Sortint una mica de les línies generals de geeks.cat, m’agradaria informar als usuaris de Windows d’un nou virus que ha sortit fa relativament poc que pot causar la pèrdua de la informació de tot el disc dur. No pel pròpi malware sinó perquè l’usuari en veure que les eines “convencionals” no funcionen, decideix formatejar. En el cas que es formategi realitzant una còpia de seguretat, és possible que no es desinfecti correctament bé ocasionant de nou els mateixos problemes. Faré una breu i senzilla explicació de com eliminar-lo.
Primer pas: identificació
Convé saber quina variant tenim del ransomware. Les primeres versions s’eliminaven amb una facilitat relativa però aquestes 3 últimes mutacions a part de neutralitzar l’inici de windows (netlogon) i de reescriure les claus del registre de l’administrador de tasques i del procés d’explorador de windows, encripten informació aleatoria del disc dur que si no es desinfecta correctament bé, pot ocasionar la seva pèrdua.
Sabrem que tenim la infecció “greu” si quan arranquem l’ordinador no ens deixa arrancar en Mode Segur (prement repetidament la tecla F8 just en el moment d’arrancar el Pc). Algunes imatges del ransomware que podem trobar:
Si podeu accedir al vostre Windows (XP/Vista o 7) en Mode Segur, aleshores només cal que executeu des de l’arrel del disc dur (la C:\ per entendren’s) aquesta aplicació o aquesta altra aplicació. En el cas que desinfecteu però tingueu els fitxers encriptats, aneu al tercer pas d’aquest mateix post.
Si no podem accedir-hi, anem al següent pas on explico el procés correcte (testejat en més de 5 màquines infectades) per a la desinfecció.
Segon pas: eines i procés de desinfecció
Paciencia. Molta paciencia ja que trigarem unes horetes en fer-ho tot. Comencem: mitjançant un segon ordinador (ja sigui pc o portàtil) ens haurem de descarregar una ISO d’un disc de recuperació ideat per Kaspersky anomenat Kaspersky Rescue Disk 10 amb el qual arrancarem el nostre Pc.
Un cop arrancat el Pc amb aquest CD (espereu que es carregui tot) i connectat a la xarxa, accedirem al Menú Principal.
Triem la opció Graphic Mode i esperem que carregui
Aleshores ens demanarà que acceptem la llicència d’ús i ens començarà a carregar els discs durs del nostre Pc i esperem
NOTA: Si s’ha apagat malament el Pc, es possible que ens surti un avís dient que el disc dur conté errors i si estem segurs de voler-ho muntar. Li diem que si i seguirà amb el procés.
Un cop acabi, ens carregarà automàticament l’aplicació de desinfecció. El primer pas que haurem de fer és actualitzar-la
I un cop l’hem actualitzat haurem de canviar un parell de paràmetres en el menú de configuració: haurem de triar en la primera opció del menú “Seleccionar acció” i assegurar-nos que les opcions “Desinfectar” i “Eliminar si falla la desinfecció” estan seleccionades.
Un cop triat això, llancem l’anàlisi del Pc seleccionant les unitats que ens hagi trobat (la C:\, D:\, E:\….) i sobretot les opcions “arranc de disc” i “objectes d’inici ocults”. Fet això a esperar a que finalitzi (pot trigar de 30 minuts a 3 hores)
Un cop acabi, ens haurem d’esperar a que ens surti la següent pantalla i haurem de seleccionar l’opció “Aplicar a tots els objectes” que es troba al capdavall de la pantalla emergent de color vermell. El programa eliminarà o desinfectara tot el que hagi trobat de manera automatitzada.
Tercer pas: reiniciar i veure si tenim fitxers encriptats
Un cop fet tot el procés, reiniciem el pc, extraiem el CD i Windows arrancarà amb normalitat. Si no teniu una de les versions més agressives, podreu accedir als vostres fitxers sense problemes però en el cas que el malware us hagi encriptat tot el sistema (ho sabreu perquè apareixeran els fitxers de la següent manera locked-nomdelfitxer.ext.xxxx i no els podreu executar) haurem de passar-hi una segona eina, en aquest cas de Panda Security anomenada Panda Ransomware Decrypt.
Si tenim sort (almenys a mi no m’ha calgut mai fer el pas avançat) tan sols haurem de triar la carpeta encriptada (us recomano que trieu l’arrel del disc dur c:\) i prémer el botó START. Ell mateix ja porta unes claus per desxifrar l’algorisme d’encriptació del Ransomware.
Un cop finalitzi, us recomano fer una reestructuració del disc dur mitjançant la comanda chkdsk i els paràmetres /f i /r. Ho farem de la següent manera:
- Inici -> Executar
- Escriurem cmd
- A la pantalla negre que ens surt escriurem “chkdsk /f/r” i al següent missatge li direm Si prement la S
- Reiniciem i esprem
Fet això, teniu un 98% de possibilitats que hagueu desinfectat correctament el vostre disc dur
Quart pas: què he de fer per prevenir-ho?
Sempre dic que una mica de consciència amb el que s’executa o es decarrega d’Internet s’ha de tenir i, per poc que es pugui, hem de mantenir les versions dels nostres programes actualitzades. Aquest ransomware aprofita unes vulnerabilitats de JAVA (corregides en la última actualització) i és pràcticament indetectable pels antivirus actuals. Per tant, el primer que heu de fer un cop acabeu de desinfectar és actualitzar la vostra versió de JAVA des de la seva web www.java.com
Espero que aquest petit tutorial us serveixi i si salvo algú de formatejar i perdre la informació, em dono per satisfet ^_^
Un comentari