CryptoWall 3: ¿cómo prevenir y descifrar?

16

La computadora de mi padre ahora está infectada con CryptoWall 3, de acuerdo con el siguiente enlace.

enlace

¿Hay una manera de descifrar los archivos? Intentaré recuperarlos, pero de acuerdo con el enlace, la caja fuerte contra virus elimina las copias de los archivos infectados.

¿Cuál es la mejor manera de prevenir este tipo de virus para infectar nuestras computadoras? ¿Hay alguna manera de evitar la ejecución de archivos desconocidos? Estaba pensando en solo permitir permisos de ejecución en archivos conocidos.

    
pregunta Akira Yamamoto 04.02.2015 - 13:48
fuente

4 respuestas

14

Primero: no hay forma conocida de descifrar archivos atacados por CryptoWall. A menos que pagues para obtener la llave, se perderán para siempre. Si no tiene copias de seguridad sin conexión, sus archivos se perderán.

Una forma de evitar la ejecución de este tipo de virus es use la lista blanca en su Windows. Esto puede ser frustrante si su padre no sabe cómo incluir aplicaciones en la lista blanca, y exigirá mucho tiempo para hacerlo correctamente, pero negará la ejecución de cualquier aplicación desconocida.

    
respondido por el ThoriumBR 04.02.2015 - 20:47
fuente
11
  

¿Hay alguna forma de descifrar los archivos?

SensorsTechForum sugiere probar el RectorDecryptor.exe y RakhniDecryptor de Kaspersky .exe.

Sin embargo, no tendría muchas esperanzas.

Como CryptoWall es muy similar a CryptoDefense, puede descifrar utilizando el método aquí . Desafortunadamente, esto solo se aplica si estuvo infectado antes del 1 de abril de 2014.

Es posible que también pueda recuperar sus archivos de la instantánea de volumen de Windows.

  

¿Cuál es la mejor manera de prevenir este tipo de virus para infectar nuestras computadoras?

Instale AntiVirus y manténgalo actualizado. Microsoft Security Essentials es gratuito, aunque hay otros disponibles. Aunque esto no protegerá completamente el sistema, pero sería un buen paso básico a seguir.

No ha dicho cómo ocurrió esta infección, sin embargo, debe configurar la computadora para que instale las actualizaciones automáticamente. Recuerde a los usuarios que la computadora no debe ejecutar cosas que no esperan que se les envíen (incluso aquellas que parecen provenir de contactos de confianza), aunque esto puede ser más fácil decirlo que hacerlo.

La protección principal contra este tipo de ataques debe provenir de la copia de seguridad. Herramientas como Dropbox pueden sincronizar sus archivos importantes en la nube y, en caso de que ocurra lo peor, tendrá 30 días para revertir a buenas versiones de archivos conocidas (incluso la versión gratuita lo permite). Hasta ahora no hay ataques conocidos que intenten borrar el historial de versiones de los servicios de copia de seguridad basados en la nube.

  

¿Hay alguna forma de evitar la ejecución de archivos desconocidos? Estaba pensando en solo permitir permisos de ejecución en archivos conocidos

Aunque el propio Windows admite la noción de permisos de ejecución, esto está habilitado de forma predeterminada en los nuevos ejecutables. AppLocker de Microsoft se puede utilizar para habilitar la inclusión en la lista blanca de aplicaciones. Si esto hará que la computadora sea demasiado inutilizable para su usuario promedio es otra pregunta.

Otra cosa que podrías hacer es usar cuentas normales en lugar de cuentas de administrador para usar la computadora. El malware intenta ejecutar el siguiente comando :

vssadmin.exe Delete Shadows /All /Quiet

Sin embargo, si la cuenta de usuario con la que se ejecuta no tiene permisos administrativos, esto fallará y las instantáneas de volumen se podrán restaurar.

    
respondido por el SilverlightFox 05.02.2015 - 10:55
fuente
4

Es posible que haya encontrado una forma de recuperar tus archivos. Mi computadora portátil estaba infectada con Crypto 3.0 la semana pasada. Lo eliminé con SpyHunter, pero pensé que había perdido todos mis archivos después de leer todas las historias en la red. No tenía una copia de seguridad reciente. Y todos mis intentos de recuperar los archivos como se recomienda "restaurar la versión anterior" y ShadowExplorer falló hasta ahora. Busqué "Buscar programa y archivos" y busqué todos los archivos de Crypto "Help_decrypt". Le mostrará una lista de todos los archivos "Help_decrypt", que eliminé entonces. Debe ejecutarlo a fondo, de modo que realmente elimine todos los archivos de su computadora. Luego pude recuperar todos mis archivos (como puedo ver hasta ahora) con el ShadowExplore. Fácilmente. No estoy seguro de si esto fue una coincidencia o una solución, pero definitivamente me ayudó. Buena suerte.

    
respondido por el Hope 10.02.2015 - 17:10
fuente
2

Puedes esperar hasta que el sindicato termine su reinado de terror y libere la llave. Por ejemplo, todas las claves para TeslaDecrypt ahora están disponibles, por lo que TODAS las versiones se pueden descifrar ahora sin tener que pagar. Acabo de recuperar algunos archivos para un amigo que conservó sus archivos cifrados desde el momento en que fue atacado, y ahora puedo descifrarlos todos.

respondido por el David d C e Freitas 21.05.2016 - 15:37
fuente

Lea otras preguntas en las etiquetas