Archivos renombrados con extensión promorad2

Haz tu consulta sobre Panda Global Protection, Panda Internet Security y Panda Gold Protection en este foro. ¡Los expertos te ayudarán!
Responder
chfreddy
Usuario registrado
Usuario registrado
Mensajes: 1
Registrado: Lun, 08 Abr 2019, 23:59

Archivos renombrados con extensión promorad2

Mensaje por chfreddy »

Buenas noches, Estimados especialistas en virus informáticos, quiero comentarles que hace poco mi computador se ha visto infectado por un virus el cual renombró todos mis archivos con extensión promorad2. Tengan a bien analizar y enviar la posible o solución definitiva, ya que necesito esos archivos son de mi trabajo, cualquier comentario por favor remitirlo a chfreddy@hotmail.com
Adjuntos
archivos infectados.png
archivos infectados.png (86.57 KiB) Visto 3089 veces
Darth Panda
Moderador Oficial
Moderador Oficial
Mensajes: 1025
Registrado: Jue, 27 Sep 2012, 10:33

Re: Archivos renombrados con extensión promorad2

Mensaje por Darth Panda »

Hola chfreddy,

Por lo que hemos podido ver, los ficheros han sido cifrados por un ransonware.

Existen varias versiones de estos ransonwares, pero todas comparten algunas características, especialmente relacionadas con el cifrado.

Este ransomware utiliza el api de Windows para generar una clave de 256 bits. Concretamente utiliza el api CryptGenKey para generarla totalmente aleatoria e impredecible.

Una vez tiene la clave el virus recorre el disco duro en busca de ficheros para cifrar. Cifra las siguientes extensiones:
.jpg, .jpeg, .psd, .cdr, .dwg, .max, .mov, .m2v, .3gp, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .rar, .zip, .mdb, .mp3, .cer, .p12, .pfx, .kwm, .pwm, .txt, .pdf, .avi, .flv, .lnk, .bmp, .1cd, .md, .mdf, .dbf, .mdb, .odt, .vob, .ifo, .mpeg, .mpg, .doc, .docx, .xls, .xlsx

Para cada fichero el virus cifra una parte del comienzo del fichero. El tamaño exacto que cifrará depende de la versión pero cifra una buena parte del fichero, imposible de recuperar reconstruyendo cabeceras o técnicas por el estilo.

El Ransom cifra utilizando AES256, y utiliza la clave generada con CryptGenKey. Para cifrar utiliza el api CryptEncrypt.

Cada fichero cifrado es renombrado a una extensión que depende de la versión del mismo.

Tras cifrar todos los ficheros de la máquina el Ransom cifra la propia clave AES256 generada con una clave pública RSA1024 que lleva incorporada en su binario.

El resultado (AES256 cifrada con RSA1024) lo convierte a texto y éste es el valor que incorpora el ransomware al fichero “.txt” que genera poco después pidiendo el rescate.

Por esto motivo no es posible desencriptar los ficheros, dado que solo el creador del malware posee la clave de descifrado.

El malware ya no esta en la maquina, y los ficheros que quedan en la maquina, no son ficheros infectados, son ficheros encriptados.

La conclusión es que una vez realizado el cifrado, después de que la clave AES256 es cifrada con la clave pública RSA1024, la única forma de recuperar la clave utilizada para cifrar es disponer de la clave privada asociada a dicha clave pública.

Puesto que el Ransom escribe sobre el fichero original en principio tampoco es posible utilizar herramientas de recuperación de datos, y deberá recuparar sus ficheros de su copia de seguridad.

Saludos,
Dpto. Soporte Técnico

Panda Security
The Cloud Security Company
Responder

Volver a “Consumo - Incidencias”