprende.

#13 Efectivamente, pero creo que si eso sale hay que bajar corriendo a comprar el cupon, que estas de suerte.


A la larga me parece menos peligroso que los otros randsonware, que es malo, pero dentro del nive de hijoputismo que hay por ahí, es más llevadero. Eso si, al hacer eso, actúa más inmediatamente que los otros, con lo que detenerlo al ver el primer síntoma se complica

¿Afecta a todos los discos montados y no montados? ¿Qué ocurre con los discos formateados con otros sistemas de ficheros que no sean NTFS?

#1 Petya Misdatovich, por seguir con el Festival del humor

#16 www.neowin.net/images/uploaded/2016/03/petya-ransomnote_story.jpg aquí dice discos duros.

EDIT: y tal como está propuesto da mucho igual lo que tengas, que el disco parece que se cifra entero.

#17 sigue siendo una revolución. Las ventajas del dinero en efectivo para transacciones digitales

Una de las posibles soluciones (a medias obviamente) si no se quiere pagar es sacar el disco duro, conectarlo externamente a otro ordenador con un software de recuperación de datos tipo Disk Drill en Mac. De este modo he recuperado varios archivos, fotos y datos de ordenadores infectados con cryptolocker.

#17: El autor del virus respira aire, así que prohibamos respirar aire.

Si no hubiera BTCs te mandarían ingresar el dinero en alguna cuenta corriente por ahí.

#21 Un arma puede servir para matar a un inocente o a un irreversible culpable

#23 Cada caso y ataque es distinto!

#23 Estao jodio el tema, si te rompe el mtf

¿Los que tenemos una partición exclusivamente para Windows podemos seguir haciendo la típica técnica desesperada de formatear la partición del S.O., reinstalar Windows y a correr; o esto se carga la información de todo el disco duro independientemente de que esté particionado?
¿Sólo afecta al HDD que tenga la carpeta de Windows o afecta a todos los discos del equipo (por. ej. un disco duro externo que sólo se use para guardar archivos personales)?

#22 Por supuesto, todos saben que el mayor negocio de las Caimán es el desembarco de contenedores de billetes.

Como usuario de linux no puedo mas que sentir pena por los que aun no habeis dado el paso a la tranquilidad absoluta...

Asumo que para comprobar que se ha realizado el pago, tendrá que conectarse a algún servidor (blockchain si es BTC o lo que sea dependiendo de la tecnología que use).

Me pregunto como hace eso si se ha cargado la MBR y el SO no arranca?

Pues por lo que piden mejor pillarse un disco duro nuevo por 40€.

#12 De nada serviria que Windows hiciera copias de seguridad de la MFT ya que esta cambia a cada segundo con cualquier operacion de archivos que haga el sistema, si se restaura una MFT antigua quedaria un sistema de archivos inconsistente y seria un completo desastre de todos modos, serviria de muy poco o nada.

#24 Exacto, y esa cuenta corriente tendra que estar a nombre de alguien.

#20 Las ventajas para los delincuentes también son revolucionarias

#24 El aire es imprescindible, lo otro no

#4 #10 #28

MoTherFuckers ¿qué es MTF? Al principio creí que era un error al escribir, pero ya van cinco veces.

#37 Más bien, el aire en el 99% de los casos se usa para cosas normales, lo otro en el 99% de los casos se usa para delinquir. Igual que con los cuchillos, con uno puedes matar pero normalmente lo usas en cocina. CC #24

#35: De un pringado que dijo si a una oferta de empleo que le prometía mucho dinero por mover dinero de una cuenta a las Islas Caimán.

#38: Y igual que los Bitcoins. ¿A caso crees que sólo se usan para delinquir? En tal caso no tendrían valor. En cambio si se pueden usar para hacer pagos o cobros en Internet sin pagar a 200 intermediarios.

#38 el indice donde se guarda cada fichero en un sistema de archivos NTFS.

Se jode el MFT : No encuentras nada. Cero. No hay nada asignado físicamente. Se puede recuperar con testdisk, claro, pero no puedes recuperar la partición.

En el vídeo se ve como tiene el icono de winrar, y aún así para instalarse hay que darle permiso para ejecutarlo.

Más de uno caerá pensando que es el aviso de licencia y otros por no leer nunca lo que sale en los avisos.

#31 pues este virus no lo se pero el cryptolocker a mi se me coló en una ubuntu server y casi me la lía parda.

Pregunta de novato: ¿si solo tengo privilegios de user? ¿También soy vulnerable?.

#43 como usuario domestico de linux, estoy a salvo. Para mi uso diario en el PC no voy a tener un server metido. Y aunque lo tuviese, yo soy inmune. Otra cosa es que sirva esos virus a maquinas windows, que efectivamente se la liaria. Un usuario de windows esta vendido con hacer un solo clic (y un servidor ya ni te cuento) estos ramsonwares van a dar muuucho que hablar. Son terroríficos. Mientras siga habiendo windows en las empresas, que son los que pagan rescate básicamente, mala solución le veo.

#31 Si no eres un paranoico como yo 6 años usando Linux y sigo sin usar el pc tranquilo. Siempre estoy pensando que sin antivirus tampoco me enteraré si algún día me entra algo. En Windows te entraban muchos pero te enterabas.

#41 claro, MFT no MTF

#40 con los bitcoins ocurre al reves, son mas los usos malos que los buenos.

#46 se agradece la información, moraleja de la historia, usar siempre el modo usuario para las pc's de la casa.

#49: En muchos estudios se demuestra que eso es falso, que BTC se usa como el dinero normal, no hay más ussos malos que buenos.

Este me recuerda al virus Casino (en.wikipedia.org/wiki/Casino_(computer_virus))

#48 Pero eso es ya... paranoia ¿no? ¿te ha entrado algún bicho en todos esos años? Con linux solo tienes que tener cuidado de lo que escribes en la consola. Ojo con la PPA que añadas de sitios raros o poco fiables... y ya está. lo mas peligroso que si que me da miedo algo de miedo a mi también es lo común a todos los sistemas: que alguien se meta en tu red y te haga un MITM, cosas ya muy chungas que a un particular no deberían de preocuparnos. Creo yo. Y si te preocupa pues ya te tienes que ir a una gama de aparatitos (firewalls, UTM...) profesionales pagar bastante pasta por el cacharro y por las licencias y ya mas tranquilo no puedes estar. O si te sobra mas tiempo que pasta, un buen router flaseado con OpenWRT (que es lo que uso yo) te permite controlar bastantes de las cosas que te ofrece una solución profesional de una forma mas enrevesada de configurar y mas modesta en medios, pero suficiente para una casa protegida. Lo siento por el tostón

#33 Hombre, son los datos los que valen las pelas y, de todas formas, el disco duro infectado (o afectado, que yo tampoco claro que esto sea un virus) lo puedes formatear y ya tienes disco duro limpio. ¿Se puede formatear, no? Se quitan particiones y ya está, o al afectar la MBR esa ya no se puede ni formatear?

#12 Lo que es más increíble a estas alturas de la película es no tener un calendario de backups de imágenes, preferiblemente en una copia remota conetactada sólo para tal fin.

Creo que va siendo hora de dejar de usar Windows de una vez.

#24 Ese comentario me ha hecho pensar en otra cosa, el autor del virus tiene que comer, me parece normal que cobre por su trabajo, algunos esperan que de "conciertos".

#37 Estoy de acuerdo contigo, pero ojo, que si empezamos a contar cosas prescindibles al final lo mismo no queda nada.

#32 Creo que lo que hacen estos ransomwares es que cuando haces el pago, te mandan una clave que permite descifrar tus datos.

#42 Todo el mundo sabe que para que los programas funciones hay que dar al botón de "si" o al de "siguiente, siguiente, terminar".

#58 Ya, ya, solo que el ejemplo del aire no era bueno

#45 In the Yupi worlds

#53 Claro, claro, son paranoias mías, si ni añado PPAs de sitios raros ni nada. Que yo sepa no me ha entrado nada raro en todo este tiempo, pero es eso, tampoco lo sé. Para Windows tienes mil programas para buscar virus, malwares, troyanos... pero para Linux no hay casi nada y lo que hay sólo detecta los virus para Windows o son falsos positivos como los de rkhunter o chkrootkit

#43 Mmmmmm....eso es muy raro askubuntu.com/questions/447191/cryptolocker-virus

#27 Si, pero siempre afectan datos en activo. No los "borrados" que son los que se pueden recuperar con Disk Drill por ejemplo

#64 no se exactamente que variedad fué pero me reventó todas las paginas que estaban en Apache. Menos mal que tenia backup.

#28 Reitero. Hablo de los datos "borrados" antes de la infección. Yo he recuperado muchísimas fotos así en varios ordenadores. No todo obviamente, pero si alguna vez le pasas un software de recuperación de datos a tu disco duro, verás la cantidad de datos recuperable. El ransomware no infecta los archivos que cuentan como "borrados" y es ahí donde se puede intentar recuperar. No hablo de los archivos que hayan sido encriptados obviamente.

#59 La clave la derivan del hash que debes pasarles al hacer el pago.

#8 solo si eres del PP

#23 en este caso va a ser que no sin MTF

#54 no se di von un formateo sequita, o incluso extraerlo conectarlo en otro ordenador para tratar de solucionarlo.

Lo de mi mensaje anterior es para aquellos que no tenga nada que perder en lo que datos se refiere.

#29, buena pregunta. Alguien sabe la respuesta?

#63 eso es que estas awindosado. Como no hay un programa recordandote cada 5 minutos que esta en ejecucion y protegiendote pues ya no te sientes seguro.

#68 Seguramente. Por lo que he leído de otros, usan cifrado asimétrico para asegurar que no haya forma de romper la clave.

#51 ¿actualmente? ¿qué estudios?

Será cierto pero me parece extraño.

#22 Bitcoin no es anónimo. Es pseudónimo.

#17 Te equivocas. Un bitcoin se puede rastrear, el problema reside en que el dueño del monedero de destino es anónimo. Por lo que ese dinero que recauda no lo puede utilizar para comprar bienes y servicios legales ni cambiarlo por dinero (en las casas de cambios te piden hasta copia del DNI o pasaporte). Para lo único que le valdría sería para pagar bienes y servicios también ilegales.

#77: Por ahí andarán, pero con los millones de transacciones que hay, no creo que muchos correspondan a casos como este.

#74 ¿cuando he hablado yo de ubuntu? Si no lo uso. De hecho yo uso Mint DE y debian 8.

Es difícil que el firmware OPEN wrt de las rwpos oficiales tenga un troyano. En cualquier caso si no te fias siempre puedes compilarlo tu. Yo lo he hecho y tardas 10 minutos.

Pero entonces ya de windows y sus troyanos, backdoors y opacidad absoluta ni hablamos ¿no?

#19 Erm, justamente el disco no se cifra entero... Se cifra el MBR y el MFT.

#82 nada hombre. El código no va a estar comprometido. Los piratas no suelen publicar el código de sus troyanos y backdoors en github... Cados comonel que dices dan el cambiazo a los binarios y para librarte del peligro es tan facil como comprobar el md5 de lo que descargues. Pero vamos que tener miedo de algo como lo de transmisión, es como no salir a la calle por si te atracan. Pero si. Puntualmente hay alguna. Incluso comprometieron todo linuxmint hace poco. Pero son backdoors que si tienes tan mala suerte de comertelo como mucho te va a durar un día.

#12 Existe lo que se denomina MFT Mirror (el cual es un backup del MFT) al igual que se hacen copias del superblock en una partición ext2/3/4 por toda la partición.

Claro está, si cifras el backup, estás en las mismas.