Desencriptar archivos .globe - Ramsonware

cesarkpt

cesarkpt

Lanero Reconocido
27 Abr 2013
688
Buen día Laneros, mi pc se infectó con un ransomware que me encriptó todos mis jpg, cdr, psd, ai, etc en formato encriptado ".globe"

upload_2017-2-13_14-53-14.png


Logré erradicar el virus que genera un archivo "How to restore files.hta" en cada carpeta, el problema está en restaurar mis archivos. Ya probé con puntos de restauración anteriores, con Recuva para archivos eliminados y varias herramientas de ESET y Kapesky pero nada funciona.

Agradezco en lo que me puedan ayudar.
 
Hola Cesar

Me alegra que se haya podido solucionar algo con sus archivos, con el ransomware me parece que las cosas son de bastante cuidado.
Respecto a la infección, nos podría contar como le pasó? Algún adjunto o algo por el estilo?
 
Hola Darkusanagi, fue algo hasta raro:

Normalmente reviso archivos de imágenes para evaluar si son aptas para impresión digital, para esto los clientes me envian sus creaciones en los programas de diseño o en mapas de bits, sucedió que recibí un .psd y un .eps de aproximadamente 350Mb cada uno, los descargué y en ningún momento el antivirus me notificó la presencia de virus, como siempre: le dí doble click al .psd y no pasó nada, creí que fue error mío y lo hice de nuevo: nada. Hice lo mismo con el .eps y el mismo resultado: nada. Abrí la carpeta de descargas y no encontré los 2 archivos descargados sino 2 con nombre extraño, tal como se ven en la primer imagen que subí. Ahí empezó el martirio porque cuando quise reaccionar fue tarde y todos los archivos del PC fueron encriptados, excepto los TIFF y algunos recién creados en el 2017. EDITO: El Pc siguió trabajando normalmente, lo siguiente fue que en cada carpeta apareció un ejecutable llamado "How to decrypt your data" o algo así.

Fíjate que fue por abrir un .psd, tal vez era un ejecutable oculto bajo el icono de PS, tal vez fue infectado en la red, o quizá el cliente estaba infectado antes de enviarlo. Nunca lo sabré.

Lo que he optado ahora para prevenir estos ataques es por activar la opción de ver la extensión de todos los archivos conocidos en el explorador de windows antes de ejecutarlos. Espero que mi experiencia sea de utilidad para todos.
 
Última edición:
  • Me gusta
Reacciones: darkusanagi, Oesoto y CarlosImb
cesarkpt dijo:
Hola Milo, Este último sí funcionó. Se llama "decrypt_Globe3.exe" ya estoy recuperando varias carpetas.

Quedo muy agradecido con tu colaboración! Gracias Lanero!
Haz clic para expandir...

Me alegra mucho que le haya servido, el tema es de cuidado y la verdad le tengo pavor a un ataque de ese tipo.

Saludos y un abrazo.
 
  • Me gusta
Reacciones: darkusanagi
cesarkpt dijo:
Hola Darkusanagi, fue algo hasta raro:

Normalmente reviso archivos de imágenes para evaluar si son aptas para impresión digital, para esto los clientes me envian sus creaciones en los programas de diseño o en mapas de bits, sucedió que recibí un .psd y un .eps de aproximadamente 350Mb cada uno, los descargué y en ningún momento el antivirus me notificó la presencia de virus, como siempre: le dí doble click al .psd y no pasó nada, creí que fue error mío y lo hice de nuevo: nada. Hice lo mismo con el .eps y el mismo resultado: nada. Abrí la carpeta de descargas y no encontré los 2 archivos descargados sino 2 con nombre extraño, tal como se ven en la primer imagen que subí. Ahí empezó el martirio porque cuando quise reaccionar fue tarde y todos los archivos del PC fueron encriptados, excepto los TIFF y algunos recién creados en el 2017. EDITO: El Pc siguió trabajando normalmente, lo siguiente fue que en cada carpeta apareció un ejecutable llamado "How to decrypt your data" o algo así.

Fíjate que fue por abrir un .psd, tal vez era un ejecutable oculto bajo el icono de PS, tal vez fue infectado en la red, o quizá el cliente estaba infectado antes de enviarlo. Nunca lo sabré.

Lo que he optado ahora para prevenir estos ataques es por activar la opción de ver la extensión de todos los archivos conocidos en el explorador de windows antes de ejecutarlos. Espero que mi experiencia sea de utilidad para todos.
Haz clic para expandir...

El problema con el Ransomware es que el código realmente no es el de un virus, son simples funciones comunes que cualquiera podría correr en una terminal con privilegios limitados, allí está la dificultad del software antivirus para detectarlo.

Por eso la moda actual de las casas antivirus de tener analisis de archivos en la nube, en tiempo real. De esta manera pueden detectar el reporte de algún archivo anómalo que está replicándose en algún lugar del mundo y activar la prevención a través de su antivirus. Le pongo el ejemplo de Kaspersky, tan sólo para malware que está llegando como MUESTRAS tienen más de 200 analistas de software revisando código todos los días.

Ya hay antivirus que están monitoreando rutinas de encriptación buscando prevenir al usuario de un programa potencialmente peligroso, pero la decisión final queda en manos del usuario que en su caso ante el archivo proveniente de un cliente dificilmente bloquearía como virus.

Finalmente, lo que lo va a salvar a uno es tener un backup de la información por ejemplo en la nube. Servicios como el de Mega permiten tener una "papelera de reciclaje" que en el evento de que el software resulte sincronizando también los indeseados archivos encriptados, va a salvaguardar los reales en esta papelera desde donde se pueden recuperar sin pagar un sólo centavo.
 

Los últimos mensajes

Los últimos temas

Arriba Pie
Atrás