Infectado por Ramsonware

Seguir
Hola:
Tengo una red local de 7 maquinas, todas con windows 7 sp1 y un servidor con windows 10. Se me infecto el servidor con un ramsonware y me encripto todos los archivos como .wallet

Solo 3 pcs tienen acceso a internet y estan bastante limitados con un filtro web. Tambien los usuarios son limitados en permisos.
El servidor se infecto con un ejecutable que estaba dentro de una carpeta de usuario standard.

El archivo en cuestion se llama payload_138MMK.exe El mismo lo guarde para ver como lo puedo enviar a algun laboratorio de antivirus para ver si se puede bloquear

Saben como puede ser que se encripte todo desde un usuario sin permisos y que encima el resto de las pcs no tenga ningun problema?

saludos

5 Soluciones propuestas

El filtro WEB pudo tener algo que ver para proteger algo que no mencionas es si la infeccion se realizo en una de las PC usuario o directamente en el Servidor (solo asi sabremos como se origino)

Para la desinfeccion prueba cambiando la extension de algunos archivos manualmente o ver si estos no estan ocultos o son accesos directos.

Nota tienes que borrar todos los archivos del Ransomware estos se duplican y se guardan en la carpeta Windows o System 32 ya que de lo contrario este se seguira expandiendo asi que desconecta de la red todas las PC con la infeccion activa
Ninguna pc tiene rastro alguno de la infeccion, solo fue el servidor.
Con respecto a los archivos solo no estan infectados sino encriptados, lo unico que detecta el antivirus es el exe que menciono y solo lo hace cuando intento copiarlo, nada mas

El equipo en cuestion lo formatee ya que no me sirve asi. Con respecto a que se se propague se ve que no lo hace, ya que es el unico equipo y no tengo nada en la red

saludos
el mundo estos ultimos dias entro en panico por los ransomware... vos queres saber simplemente como te infecto sin permiso? quizas alguien le dio permiso o alguna vulnerabilidad del sistema...

http://losvirus.es/virus-ransomware-wallet/
Lo mejor en estos casos es:

Mirar si hay una version anterior de archivo.
Si no hay o no se puede hay que utilizar una herramienta

p.ej
a) Pc Inspector file recovery

o
b) Recuba
Mi consejo es que subas el fichero a Virus Total. Postea lo que dice, posiblemente algún antivirus pueda ayudarte.
Te lo digo porque si usas un antivirus que no lo detecte no sirve de nada. Además ante estos casos es mejor asegurarse de que las bases del antivirus están actualiadas.
Como último recurso queda formatear.