elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Sigue las noticias más importantes de seguridad informática en el ttwitter! de elhacker.NET


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderador: fary)
| | |-+  Como descifrar ficheros de un Ramsonware que no sé cual puede ser
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Como descifrar ficheros de un Ramsonware que no sé cual puede ser  (Leído 3,680 veces)
Superplay


Desconectado Desconectado

Mensajes: 670



Ver Perfil
Como descifrar ficheros de un Ramsonware que no sé cual puede ser
« en: 31 Julio 2019, 15:48 pm »

Buenas,

Ayer el ordenador iba genial y esta mañana me encuentro el servidor de la empresa infectado con un Ransomware que encima ha cifrado las copias de seguridad y no tengo manera de saber cual es. El texto de rescate es este:

Citar
Hello. Your files have been encrypted.

For help, write to this e-mail: jilyjily@torbox3uiot6wchz.onion
You need to follow the following instructions:

a) Download and install TOR browser: hxxps://www.torproject.org/download/download-easy.html.en
b) From the TOR browser, follow the link: torbox3uiot6wchz.onion
c) Register your e-mail (Sign Up)
d) Write us on e-mail: kaufman@torbox3uiot6wchz.onion

Attach to the letter 1-2 files (no more than 3 MB) and your personal key.


ATTENTION: e-mail (jilyjily@torbox3uiot6wchz.onion) accepts emails, only with e-mail registered in the TOR browser at torbox3uiot6wchz.onion

Your personal key:

Y los ficheros los cifra poniendo ".qp@readme.txt.fftn" en todos ellos... He probado herramientas de esas que les das el mensaje de rescate y un archivo y te dicen cuál es... ¡y ninguna sabe cuál es!

Estoy desesperado, yo con recuperar un archivo que es la copia de seguridad del programa me sobra... No necesito recuperar todos. Si pagando sirviese para algo... Pero sé que no.

Ayuda por favor... si necesitáis imágenes os envío :S

Muchas gracias.

Un saludo.
En línea



"Nací siendo un virus" By Windows.
Este mensaje no es por ofender, yo uso Windows también, simplemente... es broma ;)
cpu2


Desconectado Desconectado

Mensajes: 993


Ver Perfil
Re: Como descifrar ficheros de un Ramsonware que no sé cual puede ser
« Respuesta #1 en: 31 Julio 2019, 20:01 pm »

Hola

Podrias subir un archivo cifrado, para poder mirarlo? Pero no quiero ser pesimista pero estas cosas siempre terminan mal. No tenais las copias de seguridad en un dispositivo externo?

Saludos.
En línea

Superplay


Desconectado Desconectado

Mensajes: 670



Ver Perfil
Re: Como descifrar ficheros de un Ramsonware que no sé cual puede ser
« Respuesta #2 en: 11 Agosto 2019, 21:27 pm »

Buenas,

Siento no haber respondido antes, me quitaron todas las esperanzas y olvidé este foro. Aún así se solucionó...

Lo solucioné de la peor manera posible para recuperar los datos... Aunque la única y con mucha potra diría yo.

Tenía un NASS pero el informático lo tenía descuidado desde marzo del año pasado y le echaba la culpa a no haber "actualizado el antivirus" y yo sinceramente dudo mucho que el antivirus lo hubiera evitado, con un cojón de puertos abiertos, copias de seguridad "locales" sin particiones ocultas... Se le dijo lo del NASS y dijo que las copias de seguridad y tal se encargaba el empleado que trabajaba allí (que se fue en 2017...)... y eso que era el informático de mantenimiento... De mantenerle, el bolsillo, porque se rompía un equipo y nunca merecía "arreglarlo", siempre uno nuevo... Tendría que ser yo el encargado quizás y no el informático... Pero hasta mis padres dicen que no puedo llevarlo yo todo :(

Parece que el nuevo informático lo ha puesto mejor todo...

Si quieres un archivo cifrado (el que usé para hacer la denuncia en comisaría) y el readme, te lo puedo enviar e incluso lo que me paso el c***** para desencriptarlo por si puedes ver como funciona... Todo lo que sea por ayudar a los pobres afectados.

Muchas gracias por tu respuesta :)
En línea



"Nací siendo un virus" By Windows.
Este mensaje no es por ofender, yo uso Windows también, simplemente... es broma ;)
@XSStringManolo
<svg/onload=alert()>
Colaborador
***
Desconectado Desconectado

Mensajes: 2.279


Turn off the red ligth


Ver Perfil WWW
Re: Como descifrar ficheros de un Ramsonware que no sé cual puede ser
« Respuesta #3 en: 11 Agosto 2019, 21:41 pm »

Cómo lo solucionaste? Pagando? Scamm Bait?
En línea

EFEX


Desconectado Desconectado

Mensajes: 1.171


"Dinero Facil"


Ver Perfil WWW
Re: Como descifrar ficheros de un Ramsonware que no sé cual puede ser
« Respuesta #4 en: 11 Agosto 2019, 22:36 pm »

Una variante de YYTO. Parece ser que no existen solucion aun.
En línea

cpu2


Desconectado Desconectado

Mensajes: 993


Ver Perfil
Re: Como descifrar ficheros de un Ramsonware que no sé cual puede ser
« Respuesta #5 en: 13 Agosto 2019, 11:06 am »

Hola

Podrías subir el archivo públicamente, pero si es como dice el compañero de arriba y es una variante, lo más seguro es que tenga un cifrado como AES, lo ideal sería "cazar" el ramsonware y analizarlo para ver cómo crea las llaves etc...

Un saludo.
En línea

@XSStringManolo
<svg/onload=alert()>
Colaborador
***
Desconectado Desconectado

Mensajes: 2.279


Turn off the red ligth


Ver Perfil WWW
Re: Como descifrar ficheros de un Ramsonware que no sé cual puede ser
« Respuesta #6 en: 13 Agosto 2019, 14:23 pm »

Este tipo de malware suele generar una clave única en su servidor para cada infección. Así los infectados no pueden compartir claves y desinfectarse todos con la misma clave. Lo normal es que lo haga un algoritmo aleatorio y se guarde una copia de la clave con el ID del equipo infectado. Pueden tenerlo todo automatizado para que se genere la clave,  se guarde en un correo o una base de datos, etc. Puedes infectarte de nuevo en un equipo de pruebas y analizar el tráfico para ver desde donde se descarga la clave. Igual te lleva a algún sitio si está montado de forma cutre, pero no suele ser frecuente.
En línea

cpu2


Desconectado Desconectado

Mensajes: 993


Ver Perfil
Re: Como descifrar ficheros de un Ramsonware que no sé cual puede ser
« Respuesta #7 en: 13 Agosto 2019, 16:04 pm »

Eso es a lo que me refería de una manera muy resumida, se tendría que encontrar el ramsonware y analizar, algoritmo de llaves, conexiones etc... o romper AES.

Si es una empresa seguramente el culpable sea un correo, todo de pende del usuario, y de lo que quiera compartir, lo mejor de todo es que a podido solucionar el problema.

Saludos.
En línea

roxylopez

Desconectado Desconectado

Mensajes: 1


Ver Perfil
Re: Como descifrar ficheros de un Ramsonware que no sé cual puede ser
« Respuesta #8 en: 15 Agosto 2019, 21:24 pm »

hola amigos tengo un serio problema se me infecto la pc con RANSOMWARE estos se llaman NASOH y  KRUSOP, alguien sabe como descriptar los archivos? me ha pasado hace dos dias , he formateado el disco C:  y los discos de respaldo han cambiado sus extensiones. Hay alguien que le haya pasado esto? Desde ya muchas gracias.
En línea

MCKSys Argentina
Moderador Global
***
Desconectado Desconectado

Mensajes: 4.920


Diviértete crackeando, que para eso estamos!


Ver Perfil
Re: Como descifrar ficheros de un Ramsonware que no sé cual puede ser
« Respuesta #9 en: 15 Agosto 2019, 21:53 pm »

@roxylopez

Si bien este tema trata sobre ransomware, no parece ser el mismo que el tuyo.

Por favor, crea un tema nuevo explicando tu caso, asi se evita desviar este tema.

Saludos!

PD: Te invito a ler las reglas generales del foro: https://foro.elhacker.net/reglas.htm
En línea

MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
se puede descifrar esto?
Ingeniería Inversa
mikefirewall 2 4,207 Último mensaje 6 Mayo 2005, 00:10 am
por Rojodos
ALguien me puede ayudar a descifrar
Criptografía
leifgarret 1 1,921 Último mensaje 25 Marzo 2013, 12:20 pm
por #Borracho.-
Problema con Manipulacion de Ficheros, ¿Cual es el error en mi codigo?
Programación C/C++
omarigg 2 1,133 Último mensaje 10 Noviembre 2015, 17:23 pm
por user-marcos
Ramsonware cryptxxx
Seguridad
selohu 1 847 Último mensaje 20 Diciembre 2016, 16:14 pm
por MCKSys Argentina
Duda sobre como ver el dominio al cual se conecta un ataque ramsonware o pagina
Dudas Generales
nightcode 0 354 Último mensaje 13 Octubre 2020, 01:41 am
por nightcode
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines