elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Introducción a la Factorización De Semiprimos (RSA)


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Seguridad (Moderador: r32)
| | |-+  [AYUDA!] Extrayendo ficheros office de una copia backup - Veeam Backup
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: [AYUDA!] Extrayendo ficheros office de una copia backup - Veeam Backup  (Leído 3,569 veces)
bulkdark

Desconectado Desconectado

Mensajes: 2


Ver Perfil
[AYUDA!] Extrayendo ficheros office de una copia backup - Veeam Backup
« en: 28 Septiembre 2021, 09:39 am »

Hola, muy buenas tardes.

Soy Ingeniero de Seguridad en una empresa dedicada a la ciberseguridad, y nos ha llegado un cliente víctima de un ransomware en su empresa, cuyos ficheros han sido cifrados con una extensión .lockbit. Se ha optado por restablecer los equipos mediante unas copias de seguridad antiguas hechas con Veeam Backup, las cuales el cliente no tiene las claves de descifrado, por lo que se tuvo que descartar esa opción también.

Sin embargo, nos ha dejado la copia de seguridad de 2.8TB y nos ha pedido el favor de que intentemos extraer lo que podamos de allí.

Estoy abriendo el fichero *.vbk con un editor hexadecimal (HxD) y estoy recorriendo byte a byte buscando tanto la cabecera como la cola de ficheros del tipo Office y reconstruyéndolos a mano. Sin obtener ningún resultado hasta el momento.

Mi duda es la siguiente:

Alguien podría decirme si existe alguna metodología o método que pueda seguir para ubicar y reconstruir estos ficheros? O simplemente es perder el tiempo intentar recuperar algo de allí?

Saludos, y muchas gracias de antemano!


En línea

Randomize
Colaborador
***
Desconectado Desconectado

Mensajes: 20.599


Beautiful Day


Ver Perfil
Re: [AYUDA!] Extrayendo ficheros office de una copia backup - Veeam Backup
« Respuesta #1 en: 28 Septiembre 2021, 11:23 am »

Sin la clave de cifrado es prácticamente imposible.


Siento darte malas noticias, un saludo.


   


En línea

Serapis
Colaborador
***
Desconectado Desconectado

Mensajes: 3.391


Ver Perfil
Re: [AYUDA!] Extrayendo ficheros office de una copia backup - Veeam Backup
« Respuesta #2 en: 28 Septiembre 2021, 19:26 pm »

Busca en el foro por hilos de 'AIO elhackernet 2021' que son colecciones de herramientas anuales recogidas y presentadas en el foro, para cuestiones de seguridad. Entre dichas herramientas suele haber cada año alguno sobre ramsonware, aunque será difícil que logre acertar con el caso puntualmente, pero por probar... quiero decir un 'ransomwarer' profesional, no va a atacar a un 'mindundi' (digámoslo así), luego cabe la posibilidad de que se trate de un programa o versión antigua ya recuperable.

...bueno te busco el hilo:
https://foro.elhacker.net/buscador-t508063.0.html
https://foro.elhacker.net/seguridad/aio_elhackernet_2021_compilacion_herramientas_analisis_y_desinfeccion_malware-t508063.0.html
En línea

EdePC
Moderador Global
***
Desconectado Desconectado

Mensajes: 2.156



Ver Perfil
Re: [AYUDA!] Extrayendo ficheros office de una copia backup - Veeam Backup
« Respuesta #3 en: 28 Septiembre 2021, 20:54 pm »

Ya se te contestó aquí: https://foro.elhacker.net/seguridad/extrayendo_ficheros_office_de_una_copia_backup_veeam_backup_ayuda-t512088.0.html;msg2249811#msg2249811

Las contraseñas y cifrado están precisamente para proteger la información, sin la contraseña correcta no vas ha recuperar nada, tienes que buscar como recuperar la contraseña leyendo los links que puse en el post anterior o buscar una forma de atacar el cifrado con fuerza bruta dirigida con lo que recuerde tu cliente.
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines