jump to navigation

NUEVO RAMSONWARE (virus de la Policía): el Trojan-Ransom.Win32.Rannoh 11 de mayo de 2012

Posted by elblogdeangelucho in Alertas / Noticias, Seguridad.
Tags: , , , ,
5 comments

Acaba de aterrizar una nueva amenaza de virus,  el Trojan-Ransom.Win32.Rannoh.

   En esta ocasión, el malware es un viejo conocido, parece ser que es un nuevo RANSOMWARE (el llamado virus de la policia).

   La nueva “malicia” que circula por internet, esta vez, cifra ficheros de nuestro ordenador codificando sus primeros 4096 bytes y añadiendo 4 digitos al final de la extension y la palabra “locked-” antes del nombre del fichero, también bloquea el sistema y pide realizar un pago para liberal el ordenador.

   A continuación os pongo mi pésima traducción del inglés (sorry) de la página  http://support.kaspersky.com/faq?chapter=176492791&print=true&qid=208286527 de Karpesky Lab en la que nos explica cómo neutralizar este complicado malware.

  La utilidad RannohDecryptor, permite descifrar los archivos  afectados e infectados por Trojan-Ransom.Win32.Rannoh , mediante una sencilla interfaz gráfica.

Los signos de infección

Modifica los nombres y extensiones de los archivos de la siguiente manera: “locked-<nombre_original> mas  4 caracteres aleatorios

Cómo desinfectar un sistema de

  • Descargar RannohDecryptor.exe ;
  • Ejecutar RannohDecryptor.exe en el ordenador infectado;
  • Normalmente es necesario reiniciar el ordenador una vez finalizada la desinfección.

Cómo utilizar la utilidad

  1. Ejecutar RannohDecryptor.exe.
  2. Haga clic en Start scan para comenzar el proceso.Para iniciar el descifrado, la utilidad le pedirá que indique la ruta de acceso de los  archivos cifrados.

  1. La utilidad busca y descifra los archivos cifrados.La utilidad puede descifrar archivos de uno en uno o por bloques.
  2. Para eliminar las copias de los archivos cifrados con nombre como “locked-<nombre_original>. <4 caracteres aleatorios>” después de un descifrado con éxito, utilice la opción Eliminar archivos encriptados después de descifrarlo.
  3. De forma predeterminada, el registro de la utilidad se guarda en el disco del sistema (en  el sistema operativo instalado).
    El Archivo se guarda en la raíz del equipo con el nombre UtilityName.Version_Date_Time_log.txt.
    Por ejemplo, C: \ RannohDecryptor.1.1.0.0_02.05.2012_15.31.43_log.txt

Las opciones en línea de comandos:

-L <log_file_name> – crear un archivo de registro con el nombre dado.
-Y – cerrar la utilidad después de descifrarlo.

    Os pongo un video en el que, al final, nos explica como utilizar el programa para desencriptar los archivos dañados por el virus.

   Recordar que vosotros mismos sois vuesto mejor antivirus, emplead la lógica y no descargeis archivos sospechosos.

Fuentes: http://www.satinfo.es , http://support.kaspersky.com y Youtube