Foro de elhacker.net

hola SOFTEL, pero con la clave pública no conseguirás nada... la llave pública, la utiliza para cifrar tus archivos... luego la llave privada (alojada en el server, por ejemplo) es la que descifra.   

eso es cierto, pero dudo que el sistema suba su archivo, lo descifre y mande de vuelta... es posible que en ese mensaje está la llave privada para abrir el cifrado... la cosa está en conseguir la llave privada para abrir ese SSL que debe estar en su pc,  y con eso abir el paquete... pero ahí no se como

Eso puede ser. enviar un paquete de retorno que habilite el descifrado en el cliente. Pero, se presentaría un vulnerabilidad allí... (reinyección del paquete en modo local? debbuguear el ransom y ver que pasa en la pila?) no, a mi corto modo de ver, sería una mala implementación... la llave privada debería estar en el servidor y solo previo pago reenviaría los paquetes descifrados...

(pregunto desde la ignorancia... que garantías hay de haber pagado, y recuperar los archivos? o hay códigos que no se rompen?)

Mmmm... no, lo que debes ver es el cruce de paquetes confirmando la generación exitosa del par de claves... nada más. ( eso es porque por cada infección, generaría un par nuevo, sino si fuera un par genérico, con tal de tener una privada podría publicarse y dejaría de ser efectivo el ransomware... sería como el divulgar una clave simétrica).

Está realmente difícil, más si no hay mucha información al respecto :/

puede ser cualquier cosa... pero el asunto es que usarían mucha banda transfiriendo tooooooooodos los archivos capturados de todas sus víctimas para cifrarlos en servidores propios...


SOFTEL podrías subir si aún lo tienes una muestra del virus para ver si la analizan y se da alguna ayuda.... porque capaz no es ni tan complejo o es puro scam

Claro... Hay 2 posibilidades:
-Un virus sofisticado
-Uno con la clave privada dentro del source xD

Salu2

no, pero si el decrypter es genuino, debe llevar ya la clave privada en él. Bueno justamente pareciera ser lo que indicas, al descargar junto con el .exe, un archivo plano. No debería haber antes conexión con el servidor por un intercambio. lo haría al inicio para comparar si hay coincidencia entre las públicas alojadas en la bd, y así usar luego la privada, si aún existiera.

(más leyendo el mensaje de inicio que es solo por un tiempo el alojamiento...)

No entiendo que quieres obtener con el ssl, te repito lo que puedes ver es algún paquete de confirmación -en donde luego comenzaría a operar en el siguiente inicio el cifrado- o bien un chequeo para saber si está tu clave pública en su bd.
Igualmente, lo usual es utilizar un proxy intermedio entre los dos host y de esa forma en un sentido la conexión va segura, y en la otra no. Si hay intercambio de credenciales, lo ves en texto plano (no vulneras el protocolo ssl)

Gh057 Decrypt.exe y secret.key se descargan una vez que se paga al malware. El archivo que la web del malware te deja decriptar gratis lo hace por Internet. Ahí es donde yo busco la clave.

La clave que necesitas para descifrar algo es siempre la privada (la pública, es la que compartes para que te envíen la información cifrada) La misma está en la base de datos del server... Por eso subes el archivo...

En sí lo que hace el ransom al inicio es establecer alguna clave en el registro (y alguna ubicacion asociada en el disco, supongo que aleatoriamente) para establecer la conexion al servidor... pasar los datos de tu host, seguramente una direccion de bitcoin, etc. etc., o sea, un troyano. Luego, en el server se genera el par de claves, se envía la pública a tu host -se confirman los pasos- y el ransom en el proximo inicio cifra todo lo que sea documentos, fotos etc. Y te envía el mensaje.

Lo que se me ocurre que podrías hacer es en un entorno virtual, verificar este funcionamiento; mirar  el registro del host infectado, mirar con un editor de hexa el ejecutable... ver como trabaja el bichito. y por último armar una pequeña red virtual, uno con el infectado, y con el otro generar un mitm y tratar de sacar algo en limpio con el ssltrip... saludos

a ver a ver que pelea jajaja... Ahora mi teoría

1.- ¿Quien cifró los archivos?
R: El malware

2.- ¿Donde se encuentra el malware?
R: En un ejecutable que en su momento estuvo en memoria.

3.- ¿Cómo cifró el archivo?
R: Con una llave

4.- ¿Donde está la llave?
R: En el ejecuatble

Se podría analizar el malware para detectar la clave que buscas
¿Funcionaría?

Bingo! así es .:UND3R:., y estoy seguro que en los primeros bytes debe figurar la clave... el tema que es la pública XD
(Y por ello no lo descifras luego con el mismo ransom, te envían el decrypter y la respectiva clave (que sirve solo para esa pública, no puedes usarla con otra para recuperar info de otra infección)

(off: aclaro que soy un niño al lado de ustedes .:UND3R:. seguramente esté terriblemente equivocado. Pero si el malware es realmente bueno, debería funcionar así supongo... jajajaaa este finde me pongo con ello, estoy en la oficina tapado de trabajo, se me enfrió el mate, pero el tema es muy interesante! XD)

Con la llave pública no harás nada. lo que quiere conseguir es la llave privada, pero eso no es posible.

CryptoWall y CryptoLocker no son ninguna tontería de ransomware....

Por ejemplo las primeras versiones de   CryptoLocker y CryptoWall  los ficheros primero fueron cifrados con  AES-256 con CTR (Counter) que consiguió ser descifrado y ahora son cifrados con AES-256-CBC (Cipher-block chaining).

Si tienes suerte y es de las primeras verssiones se puede con TorentUnlocker:

http://download.bleepingcomputer.com/Nathan/TorrentUnlocker.exe

Explicación:
http://www.bleepingcomputer.com/forums/t/547708/torrentlocker-ransomware-cracked-and-decrypter-has-been-made/



¿Cómo restaurar archivos cifrados por CTB-Locker?


El primer método es el obvio: pagar el rescate, esperar que los desarrolladores del malware envíen la contraseña de cifrado (leer el punto anterior) y tener mucha fe.

Ahora, si se ha decidido no pagar el rescate hay algunos  métodos que se puede seguir para tratar de restaurar los archivos cifrados.

Método 1: copias de seguridad

El primer y mejor método para restaurar los datos es una copia de seguridad reciente. Si no tienes backup ¿qué estas esperando para hacerlo?

Método 2: Software de recuperación de archivos

Parece que cuando CTB-Locker cifra un archivo, primero hace una copia del mismo, codifica la copia y luego elimina el original. Debido a este procedimiento se puede usar un software de recuperación de archivos como R-Studio o Photorec para intentar recuperar algunos de los archivos originales. Es importante tener en cuenta que cuanto más se utilice la computadora, más difícil será recuperar los archivos eliminados sin cifrar.

Método 3: Instantáneas de volumen de Windows (Shadow Volume Copies)

Como último recurso, puede tratar de restaurar los archivos a través de las instantáneas de volumen automática de Windows, siempre y cuando las mismas se encuentren activadas en el sistema operativo. Desafortunadamente, el malware intentará eliminar las instantáneas, pero a veces no logra hacerlo y esta copia puede utilizarse para restaurar los archivos.


Fuente:
http://blog.segu-info.com.ar/2015/01/guia-sobre-ctb-locker-y-ii.html

Referencias:

CryptoWall 3.0
http://malware.dontneedcoffee.com/2015/01/guess-whos-back-again-cryptowall-30.html

CryptoLocker nuevas variantes CTB-Locker aka Citroni,
http://blog.elhacker.net/2015/01/nuevas-variantes-del-ransomware-cryptolocker-descubiertas.html

TorrentLocker
http://blog.elhacker.net/2014/12/analisis-del-ransomware-torrentlocker.html

Si el malware contiene la llave pública... Supongo que siempre es la misma llave pública... Por lo que siempre va a ser la misma llave privada... No?

Salu2

No es la misma clave vk496... ni pública, ni la privada. Se generan pares de llaves diferentes para cada host.

Bueno, coincide entonces lo que planteaba de como funcionaba el ransom, el-brujo...
lo malo es que superó mis expectativas de nivel de maldad XD (lo de borrar los puntos anteriores, eso si que es de malévolo... con respecto a la imágenes, bueno pensaba con alguna aplicación de forensis hacer una imagen del disco, y buscar el estado anterior... como se ha cifrado, hay una escritura, por ende se podría buscar los bloques borrados por el indexado anterior. Aunque bueno sería sobre recuperar la información y no encontrarle la vuelta al malware como quería SOFTEL)

ahora pregunto... teniendo el archivo (o varios) que sean exactamente iguales al original, no se puede comparar con el cifrado para obtener algo? no era un "vulnerabilidad" de AES?

KPA... Pero no estoy seguro que se podía hacer con AES

Salu2

Para conseguir esa clave tendrías que hackear el server, a mi forma de ver...
Puedes probar de subirles varios archivos cifrados a FireEye.
Te dejo el enlace para que les subas alguna, estos tienen un lab preparado para este tipo de casos:

https:www.decryptcryptolocker.com (http://https:www.decryptcryptolocker.com)

Saludos.

Como medida anti-cryptolock: ¿no se podría escribir un driver que falsee las modificaciones de los archivos, e instalarlo en los ordenadores con información sensible?

Así, cuando se quiera modificar algo (de verdad), se usa una contraseña (o una confirmación del usuario bajo ring0), y listo.

Todo lo demás queda guardado en un array guardado sólo en la RAM (para deshacer los cambios al reiniciar), y se devuelven resultados falsos al intentar acceder a un archivo 'borrado'.