Buscar este blog

jueves, 14 de febrero de 2013

Eliminar el Ransomware .Block

Esta nueva variante del popular "Virus de la policía", conocida también como Ransom.Block, nos bloquea nuestro ordenador además de encriptar todos los archivos (con el algoritmo AES-256, Advanced Encryption Standard) y los renombra con la extensión .block.

 Ransom.Block encripta los siguientes tipos de archivo:
.txt, .xls, xlw, .docx, .doc, .cer, .key, .rtf, .xlsm, .xlsx, .xlc, .docm, .xlk, .htm, .chm, .text, .ppt, .djvu, .pdf, .lzo, .djv, .cdx, .cdt, .cdr, .bpg, .xfm, .dfm, .pas, .dpk, .dpr, .frm, .vbp, .php, .js, .wri, .css, .asm, .html, .jpg, .dbx, .dbt, .dbf, .odc, .mde, .mdb, .sql, .abw, .pab, .vsd, .xsf, .xsn, .pps, .lzh, .pgp, .arj, .gzip, .gz, .pst, .xl


Cuando nos cifra los archivos, nos genera un número llave y un validador único que guarda como "Initia1Log.txt.block" (archivo clave) y "ok.txt.block" (archivo validador). Sin ellos no podemos desbloquear los archivos cifrados por este malware.

Para desbloquear los archivos necesitamos tener acceso al equipo desinfectándolo del Ransomware. 
Para desbloquear el ordenador del Ransomware podemos usar la herramienta PoliFix:
  • Descargar el archivo PoliFix.exe al Dispositivo Extraíble desde otro ordenador.
  • Arrancar el ordenador en modo seguro con símbolo del Sistema, e ingrasar como Administrador.
  • Verificar la unidad del Dispositivo Extraíble que usemos. Abriremos una sesión de MSDOS, Inicio > Ejecutar > escribir "cmd" > cuando abra la ventana escribir "diskpart". Aquí nos mostrará las distintas unidades disponibles en nuestro ordenador y nos acordaremos de la que corresponde al dispositivo extraíble. Finalmente escribiremos "Exit" para salir de la opción "diskpart".
  • Desde MSDOS escribiremos la letra de la unidad seguida de los dos puntos, por ejemplo: "E:"
  • Al entrar en la unidad escribiremos "polifix.exe" para ejecutar el programa, pulsaremos "Analizar". Cuando termine el análisis, reiniciaremos el equipo y comprobaremos que esté todo correcto.

Para desencriptar los archivos .block usaremos una utilidad llamada DeBlock.



  • Descargar la herramienta DeBlock
  • Localizar los archivos Initia1Log.txt.block y ok.txt.block.
  • DeBlock buscara los archivos, en caso de encontrarlos y si estos son correctos los dará como clave válida, de lo contrario aparecerá mensaje de error. 
  • Si la verificación tiene éxito, podrá ver las opciones de la herramienta DeBlock en donde se podrán seleccionar de a una carpeta o todo el disco duro. (Se recomienda comenzar con una prueba con solo algunos archivos cifrados para comprobar que trabaje correctamente en su caso)
  • Una vez las carpetas estén elegidas, veremos activado el botón Decrypt.
  • Antes de descifrar los archivos es posible activar otras funciones como:

    • - delete crypted files: Borrara los archivos cifrados una vez que ya haya generado las copias descifradas (se recomienda activar solo después de que las pruebas salgan correctamente)

    • - delete register record: Elimina los rastros dejados por el encriptador en el registro de Windows.

    • - delete WARNING.txt: Elimina todos los archivos de advertencia generados por Ransom.Block
  • Pulsar el botón Decrypt y esperar que termine el procedimiento.



Fuente: Infospyware
Tags: ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)