elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Rompecabezas de Bitcoin, Medio millón USD en premios


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Seguridad (Moderador: r32)
| | |-+  [Teslacrypt] Opiniones ??...
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: [Teslacrypt] Opiniones ??...  (Leído 4,290 veces)
Diabliyo


Desconectado Desconectado

Mensajes: 1.441


shell# _


Ver Perfil WWW
[Teslacrypt] Opiniones ??...
« en: 3 Enero 2016, 04:51 am »

Buenas.

Aperturo el tema de este malware que "secuestra" tus archivos encriptandolos mediante firmas digitales, que posteriormente el cybercriminal pide un rescate para que recuperes la información.

La idea es que aquellos que hayan tenido acercamiento a este nuevo malware pues cuenten como lo han solucionado, ya que los antivirus en la mayoría no lo detectan, ademas que en DICIEMBRE 2015 salio una nueva mutación de este malware que a su fecha ningún antivirus tiene solución.

En lo personal tuve mi primer acercamiento con un cliente que se infecto entre el 4 y 18 de Diciembre, este adquirió la mas nueva mutación del malware que se distingue por cifrar los archivos con extensión: .vvv. Lo interesante es que en esta nueva mutación (Teslacrypt v6), el cyberatacante elimina la clave publica (*.key), para de esta forma "acorralar" al usuario y que ningún antivirus pueda brindar solución inmediata.

Según mi investigación y lectura, las versiones anteriores a Teslacrypt v6 dejaban la clave (*.key) en algún directorio escondido, o bien la volcaban en un archivo de texto, esto brindaba la posibilidad que cualquier antivirus preparado para este ataque pudiera brindarle una solución al usuario.

Tengo una copia del Teslacryp v6, se las dejo para que LA DESCARGUEN y prueben en su ambiente virtual ;)

Ademas copia del mensaje de rescate:

Citar
111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111  

NOT YOUR LANGUAGE? USE https://translate.google.com

What happened to your files ?
All of your files were protected by a strong encryption with RSA-4096.
More information about the encryption keys using RSA-4096 can be found here: http://en.wikipedia.org/wiki/RSA_(cryptosystem)

What does this mean ?
This means that the structure and data within your files have been irrevocably changed, you will not be able to work with them, read them or see them,
it is the same thing as losing them forever, but with our help, you can restore them.

111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111
How did this happen ?
---Specially for your PC was generated personal RSA-4096 KEY, both public and private.
---ALL YOUR FILES were encrypted with the public key, which has been transferred to your computer via the Internet.
111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111

Decrypting of your files is only possible with the help of the private key and decrypt program, which is on our secret server.

What do I do ?
So, there are two ways you can choose: wait for a miracle and get your price doubled, or start obtaining BTC NOW, and restore your data easy way.
If You have really valuable data, you better not waste your time, because there is no other way to get your files, except make a payment.

For more specific instructions, please visit your personal home page, there are a few different addresses pointing to your page below:
1. http://vr6g2curb2kcidou.encpayment23.com/A5F367513DCDCD3
2. http://vr6g2curb2kcidou.expay34.com/A5F367513DCDCD3
3. http://psbc532jm8c.hsh73cu37n1.net/A5F367513DCDCD3
4. https://vr6g2curb2kcidou.onion.to/A5F367513DCDCD3
 
If for some reasons the addresses are not available, follow these steps:
1. Download and install tor-browser: http://www.torproject.org/projects/torbrowser.html.en
2. After a successful installation, run the browser and wait for initialization.
3. Type in the address bar: vr6g2curb2kcidou.onion/A5F367513DCDCD3
4. Follow the instructions on the site.

IMPORTANT INFORMATION:
Your personal pages:
http://vr6g2curb2kcidou.encpayment23.com/A5F367513DCDCD3
http://vr6g2curb2kcidou.expay34.com/A5F367513DCDCD3
http://psbc532jm8c.hsh73cu37n1.net/A5F367513DCDCD3
https://vr6g2curb2kcidou.onion.to/A5F367513DCDCD3  
Your personal page (using TOR-Browser): vr6g2curb2kcidou.onion/A5F367513DCDCD3
Your personal identification number (if you open the site (or TOR-Browser's) directly): A5F367513DCDCD3
111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111

Saludos !


« Última modificación: 3 Enero 2016, 05:19 am por Diabliyo » En línea

Br1ant


Desconectado Desconectado

Mensajes: 791


Incluso la "nada" es un "algo"


Ver Perfil WWW
Re:
« Respuesta #1 en: 3 Enero 2016, 10:25 am »

Gracias por el Aporte!

Enviado desde mi SM-T231 mediante Tapatalk


En línea

Namasté, criatura.
Diabliyo


Desconectado Desconectado

Mensajes: 1.441


shell# _


Ver Perfil WWW
Re:
« Respuesta #2 en: 25 Febrero 2016, 03:13 am »

Gracias por el Aporte!

Enviado desde mi SM-T231 mediante Tapatalk

Listo logre recuperar mis archivos ;)...

En primera hay que leer mucho sobre Teslacrypt porque hay hasta 8 o 9 variantes, cada una se identifica por su extensión y modo de generar y manejar las llaves publicas, en mi caso me toco lidiar con la variante mas nueva hasta hoy 24-Febrero-2016.

Les recomiendo ir al foro de bleepcomputing !

bye
En línea

Shell Root
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.723


<3


Ver Perfil WWW
Re: [Teslacrypt] Opiniones ??...
« Respuesta #3 en: 25 Febrero 2016, 13:20 pm »

@Diabliyo, y cual es la solución?
En línea

Por eso no duermo, por si tras mi ventana hay un cuervo. Cuelgo de hilos sueltos sabiendo que hay veneno en el aire.
Diabliyo


Desconectado Desconectado

Mensajes: 1.441


shell# _


Ver Perfil WWW
Re: [Teslacrypt] Opiniones ??...
« Respuesta #4 en: 27 Febrero 2016, 18:45 pm »

Si tienes una variante anterior a las version 6 solo es cuestion que cheques los temporales del sistema y encontraras el archivo bin.key o el "loquesea.key", esa es la llave para desproteger los archivos.

Si tienes una variante superior a la 6 entonces debes factorizar la llave que viene dentro de cualquier archivo que esta protegido (*.xxx, *.vvv, etc...), al final del proceso obtendras un hash, ese es tu llave !.

OJO: de nada sirve le jueguen al "chico forense" en las versiones superiores a la 6, porque el malware genera la llave en memoria (en un array, en una variable o alguna struct), pero jamas se llega escribir en el disco duro, asi que cuando el malware termina de proteger tus archivos este simplemente elimina las variables en memoria. Y esta bien dificil darte cuenta al instante porque este malware va protegiendo tus archivos de poco a poco, asi que si haces un dumpeo de tu RAM igual ya es demasiado tarde ;)

Saludos !
« Última modificación: 27 Febrero 2016, 18:50 pm por Diabliyo » En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines