Autor
|
Tema: Como descifrar ficheros de un Ramsonware que no sé cual puede ser (Leído 6,792 veces)
|
Superplay
Desconectado
Mensajes: 670
|
Buenas, Ayer el ordenador iba genial y esta mañana me encuentro el servidor de la empresa infectado con un Ransomware que encima ha cifrado las copias de seguridad y no tengo manera de saber cual es. El texto de rescate es este: Hello. Your files have been encrypted. For help, write to this e-mail: jilyjily@torbox3uiot6wchz.onionYou need to follow the following instructions: a) Download and install TOR browser: hxxps://www.torproject.org/download/download-easy.html.en b) From the TOR browser, follow the link: torbox3uiot6wchz.onion c) Register your e-mail (Sign Up) d) Write us on e-mail: kaufman@torbox3uiot6wchz.onionAttach to the letter 1-2 files (no more than 3 MB) and your personal key. ATTENTION: e-mail ( jilyjily@torbox3uiot6wchz.onion) accepts emails, only with e-mail registered in the TOR browser at torbox3uiot6wchz.onion Your personal key: Y los ficheros los cifra poniendo " .qp@readme.txt.fftn" en todos ellos... He probado herramientas de esas que les das el mensaje de rescate y un archivo y te dicen cuál es... ¡y ninguna sabe cuál es! Estoy desesperado, yo con recuperar un archivo que es la copia de seguridad del programa me sobra... No necesito recuperar todos. Si pagando sirviese para algo... Pero sé que no. Ayuda por favor... si necesitáis imágenes os envío :S Muchas gracias. Un saludo.
|
|
|
En línea
|
"Nací siendo un virus" By Windows. Este mensaje no es por ofender, yo uso Windows también, simplemente... es broma
|
|
|
xv0
Desconectado
Mensajes: 1.026
|
Hola
Podrias subir un archivo cifrado, para poder mirarlo? Pero no quiero ser pesimista pero estas cosas siempre terminan mal. No tenais las copias de seguridad en un dispositivo externo?
Saludos.
|
|
|
En línea
|
|
|
|
Superplay
Desconectado
Mensajes: 670
|
Buenas, Siento no haber respondido antes, me quitaron todas las esperanzas y olvidé este foro. Aún así se solucionó... Lo solucioné de la peor manera posible para recuperar los datos... Aunque la única y con mucha potra diría yo. Tenía un NASS pero el informático lo tenía descuidado desde marzo del año pasado y le echaba la culpa a no haber "actualizado el antivirus" y yo sinceramente dudo mucho que el antivirus lo hubiera evitado, con un cojón de puertos abiertos, copias de seguridad "locales" sin particiones ocultas... Se le dijo lo del NASS y dijo que las copias de seguridad y tal se encargaba el empleado que trabajaba allí (que se fue en 2017...)... y eso que era el informático de mantenimiento... De mantenerle, el bolsillo, porque se rompía un equipo y nunca merecía "arreglarlo", siempre uno nuevo... Tendría que ser yo el encargado quizás y no el informático... Pero hasta mis padres dicen que no puedo llevarlo yo todo Parece que el nuevo informático lo ha puesto mejor todo... Si quieres un archivo cifrado (el que usé para hacer la denuncia en comisaría) y el readme, te lo puedo enviar e incluso lo que me paso el c***** para desencriptarlo por si puedes ver como funciona... Todo lo que sea por ayudar a los pobres afectados. Muchas gracias por tu respuesta
|
|
|
En línea
|
"Nací siendo un virus" By Windows. Este mensaje no es por ofender, yo uso Windows también, simplemente... es broma
|
|
|
@XSStringManolo
Hacker/Programador
Colaborador
Desconectado
Mensajes: 2.397
Turn off the red ligth
|
Cómo lo solucionaste? Pagando? Scamm Bait?
|
|
|
En línea
|
Mi perfil de patrocinadores de GitHub está activo! Puedes patrocinarme para apoyar mi trabajo de código abierto 💖
|
|
|
EFEX
Desconectado
Mensajes: 1.171
"Dinero Facil"
|
Una variante de YYTO. Parece ser que no existen solucion aun.
|
|
|
En línea
|
|
|
|
xv0
Desconectado
Mensajes: 1.026
|
Hola
Podrías subir el archivo públicamente, pero si es como dice el compañero de arriba y es una variante, lo más seguro es que tenga un cifrado como AES, lo ideal sería "cazar" el ramsonware y analizarlo para ver cómo crea las llaves etc...
Un saludo.
|
|
|
En línea
|
|
|
|
@XSStringManolo
Hacker/Programador
Colaborador
Desconectado
Mensajes: 2.397
Turn off the red ligth
|
Este tipo de malware suele generar una clave única en su servidor para cada infección. Así los infectados no pueden compartir claves y desinfectarse todos con la misma clave. Lo normal es que lo haga un algoritmo aleatorio y se guarde una copia de la clave con el ID del equipo infectado. Pueden tenerlo todo automatizado para que se genere la clave, se guarde en un correo o una base de datos, etc. Puedes infectarte de nuevo en un equipo de pruebas y analizar el tráfico para ver desde donde se descarga la clave. Igual te lleva a algún sitio si está montado de forma cutre, pero no suele ser frecuente.
|
|
|
En línea
|
Mi perfil de patrocinadores de GitHub está activo! Puedes patrocinarme para apoyar mi trabajo de código abierto 💖
|
|
|
xv0
Desconectado
Mensajes: 1.026
|
Eso es a lo que me refería de una manera muy resumida, se tendría que encontrar el ramsonware y analizar, algoritmo de llaves, conexiones etc... o romper AES.
Si es una empresa seguramente el culpable sea un correo, todo de pende del usuario, y de lo que quiera compartir, lo mejor de todo es que a podido solucionar el problema.
Saludos.
|
|
|
En línea
|
|
|
|
roxylopez
Desconectado
Mensajes: 1
|
hola amigos tengo un serio problema se me infecto la pc con RANSOMWARE estos se llaman NASOH y KRUSOP, alguien sabe como descriptar los archivos? me ha pasado hace dos dias , he formateado el disco C: y los discos de respaldo han cambiado sus extensiones. Hay alguien que le haya pasado esto? Desde ya muchas gracias.
|
|
|
En línea
|
|
|
|
MCKSys Argentina
|
@roxylopezSi bien este tema trata sobre ransomware, no parece ser el mismo que el tuyo. Por favor, crea un tema nuevo explicando tu caso, asi se evita desviar este tema. Saludos! PD: Te invito a ler las reglas generales del foro: https://foro.elhacker.net/reglas.htm
|
|
|
En línea
|
MCKSys Argentina "Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."
|
|
|
|
Mensajes similares |
|
Asunto |
Iniciado por |
Respuestas |
Vistas |
Último mensaje |
|
|
se puede descifrar esto?
Ingeniería Inversa
|
mikefirewall
|
2
|
5,119
|
6 Mayo 2005, 00:10 am
por Rojodos
|
|
|
Problema con Manipulacion de Ficheros, ¿Cual es el error en mi codigo?
Programación C/C++
|
omarigg
|
2
|
2,277
|
10 Noviembre 2015, 17:23 pm
por user-marcos
|
|
|
Ramsonware cryptxxx
Seguridad
|
selohu
|
1
|
1,754
|
20 Diciembre 2016, 16:14 pm
por MCKSys Argentina
|
|
|
Duda sobre como ver el dominio al cual se conecta un ataque ramsonware o pagina
Dudas Generales
|
nightcode
|
0
|
1,471
|
13 Octubre 2020, 01:41 am
por nightcode
|
|
|
descifrar ficheros AES con clave y codigo
Criptografía
|
jamjami
|
0
|
2,100
|
27 Octubre 2022, 07:25 am
por jamjami
|
|