7 Replies Latest reply on May 17, 2013 2:00 AM by aladdin1978

    Ransomware( .nobackup)

      Spanish:

       

      Hola a todos/as, escribo el post debido a que los servidores de nuestra empresa han sido infectados por este troyano, el cual ha encriptado y renombrado( a .nobackup), archivos que contienen datos esenciales para nosotros, nos gustaria saber alguna forma de desencriptar estos archivos( El virus ya hemos logrado quitarlo, formateando el equipo).

       

      Muchas gracias.

       

      English:

       

      Hi all / as I write the post because the servers of our company have been infected by this Trojan, which has been encrypted and renamed (to. Nobackup) files that contain essential data for us, we would like to know some form of decrypt these files (virus and we have to remove, formatting the computer).



      Thank you very much.

        • 1. Re: Ransomware( .nobackup)
          Peter M

          'Company servers' indicate you are probably using "Enterprise", can you specify which McAfee product it is please?

           

           

          Google translation:

           

          Traducción de Google:

          'Servidores Compañía indican que probablemente está usando "Enterprise", se puede especificar qué producto de McAfee está por favor?

          • 2. Re: Ransomware( .nobackup)

            Somos distribuidores de productos mcafee. En los servidores no disponiamos de antivirus de ningún tipo, y en el puesto donde ha entrado el troyano, en estos momentos no estaba instalado ningún producto MCAFEE, por problemas técnicos.

             

            On servers did not have antivirus of any kind, and in the position where you entered the Trojan right now was not installed any product MCAFEE, due to technical problems.

            • 3. Re: Ransomware( .nobackup)
              Peter M

              Well we can only help McAfee customers here and I have no knowledge here how servers can be cleaned of viruses.  You are advised to post on an actual anti-malware forum.

              I'm sorry I don't know of any Spanish speaking ones.

              In the meanwhile I have moved this to to Malware Discussion > Corporate User Assistance.  Maybe someone here can help.

               

              ...................

               

               

              Bueno, sólo podemos ayudar a los clientes de McAfee aquí y no tengo conocimiento aquí cómo los servidores se pueden limpiar de virus. Se recomienda escribir en un foro real de anti-malware.

              Lo siento, no tenemos información disponible sobre los que hablan español.

              Mientras tanto he cambiado esto de Malware Discussion >
              Corporate User Assistance . Tal vez alguien aquí puede ayudar.

              • 4. Re: Ransomware( .nobackup)

                Limpiar se ha limpiado el equipo terminal, pues ha sido reinstalado el sistema operativo.

                 

                Queriamos saber si ustedes han sacado alguna herramienta para la desencriptación de los archivos encriptados por el troyano

                 

                Gracias

                 

                 

                 

                 

                Clean has cleaned the terminal equipment, it has been reinstalled the operating system.

                 

                We wanted to know if you've got a tool for the decryption of the encrypted files by the Trojan

                 

                thanks

                • 5. Re: Ransomware( .nobackup)
                  Peter M

                  There is no McAfee tool, there are some tools mentioned in the last link in my signature below but they are for a more general use.  You might find one on BleepingComputer forums or  a similar place http://www.bleepingcomputer.com/virus-removal/ or through a Google Search using the name of the ransomware.

                   

                  The best way of avoiding these things is, at the first sign of trouble, power everything off.   Don't touch anything, keyboard or mouse, as any click or keystroke will activate them.  Then reboot into Safe Mode and use System Restore to go back to before it started.

                   

                  However that is what one can do in Windows, I have no idea what can be done in servers.  Good luck!

                   

                   

                   

                  ...........

                   

                  No hay ninguna herramienta de McAfee, hay algunas herramientas mencionadas en el último eslabón de mi firma pero son para un uso más general. Usted puede encontrar uno en los foros BleepingComputer o un lugar http://www.bleepingcomputer.com/virus-removal/ similar o mediante una búsqueda en Google con el nombre del ransomware.

                  La mejor manera de evitar esto es, a la primera señal de problemas, el poder todo lo que fuera. No toque nada, el teclado o el ratón, ya que cualquier clic o pulsación de tecla se activarlos. A continuación, reinicie en modo seguro y el uso del sistema Restaurar para volver a antes de empezar.

                  Sin embargo eso es lo que uno puede hacer en Windows, no tengo ni idea de lo que se puede hacer en los servidores. ¡Buena suerte!

                  • 6. Re: Ransomware( .nobackup)
                    Hayton

                    Kaspersky and Dr Web cannot decrypt these files without the private key that was used for encryption - the files are encrypted with RSA 1024-bit encryption according to Kaspersky.

                     

                    From a discussion in Italian on their forum :

                     

                    Unfortunately, the program uses RSA 1024bit encryption, so you can not recover the data without knowing the private key encryption.
                    The sample recovered from other cases of infection have allowed the creation of some recognition of malware signatures that have already been distributed in the update of the past days, but for the encrypted files do not have a decryption tool.

                     

                    http://forum.kaspersky.com/index.php?showtopic=260339

                     

                    Kaspersky y el Dr Web no puede descifrar estos archivos sin el kay privada que se utiliza para el cifrado - los archivos se cifran con cifrado RSA de 1024 bits de acuerdo con Kaspersky.

                     

                    A partir de una discusión en italiano en su foro:

                     

                    Desafortunadamente, el programa utiliza el cifrado RSA de 1024 bits, por lo que no puede recuperar los datos sin conocer la clave privada de cifrado.

                     

                    La muestra recuperada de otros casos de infección han permitido la creación de algún tipo de reconocimiento de firmas de malware que ya han sido distribuidos en la actualización de los últimos días, pero ¿para los archivos cifrados no contar con una herramienta de descifrado.

                     

                    http://forum.kaspersky.com/index.php?showtopic=262647

                    Hola,Por lo que me indican de Kaspersky, desafortunadamente los archivos se cifran mediante modificación del Ransom.Win32.GpCode, utilizando RSA1024 + cifrado AES256 y es imposible descifrarlo sin la parte oculta de la llave.Sino tienes copia de seguridad/backup, clonado, o similar no podrás recuperar dichos archivos.Saludos This post has been edited by Caos: 30.04.2013 20:04

                     

                    Message was edited by: Hayton on 16/05/13 15:08:52 IST

                     

                    on 17/05/13 6:45:27 AM
                    • 7. Re: Ransomware( .nobackup)

                      Español:

                       

                      OK, muchas gracias por las respuestas, esperare hasta que salga alguna utilidad para desencriptar los archivos. Saludos.

                       

                      English:

                       

                      OK, thank you very much for the replies, I'll wait until it comes out any use to decrypt the files. Greetings.