NUEVO RAMSONWARE (virus de la Policía): el Trojan-Ransom.Win32.Rannoh

Acaba de aterrizar una nueva amenaza de virus,  el Trojan-Ransom.Win32.Rannoh.

   En esta ocasión, el malware es un viejo conocido, parece ser que es un nuevo RANSOMWARE (el llamado virus de la policia).

   La nueva «malicia» que circula por internet, esta vez, cifra ficheros de nuestro ordenador codificando sus primeros 4096 bytes y añadiendo 4 digitos al final de la extension y la palabra “locked-” antes del nombre del fichero, también bloquea el sistema y pide realizar un pago para liberal el ordenador.

   A continuación os pongo mi pésima traducción del inglés (sorry) de la página  http://support.kaspersky.com/faq?chapter=176492791&print=true&qid=208286527 de Karpesky Lab en la que nos explica cómo neutralizar este complicado malware.

  La utilidad RannohDecryptor, permite descifrar los archivos  afectados e infectados por Trojan-Ransom.Win32.Rannoh , mediante una sencilla interfaz gráfica.

Los signos de infección

Modifica los nombres y extensiones de los archivos de la siguiente manera: «locked-<nombre_original> mas  4 caracteres aleatorios

Cómo desinfectar un sistema de

  • Descargar RannohDecryptor.exe ;
  • Ejecutar RannohDecryptor.exe en el ordenador infectado;
  • Normalmente es necesario reiniciar el ordenador una vez finalizada la desinfección.

Cómo utilizar la utilidad

  1. Ejecutar RannohDecryptor.exe.
  2. Haga clic en Start scan para comenzar el proceso.Para iniciar el descifrado, la utilidad le pedirá que indique la ruta de acceso de los  archivos cifrados.

  1. La utilidad busca y descifra los archivos cifrados.La utilidad puede descifrar archivos de uno en uno o por bloques.
  2. Para eliminar las copias de los archivos cifrados con nombre como «locked-<nombre_original>. <4 caracteres aleatorios>» después de un descifrado con éxito, utilice la opción Eliminar archivos encriptados después de descifrarlo.
  3. De forma predeterminada, el registro de la utilidad se guarda en el disco del sistema (en  el sistema operativo instalado).
    El Archivo se guarda en la raíz del equipo con el nombre UtilityName.Version_Date_Time_log.txt.
    Por ejemplo, C: RannohDecryptor.1.1.0.0_02.05.2012_15.31.43_log.txt

Las opciones en línea de comandos:

-L <log_file_name> – crear un archivo de registro con el nombre dado.
-Y – cerrar la utilidad después de descifrarlo.

    Os pongo un video en el que, al final, nos explica como utilizar el programa para desencriptar los archivos dañados por el virus.

   Recordar que vosotros mismos sois vuesto mejor antivirus, emplead la lógica y no descargeis archivos sospechosos.

Fuentes: http://www.satinfo.es , http://support.kaspersky.com y Youtube

email

7 comentarios en “NUEVO RAMSONWARE (virus de la Policía): el Trojan-Ransom.Win32.Rannoh

    • Hola Carlos, intentaste iniciar tu pc con la opción » a prueba de fallos»?
      Sigue estas instrucciones y una vez en el SO, sigue las instrucciones de desinfeccon.
      1.- Salga de todos los programas
      2.- Seleccione Inicio, Apagar el sistema.
      3.- Apague la computadora, y aguarde 10 segundos (no use el botón RESET, usted debe apagar su PC para borrar cualquier posible virus en memoria).
      4.- Encienda su PC.
      5.- pulse F8 repedidas veces hasta que salga un menu
      6.- Seleccione «Modo a prueba de fallos» o similar, y Windows debería arrancar en este modo, si tiene windows Xp pulse en Modo Seguro

      Espero haberte ayudado

  1. Hola! Yo ya he desencriptado los archivos pero se han dañado, no los puedo abrir correctamente. Son fotos y archivos de office, ¿hay alguna solución?

  2. Pingback: El “virus de la Policía” cabalga de nuevo, ahora con el FBI « El Blog de Angelucho

  3. Hola, espero que me ayuden porfa
    A pesar del tiempo que ha pasado este virus a disminuido, pero aún ahora sigue el virus en la Internet, lamentablemente me he infectado :/ pero he podido eliminar el virus con la consecuencia que todos mis archivos bloqueados, bueno ustedes saben.

    La cosa es que descargue Rannohdecryptor tengo un archivo limpio y ese mismo sucio (pesa sobre lo que pide) tal como pide el programa solo que al darle a analizar me arroja un error que dice:
    »cannot find decrption key.
    May be unknow trojan program modification»
    Alguien me podría ayudar??

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *