Foro de elhacker.net

Seguridad Informática => Seguridad => Mensaje iniciado por: r32 en 24 Noviembre 2013, 15:13 pm


Título: Restaurar archivos cifrados por CryptoLocker [Ransomware]
Publicado por: r32 en 24 Noviembre 2013, 15:13 pm

CryptoLocker Ransomware.

Información:
http://en.wikipedia.org/wiki/CryptoLocker
http://www.us-cert.gov/ncas/alerts/TA13-309A
http://www.kernelmode.info/forum/viewtopic.php?f=16&t=2945
http://www.bleepingcomputer.com/virus-removal/cryptolocker-ransomware-information
http://www.kyrus-tech.com/cryptolocker-decryption-engine/

Se han dado casos en los que la recuperación de algunos archivos se hacía imposible, incluso habiendo adquirido legitimamente la clave correcta.
El motivo principal es que se movían los archivos a otra unidad, debido a esto no se recuperaban correctamente.
Se creó este Script para intentar recuperarlos.

http://chief-01.deviantart.com/art/Crypto-Unlocker-UPDATED-V1-1-413774308

Web: https://github.com/appurify/appurify-python/tree/master/pycrypto
D.Directa (x32): https://github.com/appurify/appurify-python/blob/master/pycrypto/pycrypto-2.6.win32-py3.3.exe
D.Directa (x64): https://github.com/appurify/appurify-python/blob/master/pycrypto/pycrypto-2.6.win-amd64-py3.3.exe

Web: https://github.com/kyrus/crypto-un-locker
Script: https://github.com/kyrus/crypto-un-locker/blob/master/CryptoUnLocker.py

(http://fc01.deviantart.net/fs70/f/2013/324/b/6/crypto_unlocker___updated_v1_1_by_chief_01-d6ucmas.png)

Es posible extraer la clave privada desde el registro (HKCU\Software\CryptoLocker) a archivo .reg y guardar donde ejecutes el Script.

Otra opción (automatizada) para restaurar los archivos cifrados:

Panda Ransomware Decrypt:
Web: http://www.pandasecurity.com/spain/homeusers/support/card?id=1675
D.Directa: http://www.pandasecurity.com/resources/tools/pandaunransom.exe
Guía: http://www.pandasecurity.com/spain/homeusers/support/card?id=1675


CryptoLocker Decryption Service (Servicio online):

Usar Tor2web (http://tor2web.org) o TorBrowser (https://www.torproject.org/download/download) para entrar:

Link directo desde Tor2web:
https://f2d2v7soksbskekh.tor2web.org


Herramienta que buscará los archivos que han sido cifrados:

CryptoLocker Scan Tool (necesario NET 4.5):
Web: http://omnispear.com/tools/cryptolocker-scan-tool
D.Directa: https://www.dropbox.com/s/ciw1rdzri8ghyfo/OCF_20131025.zip


Otros metodos para tratar de restaurar los archivos afectados, aunque no se garantiza nada:

Se puede tratar de restaurar versiones anteriores de estos archivos usando una funcionalidad integrada de Windows o una aplicación conocida como ShadowExplorer.

- Obtención de los archivos de nuevo el uso de la funcionalidad de versiones anteriores.
Windows tiene una característica nativa, donde se puede hacer clic derecho sobre un archivo, seleccione Propiedades y seleccione la pestaña llamada versiones anteriores. Una vez hecho esto para un archivo en particular, verá todas las versiones de la misma que se copiaron y se almacenan en el llamado Volume Shadow Copy. La ficha también proporciona la historia de estas copias de seguridad por fecha.
Con el fin de restaurar la versión necesaria del archivo, haga clic en el botón Copiar y luego elegir la ubicación en la que este archivo va a ser restaurada. En caso de que usted desea reemplazar el archivo existente con su versión restaurada, haga clic en el botón Restaurar en su lugar. Puede restaurar carpetas enteras de la misma manera.

- Restauración de archivos cifrados con la utilidad ShadowExplorer:
Además de la funcionalidad nativa de Windows, puede utilizar una aplicación que puede restaurar la versión anterior de carpetas enteras para usted. Se llama ShadowExplorer. Una vez que descargue y ejecute este programa, mostrará todas las unidades, así como una lista de las fechas en que se generaron las instantáneas. Sólo tiene que elegir la unidad y la fecha para la restauración deseada

Web: http://www.shadowexplorer.com
D.Directa: http://www.shadowexplorer.com/uploads/ShadowExplorer-0.9-setup.exe


Herramientas de ayuda a la prevención contra CryptoLocker:

CryptoPrevent (Beta):
Web: http://www.foolishit.com/vb6-projects/cryptoprevent/
D.Directa: http://www.foolishit.com/download/cryptoprevent-installer/
D.Directa (portable): http://www.foolishit.com/download/cryptoprevent/

(http://3.bp.blogspot.com/-6im2Vb4gsCw/UoozHQHUOnI/AAAAAAAAY3I/mNAJ2CBzfF0/s1600/cryptoprevent41.png)

Cryptolocker Prevention Kit:
Web: http://www.thirdtier.net/2013/10/cryptolocker-prevention-kit-updates/
D.Directa: http://www.thirdtier.net/downloads/CryptolockerPreventionKit.zip

HitmanPro's CryptoGuard:
Web: http://www.surfright.nl/en/alert/cryptoguard
D.Directa: http://dl.surfright.nl/hmpalert25.exe
Video demostrativo: http://www.youtube.com/watch?feature=player_embedded&v=5M8YYnXIAlw

Se adjuntan varios programas que ayudarán a eliminar la infección automáticamente, a pesar de como se ha comentado los ficheros
aún seguirán cifrados.

Malwarebytes antimalware:
- Web: http://es.malwarebytes.org/
- D.Directa: http://es.malwarebytes.org/mwb-download

Hitman Pro:
- Web: http://www.surfright.nl/en/downloads/
- D.Directa (32 bits): http://dl.surfright.nl/HitmanPro.exe
- D.Directa (64 bits): http://dl.surfright.nl/HitmanPro_x64.exe
- Guía pdf: http://files.surfright.nl/hmp-brochure-en.pdf


* Por lo que he podido ver, tan solo van cambiando el nombre al dominio, dejando el nombre final de ejecutable como "1002.exe" (http:/[random]/1002.exe)
Domains:
Citar
Object URL   # Requests   
wqvnkgtquoixx.com/home/   
jbkoqywkqjpjji.net/home/   
keqrmonphudew.net/home/   
miuongoruxtuhy.biz/home/   
qipixdjsccnyc.biz/home/   
pfasmsxcpsfkle.biz/home/   
evkmaldroiifk.ru/home/   
saallnwetwuac.org/home/   
ygvnalgjbukky.info/home/   
aiqyntcdnvfyy.com/home/   
bxgqnvtusprlg.net/home/   
cabcbepofqmaw.biz/home/   
upalbsjwadwmy.ru/home/   
qtnwayrgotgvf.info/home/   
trusflrovxooa.ru/home/   
vruwobfqmerby.org/home/   
nqjfxvpobfgss.net/home/   
otauuhgyfkeyx.info/home/   
xjfaclsceyycp.info/home/   
rjydbnflxdqfo.com/home/   
fyafqsphgcwpn.net/home/   
sejfjeaeybkcf.biz/home/   
suiqcimovbpqnc.info/home/   
gtkhyjkahaqmn.ru/home/   
pyduriwnnvmyh.org/home/   
hjivfvfffwnskq.net/home/   
ejoypeccwsmgn.com/home/   
aejmsdjdnlxpo.net/home/   
ligpryhpqpdwne.com/home/   
bikasivqvqovf.biz/home/   
bytobtevojrmf.ru/home/   
uycjwfvptmknld.com/home/   
cducbyqjwoisf.org/home/   
yxorjdnsljkpj.info/home/   
yoxgrovxecngq.com/home/   
ottxtmpqbfivg.biz/home/   
vvopcjmnxbhbwc.ru/home/   
asytrtilmhemq.net/home/   
gctqpdxpmfmir.biz/home/   
juuquupfwkohs.biz/home/   
bryjvxpmikgjtg.ru/home/   
itetdtsollwar.org/home/   
rspqurslksuqf.info/home/   
kdfwnedtksawjy.biz/home/   
etrwsvkcdukdlg.ru/home/   
erxigxprcxick.info/home/   
rhykvgjqlqkis.com/home/   
gjiltokqbestr.net/home/   
tyjnjwepkwuaq.biz/home/   
oweahscscnpoo.ru/home/   
taesdijrndsatw.org/home/   
pbfnhbxmlmkyo.org/home/   
mmirxnturglis.com/home/   
oesuleotqmvaa.biz/home/   
pitilmknalqkq.ru/home/   
iigcbmauiqvfba.ru/home/   
fuoxdmpthwgih.org/home/   
gpyalwdsbfdvf.info/home/   
tfacbcnojejgn.com/home/   
besvehfusgclh.net/home/   
cydxmrstmoyyx.ru/home/   
poeacwdpunfjg.org/home/   
qydbouvxduubsr.ru/home/   
okjjdmhkqnkgf.com/home/   
pokwdrtxysbmf.net/home/   
yeiviemnuxabpv.com/home/   
ooltxrisjwradh.org/home/   
jydfvwjmiojvs.biz/home/   
kdesvcvaqtacj.ru/home/   
ktnhehwlcwgjj.org/home/   
tnjlrciuvwfam.info/home/   
hdknhkctfphgu.com/home/   
vftofmvgnrmbt.net/home/   
pwnjswxvhgbdm.ru/home/   
lyooqnqqhotjju.biz/home/   
lohwjyiyqkwfqi.info/home/   
mclqdpsghdjqje.ru/home/   
dmolifruqydju.org/home/   
feyovpfgitkkl.info/home/   
citujrmxlfigj.com/home/   
dmuijairuedqj.net/home/   
eaexwcajdaphq.biz/home/   
feflwkvdmykrh.ru/home/   
xrxskmcywoeju.org/home/   
ajivxwpkojlku.info/home/   
odfkpkipydkslh.net/home/   
bnjjxflexigul.com/home/   
ryyyyfgfvtsnct.info/home/   
mnfdfpdotefros.net/home/   
uwdykbjtyjnkje.biz/home/   
vvbfgrejcdvwje.org/home/   
ggltstdpfixlmg.com/home/   
ttgwxyheyuxdud.net/home/   
laqigkmwntydsb.biz/home/   
xarbteoehyyaik.net/home/   
myoocbhmqnhpjy.org/home/   
opalnungbnmmot.org/home/   
jxvaxrprklbjlm.info/home/   
kaqiuwvbeulwci.com/home/   
yvbswhukhiskve.net/home/   
kwtgtikhnfjvjl.net/home/   
nkbxareutxbqjc.ru/home/   
bxvbfarpkqqerj.org/home/   
dttreqmrlsedie.info/home/   
neegqpcrrrqvut.biz/home/   
tspwdnloqrybym.com/home/   
rbjkbglbcucwua.org/home/   
ksxfginiuiagub.info/home/   
twhbawgddwpvuw.info/home/   
fkccpkpsimeybd.com/home/   
pyocsnovymedni.net/home/   
qbjkpveipcyunx.biz/home/   
kmwxovbjqgjmad.com/home/   
rumsrejxaorcum.ru/home/   
ffbxddujmmpsxl.biz/home/   
swhbomykqemtll.org/home/   
sxwfupthcyeqjh.net/home/   
cpgpwafuancriy.org/home/   
adjkrhdkuxysov.biz/home/   
nqenwmhyokyknc.ru/home/   
bxjlbrafmvaobr.ru/home/   
bchqnrqmbdkvfl.org/home/   
icmiuojikeeglw.info/home/   
jehqrtprenotca.com/home/   
fvmfpbqlweuqcc.org/home/   
lwfhkayvijlhld.info/home/   
guklllendjgtct.info/home/   
avprsocmlqjigs.ru/home/   
gecmmdcdjwpjlp.org/home/   
iaadlnplnoarlk.info/home/   
rpayeuhoyexfpe.net/home/   
vnugqvdgehpfkw.com/home/   
rbxjldlktkpsjx.org/home/   
mqipmcwrvlbxlw.com/home/   
nsdxjkmembvpcv.net/home/   
gkdtedfdjppeuj.ru/home/   
nqcfresqxteaxk.biz/home/   
bgdeqjwfchhvwq.ru/home/   
tvelvheabunfpq.biz/home/   
adgceuhdxrinww.biz/home/   
vukflsvgxbgvui.ru/home/   
wylroxcpcqgjle.org/home/   
xxjxkowffkovlp.info/home/   
uwqjgsrxuhyopp.net/home/   
jdtwkyaduxkmve.com/home/   
erbxffpmhwjmwq.com/home/   
urndyegetlhnwl.biz/home/   
truhmarggnfawj.org/home/   
vnsxlqmihpsywr.info/home/   
tlxpdlcqaglewt.ru/home/   
hbyoctplnodrvn.org/home/   
daetjwkwtfhjwj.info/home/   
fvckinfyuhuinp.net/home/   
atiyxjksylosbu.biz/home/   
xiyefnrwyvdcth.com/home/   
lrvlcsbkbnljsx.net/home/   
yhwkbxfyfbofbu.biz/home/   
uycyyswttiedtd.info/home/   
swgfawqxupccrf.com/home/   
tbhrdcwhyfcpib.net/home/   
uafxymkjfknspa.ru/home/   
pnjatcvupcddtl.info/home/   
qrkmwhcetrdqtc.com/home/   
qtqhbembdaeyrl.net/home/


** Se me ocurrió que para tener a salvo archivos importantes en cualquier unidad de disco, se podría modificar la extensión real del fichero por una inventada.
Tanto en variantes como en nuevas versiones se infectan extensiones de archivos conocidas.

Citar
*.odt, *.ods, *.odp, *.odm, *.odc, *.odb, *.doc, *.docx, *.docm, *.wps, *.xls, *.xlsx, *.xlsm, *.xlsb, *.xlk, *.ppt, *.pptx, *.pptm, *.mdb, *.accdb, *.pst, *.dwg, *.dxf, *.dxg, *.wpd, *.rtf, *.wb2, *.mdf, *.dbf, *.psd, *.pdd, *.eps, *.ai, *.indd, *.cdr, ????????.jpg, ????????.jpe, img_*.jpg, *.dng, *.3fr, *.arw, *.srf, *.sr2, *.bay, *.crw, *.cr2, *.dcr, *.kdc, *.erf, *.mef, *.mrw, *.nef, *.nrw, *.orf, *.raf, *.raw, *.rwl, *.rw2, *.r3d, *.ptx, *.pef, *.srw, *.x3f, *.der, *.cer, *.crt, *.pem, *.pfx, *.p12, *.p7b, *.p7c

Si tenemos un documento .pdf por ejemplo y es de valor por ser una trabajo o proyecto, podemos cambiar solo la extensión a documento.xx,
por lógica el malware no haría la modificación de cifrado al archivo.
El creador del ransomware puede decirle al programa que tipo de extensión cifrar pero no podría infectar toda extensión de archivo
existente. Bueno poder podría, pero no le sería de mucha utilidad si la finalidad es puramente economica.

Saludos.

Título: Re: Restaurar archivos cifrados por CryptoLocker [Ransomware]
Publicado por: zomig en 15 Abril 2015, 15:51 pm
Mil gracias.

Título: Re: Restaurar archivos cifrados por CryptoLocker [Ransomware]
Publicado por: r32 en 20 Abril 2015, 22:42 pm
De nada zomig, espero les sirviese.
Os dejo un servicio online para aquellos archivos cifrados que ya saben como descifrar o aún no se conoce bien la forma de cifrado:

https://www.decryptcryptolocker.com/

Sed pacientes, dependiendo de la longitud de la clave se tarda...
Incluid toda la info posible.

Saludos.

Título: Re: Restaurar archivos cifrados por CryptoLocker [Ransomware]
Publicado por: el-brujo en 21 Abril 2015, 19:50 pm
Han salido dos herramientas nuevas para recuperar los archivos cifrados de algunas variantes del CryptoLocker

 Utilidades para eliminar ransomware sin tener que pagar rescate

-     Trojan-Ransom.Win32.Scraper (TorLocker) -->  ScraperDecryptor.zip
http://media.kaspersky.com/utilities/VirusUtilities/EN/ScraperDecryptor.zip


-     CoinVault --> decryption application.
https://noransom.kaspersky.com/static/kaspersky-coinvault-decryptor.exe

Aunque lo mejor es usar copias de seguridad o instantáneas de volumen


¿Cómo restaurar archivos cifrados por CTB-Locker con instantáneas de volumen?

Si se encuentra activada la opción "Restaurar sistema" del equipo, Windows crea copias instantáneas del sistema (Shadow Copy). Esta opción está disponible desde Windows XP Service Pack 2 en adelante.

Estos snapshots permiten restaurar una versión anterior de los archivos, antes de que fueran cifrados. Sin embargo, los archivos recuperados seguramente no serán la última versión del archivo.

Existen dos métodos que pueden utilizarse para restaurar archivos y carpetas desde el Volume Shadow Copy. El primer método es usar las funciones nativas de Windows y el segundo método es utilizar la aplicación gratuita Shadow Explorer. No hace daño probar ambos métodos y ver qué cual funciona mejor.

Para restaurar archivos individuales se puede hacer clic derecho sobre el archivo, ir a propiedades y seleccionar la versión anterior que se desea recuperar.

(http://2.bp.blogspot.com/-8_Dn8jXCqtc/VMp5NfCPMVI/AAAAAAAAIvo/oofoaqJX06k/s1600/shadowexp1.png)

Click con el botón derecho en cualquier archivo cifrado o carpeta entera y click en "EXPORT..."

http://4.bp.blogspot.com/-bN8ELo9zW80/VMp5Shq6JmI/AAAAAAAAIvw/GYwkKYLpyhg/s1600/shadowexp2.png


Fuente:
http://blog.elhacker.net/2015/01/nuevas-variantes-del-ransomware-cryptolocker-descubiertas.html


Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines