[Luis Martí]

Buenos días.

El pasado 4 de Diciembre, por la tarde, descargando los ficheros de un enlace en la web navigatrix.net d mi ordenador fue infectado por un ransomware.

Lamentablemente hice caso omiso de una alerta en la descarga. Con el navegador Chrome me ha ocurrido alguna vez que saltan alertas en páginas "legales" y, aunque descargué creo que cuatro archivos, fue en el tercero o cuarto, no recuerdo, cuando salió el aviso al que, insisto, no le di importancia.

El resultado ha sido la encriptación de gran parte de los documentos e imágenes que hay en mi disco de sistemas. Otros tres discos no fueron afectados, probablemente porque vi una actividad extraña en el disco duro, sumé dos y dos y apagué de inmediato.

Al reiniciar apareció sobreimpreso en pantalla un mensaje (ahora lo sé) típico, así como ficheros readme adjuntos a todos los ficheros encriptados.

El rescate me exige el pago de unos 2.830 USD en los primeros cinco días o de 5.860 USD pasado ese plazo.

Obviamente pueden esperar sentados. Me han causado molestias, una pérdida de tiempo considerable, pero no voy a perder datos ni imágenes relevantes, por tener respaldo de todo. Y, aunque los perdiera, no pagaría.

He enviado un formulario de contacto a la página de Navigatrix, explicando lo ocurrido.

Las páginas nomoresansom.org y id-ransomware.malwarehunterteam.com no identifican el código malicioso, al menos hasta el momento.

Entiendo que ante el aumento de las medidas de seguridad de empresas e instituciones, principales víctimas de este tipo de delitos hasta la fecha, los delincuentes apuntan a otros sectores, con exigencias de rescate menores. Han podido pensar (es una suposición) que infectando páginas de descarga de software orientado a la náutica, pueden secuestrar ordenadores de personas con cierto poder adquisitivo. En mi caso han pinchado en hueso, pero puede que sea su lógica.

En fin, dicho queda.

Un cordial saludo,


Luis Martí

[Noruego]

NAVIGATRIX pertenece a alguien cercano al independentismo catalan??? pregunto?

[nico091]

Me parece muy buena actitud la tuya Luis. Ceder al chantaje es la peor respuesta.

[Hippie]

Hola don luis marti,me imagino que lo habra denunciado a delitos informaticos de la autoridad de turno,por lo menos que sepan que hay algo mas de lo que ellos esperan,ademas seguro que se lo pasan bien investigando el tema...
aqui por ejemplo...
https://www.gdt.guardiacivil.es/webgdt/pinformar.php

[Luis Martí]

Hola don luis marti,me imagino que lo habra denunciado a delitos informaticos de la autoridad de turno,por lo menos que sepan que hay algo mas de lo que ellos esperan,ademas seguro que se lo pasan bien investigando el tema...
aqui por ejemplo...
https://www.gdt.guardiacivil.es/webgdt/pinformar.php

Buenas tardes. Gracias por la información. No he presentado denuncia, pero he informado a través de la dirección de correo electrónico que figura en el enlace. Muchas gracias.

[Hippie]

es que es asi en cualquier ambito,si no se denuncia no se puede perseguir el delito,gracias a usted por avisar

[Sailoog]

NAVIGATRIX pertenece a alguien cercano al independentismo catalan??? pregunto?

Te has olvidado la pastillita hoy??? pregunto

[Sailoog]

Buenos días.

El pasado 4 de Diciembre, por la tarde, descargando los ficheros de un enlace en la web navigatrix.net d mi ordenador fue infectado por un ransomware.

Lamentablemente hice caso omiso de una alerta en la descarga. Con el navegador Chrome me ha ocurrido alguna vez que saltan alertas en páginas "legales" y, aunque descargué creo que cuatro archivos, fue en el tercero o cuarto, no recuerdo, cuando salió el aviso al que, insisto, no le di importancia.

El resultado ha sido la encriptación de gran parte de los documentos e imágenes que hay en mi disco de sistemas. Otros tres discos no fueron afectados, probablemente porque vi una actividad extraña en el disco duro, sumé dos y dos y apagué de inmediato.

Al reiniciar apareció sobreimpreso en pantalla un mensaje (ahora lo sé) típico, así como ficheros readme adjuntos a todos los ficheros encriptados.

El rescate me exige el pago de unos 2.830 USD en los primeros cinco días o de 5.860 USD pasado ese plazo.

Obviamente pueden esperar sentados. Me han causado molestias, una pérdida de tiempo considerable, pero no voy a perder datos ni imágenes relevantes, por tener respaldo de todo. Y, aunque los perdiera, no pagaría.

He enviado un formulario de contacto a la página de Navigatrix, explicando lo ocurrido.

Las páginas nomoresansom.org y id-ransomware.malwarehunterteam.com no identifican el código malicioso, al menos hasta el momento.

Entiendo que ante el aumento de las medidas de seguridad de empresas e instituciones, principales víctimas de este tipo de delitos hasta la fecha, los delincuentes apuntan a otros sectores, con exigencias de rescate menores. Han podido pensar (es una suposición) que infectando páginas de descarga de software orientado a la náutica, pueden secuestrar ordenadores de personas con cierto poder adquisitivo. En mi caso han pinchado en hueso, pero puede que sea su lógica.

En fin, dicho queda.

Un cordial saludo,


Luis Martí

Acabo de descargar los archivos que comentas y no encuentro nada raro. Realmente creo que es bastante improbable que tu infección venga de navigatrix. Piensa que no serias el único afectado y que una cosa así representaría un suicidio para el proyecto. Puedes denunciarlo para estar seguro pero yo no lo haría a la guardia civil porque son bastante lerdos y no te harán ni caso (a no ser que les digas que son catalanes que para eso si tienen millones). Lo mejor es que si quieres tirar del hilo o por lo menos quedarte tranquilo es que lo denuncies aquí: https://www.enisa.europa.eu/

EDITADO: te comento de reportarlo en EU porque aunque los desarrolladores están fuera, los servidores están en Islandia.

[nico091]

Pero qué coño es esto.

[jahihu]

Buenas y unas rondas . Yo me lo descargue más o menos como tu el 4 o 5 de diciembre, despues del video de TheLowCostSailor y no vi nada raro y eso que uso un buen antivirus. Los ransomware muchos son durmiente, para que se pueda infectar las copias de seguridad aunque restaures. 
Siempre antes de descargar o meterme en alguna pagina suelo escanearla con la web  https://www.virustotal.com/gui/home/url y lo he vuelto a hacer esta mañana no ha detectado nada.

Estas seguro que lo cogiste en esa web??


Siempre es bueno tener copia de seguridad en unidades externas o en la nube.

Saludos.

[Sailoog]

Como bien dice jahihu, suelen ser durmientes para afectar copias de seguridad y para que la fuente no pueda ser fácilmente identificada y pueda seguir infectando. No me cuadra nada que tu fuente haya sido navigatrix por mas razones:

- Desde hace un tiempo solo puedes descargar navigatrix si haces una donación y eso no tiene sentido porque el ransomware busca infecciones masivas.

- En la pagina de descarga te ofrecen el checksum de los archivos que es esa frase larga con números y letras que puedes usar para comparar la integridad de lo que te has descargado y asegurarte que es exactamente lo mismo que lo que el creador quería compartir.

- Si el cheksum no coincide significaria que el creador te la esta colando porque al ser una web https no se puede suplantar ninguna de las partes (emisor-receptor). Si coincide puede ser que el creador te la este colando igualmente y que el cheksum fue generado con el código malicioso dentro del archivo pero cualquier cambio posterior o anterior en los archivos generaria otro cheksum y cantaría mucho.

- Hay archivos sin ckecksum (los que sirven para crear los USB con Etcher) pero esos son fácilmente comparables con las fuentes oficiales de Etcher y no he visto nada en ellos. Uno de estos archivos es un exe y cualquier navegador en windows te da una alerta cuando intentas descargar estos archivos, quizás eso te llevó a pensar que esa era la fuente de la infección.

- Conozco a los desarrolladores y aunque no pondría la mano en el fuego por nadie me cuesta mucho pensar que hagan una cosa así o que se la cuelen de esa manera precisamente a ellos si es que no ha sido intencionado.

EDITADO: antes de que aparezcan el militar y los cuñaos a repartir, decir que no he entrado a liarla por el comentario estúpido habitual del facherio del foro, he entrado porque Navigatrix es un "coopetidor" de OpenPlotter y ellos no van a entrar aquí a defenderse. Nada mas que añadir.

[Luis Martí]

Hola a todos.

La descarga no fue en el hilo normal del navigatrix, vinculado a donaciones, sino en otro que abrieron:

https://navigatrix.net/nx/?q=bzJ4VVdZNGU...W#download

No puedo afirmar taxativamente que el software estuviera instalado en los servidores de navigatrix. Sí que se descargó a la par. Para más inri, chrome me avisó de un posible riesgo. Hice caso omiso porque había recibido varios "falsos positivos" (no sé cómo llamarlos) en fechas anteriores y en páginas correctas.

Hice exposición pública de mi torpeza porque me pareció llamativo que el importe exigido por los padres de la criatura fuera "solo" de 2.800 o 5.600 USD, muy por debajo de lo que suelen solicitar en empresas. Me dio por pensar que pueden estar buscando otros nichos de negocio y, desde esa óptica, los aficionados a la náutica podemos resultar apetecibles. No es mi caso, asalariado y constructor amateur, pero...

Cabreo aparte, se queda en simple anécdota. Solo me han hecho perder tiempo, no información vital o simplemente importante.

Saludos,

[Osr75]

Hola a todos.

La descarga no fue en el hilo normal del navigatrix, vinculado a donaciones, sino en otro que abrieron:



No puedo afirmar taxativamente que el software estuviera instalado en los servidores de navigatrix. Sí que se descargó a la par. Para más inri, chrome me avisó de un posible riesgo. Hice caso omiso porque había recibido varios "falsos positivos" (no sé cómo llamarlos) en fechas anteriores y en páginas correctas.

Hice exposición pública de mi torpeza porque me pareció llamativo que el importe exigido por los padres de la criatura fuera "solo" de 2.800 o 5.600 USD, muy por debajo de lo que suelen solicitar en empresas. Me dio por pensar que pueden estar buscando otros nichos de negocio y, desde esa óptica, los aficionados a la náutica podemos resultar apetecibles. No es mi caso, asalariado y constructor amateur, pero...

Cabreo aparte, se queda en simple anécdota. Solo me han hecho perder tiempo, no información vital o simplemente importante.

Saludos,

Buenas, 
Entiendo un poco sobre el tema, y intento transmitir como funciona, de entrada deja que te pida una cosa , si el link  de descarga e que indicas arriba, es  el que crees te "contamino", lo mejor es que lo elimines inmediatamente, no vaya a ser que por error alguien haga click en el. 

Por otro lado el Ransomware, te diré que pudiese ser que la descarga no la hubieses iniciado tu, sino que estuviese ya en tu navegador, esperando a que tu activaras una descarga o algun evento concreto, hora, etc... hay mil formas de activarlo, a menudo, el software Ransomware se queda latente, hasta que detecta que el PC  tiene inactividad, y es el momento en que aprovecha para codificar toda la información, sin que tu te des cuenta de ello! Como has indicado te dejan en cada carpeta un escrito para que seas TU quien contacte, ya que el "maleante" NO SABE QUIEN ERES, ni tan solo sabe que te ha atacado! Él solto un software que se propaga de una forma o de otra y ha veces contamina un PC... ese el punto en que tu entras en contacto con el atacante ( a la persona me refiero)gracias al ficherín txt que hay en cada carpeta. Le mandas un mail y el atacante te dice que quiere lo que sea, 5000 €? 10000€....  recuerda que el no sabe qué ha contaminado, por lo tanto no puede valorar el daño que te ha hecho, es evidente que no puedes pedir lo mismo a una persona para devolverle unas fotos, que a una empresa que le has secuestrado las bases de datos... Pero cuidado aquí NO ACABA LA TRAMPA. Imagina que el atacante entiende que no vas a pagar los 2800 o 5600 usd... de pronto te puede decir que por 100 usd te devuelve tus datos, y tu piensas "bueno por 100 usd...pago!" y pagas... el atacante te da un software que lo pasas y te devuelve tus datos, y al cabo de unos días... magia! los datos vuelven a estar encriptados, esta vez ya no te pedirá 100, sino quizá 200.. un poco mas.. total si pagas 100... pagarás 200!!!  Y es el cuento de nunca acabar.  En resumen, pagar no es la solución...
 
Soluciones ( no hay nada de nuevo): datos importantes protegidos con copia de seguridad en un ordenador diferente y antivirus. Mantener siempre mas de una copia de seguridad con diferentes fechas, recordemos ese software entra en tu pc, y va a esperar unos días, JAMAS atacara de forma inmediata, ya que si fuera así recuperarías lo del dia anterior y listo, si espera unos días, tu no sabrás que copia no esta contaminada.

Forma de denunciar... lo mejor es Interpol y tienen departamento especifico y pagina web, ya que SIEMPRE es un ataque desde Países "tolerantes" con este tema. Pero tus datos, no los vas a recuperar.

Saludos!

Por cierto, estoy de acuerdo con Sailoog, yo creo que tenías esto metido desde hacia tiempo... ( días )

[Bill]

Hola, Luis

¿el sistema operativo con el que trabajabas cuando te bajaste Navigatrix, y que te han secuestrado, es Windows? ¿y si no, cuál es?

Lo digo porque a mi me paso tambien algo raro en el ordenador, a raiz de querer descargarme Navigatrix en una web alternativa. Lo que pasa que a mi dejo de funcionarme el navegador (Firefox) que hasta ese momento iba como un tiro, y en general el ordenador se ha ralentizado un poco y funciona todo un poco raro... Yo voy con ubuntu 22.04... y pienso que es posible que pillase el mismo virus pero que no pudiese desarrollarse en Ubuntu y por eso  la cosa no ha ido a mayores en mi caso... aunque de seguir asi me tocara reformatear y reinstalar

[Osr75]

Hola Bill,

Dudo que sea lo mismo, el Ransomware se asegura que sepas como recuperar los datos, cuando lo ves, créeme no hay duda, todos los ficheros personales ( fotos, documentos, base de datos) quedan codificados, no se pueden usar. En cada carpeta, hay un fichero donde te dice ( mas o menos ):

"Hola, has sido contaminado por el software PepitodeLosPalotes, si quieres recuperar tus datos envia un mail a tutankamon@hotmail.xxx , como muestra de buena fé manda una documento y te lo devolveremos desencriptado, ( No mandar bases de datos)"
Este mensaje es el típico y fácil de encontrar, recuerda que la persona atacante IGNORA que te ha atacado, es básicamente un ataque Masivo, pegan tiros a mansalva y a ver si le dan a alguien.


Si en cambio ( normalmente) puedes usar las aplicaciones como el Firefox, etc... por lo que estoy muy seguro que no es tu caso, PEROOO podria ser otra causa de ataque, virus, malware.... prueba de pasar un antivirus actualizado...