Nueva Versión – Virus de Office (.DOC,.DOCX) FAKEDOC, alias DORIFEL, QUERVAR, HEUR

Con la nueva versión del virus los antivirus de momento no pueden descodificar los archivos.

Como limpiar los archivos :

1. Descargamos la herramienta decrypt dorifel

2.  Guardamos decrypt dorifel.exe en el escritorio

3. En incio -> ejecutar … escribimos cmd y pulsamos enter

4. con el comando cd cambiamos de ruta hasta que lleguemos a la carpeta del escritorio en mi caso  : cd users / cd emy / cd desktop ( llama a 691.11.27.21 para ayuda)

5. Ejecutamos el decrypt dorifel con la siguiente linea de comando

decrypt_dorifel.exe <ruta> /all

Uso

<ruta decrypt_dorifel.exe a decrypt> [/ all]

/ All – Analizar todos los archivos y no sólo los archivos que terminan en * scr.

/ Np – no se detiene una vez que la herramienta de acabado

/ Ins – Eliminar los archivos infectados después de descifrado con éxito

Cuando se especifica ninguna ruta, el disco de instalación de Windows se está escaneando.
Las rutas pueden ser una carpeta, disco, UNC o un archivo.
Especificación de varias rutas en una línea de comandos es compatible.

escanear en la red : C: \> decrypt_dorifel.exe \ \ 192.168.1.25 \ docs

En mi caso:

C:\Users\Emy\Desktop>decrypt_dorifel.exe “C:\Users\Emy\Desktop\ANUNCIO AL MARINERO S_cod” /all

Comando Decrypter

Resultado :

Descarga Decryptor Dorifel

Síntomas : No se pueden abrir los documentos de Word, cambia el nombre con nombre archivo [xcod].doc.[scr], cuando se intenta copiar el archivo por la red salta un mensaje de error que el usuario no tiene permisos.

El virus se replica solo tanto en el sistema infectado como en todas la unidades de red montadas como disco duro local, lo  que significa que infecta archivos en otros sistemas.

Alias

  • Kaspersky – Trojan-Dropper.Win32.Dorifel.cgt
  • Microsoft – Virus:Win32/Quervar.A
  • Ikarus   – Backdoor.Win32.Beastdoor
  • Symantec – Trojan.Exprez

Los métodos de infección

El virus es auto-replicante. A menudo se transmite por una red o por la transmisión a un medio extraíble, como un disco extraíble, CD grabable o una unidad USB. El virus también puede propagar mediante la infección de archivos en un sistema de archivos de red o un sistema de archivos que es compartida por otro equipo.

El  malware cifra los archivos DOC y DOCX y puede renombrar con una extensión de archivo xcod.scr -. Esto sucede a través de la red, así como a nivel local. También los archivos pueden ser cifrados en varias ocasiones en la máquina infectada.