Etiqueta: Virus GEMA

Recuperar archivos «locked» encriptados por virus GEMA / Policia / SGAE

en por Donnie Rocken Informática, sistemas y redes77 comentarios

En fin, sigo con el virus GEMA que ya ha dado para dos entradas (Policía y SGAE). Hoy me las estoy viendo con una de las secuelas de dicho virus.

La «gracietta» te la está haciendo el troyano Ransom, que tiene el mal vicio de encriptar los archivos y renombrarlos como «locked-nombre del archivo.extesión aleatoria».

Lo primero, lo básico, es tener una copia sin encriptar de alguno de los archivos bloqueados, ya que ambas herramientas que he utilizado requieren de una. La idea es que los programas que usaremos para recuperar utilizarán el par de archivos para extraer la clave de encriptación, comparando el «sano» con el encriptado.

Primero recurriremos a San Kaspersky y su Ranoh Decryptor que podéis bajar desde ese enlace. Lo ejecutáis con permisos de administrador, entráis en Change Parameters, y ahí elegís qué discos queréis inspeccionar y si queréis que se borren las copias encriptadas de los archivos que se van recuperando. Al pulsar Start Scan os pedirá primero la ruta del archivo «sano», el que no ha sido bloqueado y encriptado, y luego os pedirá la del mismo archivo pero bloqueado. Tras elegir los dos, irá buscando y recuperando los archivos encriptados.

En la prueba que hice logró recuperar 19 archivos. No es moco de pavo, pero era un porcentaje muy bajo. Lo siguiente fue descargar Avira-Ramson File Unlocker y descomprimirlo. En este caso la interfaz es más clara: arriba el archivo encriptado, abajo la copia «limpia». Seleccionáis ambos y luego tenéis dos opciones. El botón Unlock folder, que deja elegir una carpeta, y el botón Unlock Single File que nos deja ir uno por uno. En la prueba encontró 3 al usar la selección de toda la carpeta (decepcionante), pero si vas uno por uno los va a arreglando. Parece que falla al reconocer el nombre de los archivos bloqueados. El problema de ir uno por uno, además de que es un coñazo, es que no te permite borrar automáticamente los archivos reparados, y además, la copia recuperada la guarda con el nombre de archivo segido de la extensión .decrypted, por lo que tienes que ir cambiando el nombre a mano a los archivos para que funcionen. Un coñazo, pero si sólo quieres recuperar lo importante y cargarte la paja, es una solución.

En fin, que ya van tres entrada sobre el tema, espero que no de para más.

Eliminar virus SGAE

en por Donnie Rocken Informática, sistemas y redes3 comentarios

No hace muchos días que publicaba cómo eliminar el virus GEMA. Ahora, leo en varias páginas, y hasta escucho en los informativos, hablar de un nuevo virus, esencialmente el mismo pero con un mensaje de la SGAE.

Por lo que parece, esta variante «SGAE» de momento no bloquea el arranque en modo seguro. De forma que puedes probar una restauración del sistema desde la línea de comandos. Durante el arranque pulsas F8, seleccionas la opción Modo seguro con símbolo de sistema y usas el comando C:/Windows/system32\restore\rstrui.exe (bueno, si la unidad de disco es C:, si la carpeta Windows la tenéis en otro disco duro poned la ruta de ese). Con esto deberíais lograr restaurar el equipo en un punto anterior a la infección.

Pero no siempre es tan fácil. Es posible que no puedas hacer la restauración, por lo que en ese caso debes entrar en Modo seguro con funciones de red, en lugar de hacerlo por el símbolo del sistema, y descargar Malwarebytes Antimalware. Tras la descarga e instalación ve a la pestaña Actualizar y allí busca el botón Buscar actualizaciones para que la base de datos del programa esté acualizada. Luego vete a la pestaña Escaner y selecciona Realizar un análisis completo, cuando acabe pulsa Mostrar resultados y en el caso de que se haya encontrado alguna infección pulsa Quitar lo seleccionado.

Si también falla esto o si no os deja entrar ni por símbolo de sistema ni en modo seguro con funciones de red… entonces me remito de nuevo a mi anterior artículo sobre el virus GEMA donde os contaba cómo hacer un disco o usb arrancable para liquidar el virus.

Así que ni gendarmerie, ni policía, ni SGAE… siempre podéis tirar para alante.

Eliminar virus GEMA / virus policía / virus gendarmerie

en por Donnie Rocken Informática, sistemas y redes11 comentarios

Ayer me mensajearon durante el concierto de Michael Schenker preguntándome por el virus GEMA. Por el nombre no caía, pero luego ya vi que es el virus de «Somos la policía, paga 50 euros o no te desbloqueamos». Bueno, es ya la cuarta vez que me preguntar en un mes. Lo primero, si te llega un e-mail de la policía avisándote de una multa ¿Por qué te lo crees? Si la policía quisiera contactar contigo lo harían mediante una carta certificada, algo que les permita garantizar el saber que lo has recibido, no un e-mail. La prevención es la mejor defensa, dado que la ingeniería social suele ser el mejor ataque.

Si ya estáis infectados tampoco os preocupéis, todo es salvable. La primera versión del virus se podía liquidar entrando en modo seguro con funciones de red y pasando un antivirus en la nube, pero la última mutación era más cabrona, no te permitía el arranque en modo seguro. En ese caso lo primero que tienes que hacer es entrar en la BIOS de tu equipo y configurar el orden de arranque para que inicie por USB o por CD-ROM. Para los usuarios con menos experiencia es complicado explicar cómo hacerlo, porque cada fabricante de placas base o equipos va a su bola con la BIOS, tienen menús diferentes y se entra de forma diferente. En el caso de mi equipo, un Packard Bell, se entra pulsando F2, pero recuerdo haber reparado algún ACER que pedía pulsar ESC y en un sobremesa viejo (AMD k6 con placa ASUS) se entraba pulsando tabulador. Sobre cómo cambiar el arranque también depende de la bios que tengáis (la bios es un programa, a fin de cuentas, y no es un estandar, por lo que los menús pueden estar organizados de distintas formas). Si no sabes cómo acceder a la bios lo mejor es que le preguntes a algún amigo que tenga algo más de pericia para que te lo haga.

Una vez configurado el arranque por USB o por CD-ROM (algunos equipos antiguos no permiten arranque por USB) necesitas un cd de recuperación para eliminar el virus. En este enlace al siempre util Foro Spyware os explican cómo crear un USB arrancable o un cd-rom, con el software de Kaspersky para recuperar el equipo. Seguís esos pasos y deberíais tener todo solucionado.

Sobre la bios, repito lo mismo, cada una es un mundo. Si no sabéis, preguntad porque es una zona muy sensible del equipo. Este método ha sido probado en dos equipos y ha funcionado, por lo que en principio debería funcionaros, sacando que haya aparecido otra versión más del virus (que ya sería rizar el rizo).