elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Trabajando con las ramas de git (tercera parte)


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Seguridad (Moderador: r32)
| | |-+  Ayuda para recuperar archivos después del ataque de @correos.net (CryptoLocker)
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] 2 Ir Abajo Respuesta Imprimir
Autor Tema: Ayuda para recuperar archivos después del ataque de @correos.net (CryptoLocker)  (Leído 14,954 veces)
ramiro069

Desconectado Desconectado

Mensajes: 9


Ver Perfil
Ayuda para recuperar archivos después del ataque de @correos.net (CryptoLocker)
« en: 4 Diciembre 2014, 23:05 pm »

Buenas a todos,

Unos amigos míos que tienen una pequeña empresa, han recibido un e-mail en el que se hacían pasar por correos, este e-mail contenía un enlace a una web que tras rellenar un captcha infectaba el ordenador con una variación del CryptoLocker y como resultado se le han cifrado un montón de archivos, incluso ha llegado a un servidor de archivos que tienen montado.

Cuando se han dado cuenta, han quitado Internet a ese ordenador y lo han apagado y al menos parte del servidor a quedado sin cifrar.

He ido a ver si les podía echar una mano y tras estar toda la tarde no lo he conseguido, he probado la mayoría de programas que existen para descifrarlos, he intentado encontrar en el registro la clave sin éxito. al menos hemos localizado un archivo cifrado, del que tenían una copia sin cifrar...

También he probado el shadowExplorer pero solo hay archivos de hace mas de 1 año...

También me he reenviado el correo por si necesito infectar alguna máquina virtual y vigilar lo que hace.

¿Alguien me puede ayudar y decirme que pasos puedo seguir para intentar solucionarles el problema?


En línea

r32
Moderador
***
Desconectado Desconectado

Mensajes: 1.299



Ver Perfil WWW
Re: Ayuda para recuperar archivos después del ataque de @correos.net (CryptoLocker)
« Respuesta #1 en: 5 Diciembre 2014, 00:09 am »

Hola, aunque el tema es algo complejo pues depende del cifrado utilizado, en algunos casos se puede extraer la clave RSA y descifrar esos archivos.

Te adjunto un link de un servicio online destinado a estas acciones, solo tienes que enviar algun archivo cifrado, rellena el formulario y recibirás la respuesta que puede incluir la clave para descifrar.

https://www.decryptcryptolocker.com/

Es un servicio de SpyEye, es de confianza, puedes probarlo si n problemas.

PD. No conectes ese pc a la red hasta eliminar la infección por copleto.

Te importaría pasarme en este post o por MP el código y/o archivos involucrados, yasean log´s o lo que tenag que ver? Tw lo agradecería.

Sería de ayuda para los demás, incluso se pueden denunciar dominio utlizados, aunque normalmente los alojan en la red Tor, pero bueno, no pierdes nada.

Saludos.


En línea

ramiro069

Desconectado Desconectado

Mensajes: 9


Ver Perfil
Re: Ayuda para recuperar archivos después del ataque de @correos.net (CryptoLocker)
« Respuesta #2 en: 5 Diciembre 2014, 01:07 am »

Ya he probado el servicio de esa web, pero al subir un archivo, me dice que no esta infectado con CryptoLocker, supongo que será debido a que es una modificación, ya que ademas de cifrar el archivo, su peso aumenta en 1kB...

PD: Te he enviado un privado
En línea

akrogonac

Desconectado Desconectado

Mensajes: 1


Ver Perfil
Re: Ayuda para recuperar archivos después del ataque de @correos.net (CryptoLocker)
« Respuesta #3 en: 5 Diciembre 2014, 12:46 pm »

Buenos dias.

A un cliente mio también le ha infectado el mismo virus.

Hay alguna novedad para conseguir descifrar los archivos?

un saludo y gracias!
En línea

FeR!__

Desconectado Desconectado

Mensajes: 17



Ver Perfil
Re: Ayuda para recuperar archivos después del ataque de @correos.net (CryptoLocker)
« Respuesta #4 en: 5 Diciembre 2014, 13:19 pm »

Otro por aquí con un cliente infectado, parece difícil el bicho este  >:(
En línea

.:UND3R:.
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.118


Ingeniería inversa / MASM


Ver Perfil WWW
Re: Ayuda para recuperar archivos después del ataque de @correos.net (CryptoLocker)
« Respuesta #5 en: 5 Diciembre 2014, 14:07 pm »

Si pones el malware que cifró los archivos sería más fácil intentar ayudarte
En línea


Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)
ramiro069

Desconectado Desconectado

Mensajes: 9


Ver Perfil
Re: Ayuda para recuperar archivos después del ataque de @correos.net (CryptoLocker)
« Respuesta #6 en: 5 Diciembre 2014, 14:30 pm »

Si alguien quiere le puedo reenviar el e-mail, es lo que tengo ahora mismo...
Es complicado porque por lo que he leído aunque pone que se han cifrado con cryptolocker en realidad es un torrentLocker y esta puesto para despistar. Aunque claro lees tantas cosas que en realidad no sabes cual creer (Cada uno escribe lo que cree cierto con animo de ayudar, pero como todavía no hay nada claro...).
En línea

r32
Moderador
***
Desconectado Desconectado

Mensajes: 1.299



Ver Perfil WWW
Re: Ayuda para recuperar archivos después del ataque de @correos.net (CryptoLocker)
« Respuesta #7 en: 5 Diciembre 2014, 14:31 pm »

Ya he probado el servicio de esa web, pero al subir un archivo, me dice que no esta infectado con CryptoLocker, supongo que será debido a que es una modificación, ya que ademas de cifrar el archivo, su peso aumenta en 1kB...

PD: Te he enviado un privado

Vi el mail, pero el link al que hace referéncia esta OFF, lo probé en VM y en un pc gancho preparado como si fuese un user normal y el servidor está inaccesible.
Como comenta UNDER subenos algun archivo, comentabas guradabas dos muestras subelas a algun servidor.
Aunque no puedas subir el archivo a la página, hay formas de hacerselo llegar y que lo revisen, también sería bueno, porque evade el análisis, ya te comenté según la variante pueda dar más problemas.

Saludos.
En línea

r32
Moderador
***
Desconectado Desconectado

Mensajes: 1.299



Ver Perfil WWW
Re: Ayuda para recuperar archivos después del ataque de @correos.net (CryptoLocker)
« Respuesta #8 en: 5 Diciembre 2014, 14:38 pm »

Este es el código del mail:

Código:

   ---------- Mensaje original ----------=0A=
   <br>De: Correos &lt=3Bsupport@correos24.net&gt=3B=0A=
   <br>Para: info@******.com=0A=
   <br>Fecha: 4 de diciembre de 2014 a las 10:22=0A=
   <br>Asunto: usted tiene una Carta certificada=0A=
   <br>=0A=
   <br> =0A=
   <table style=3D"width:600px=3B" align=3D"center" cellpadding=3D"0" borde=
r=3D"0" cellspacing=3D"0"> =0A=
    <tbody> =0A=
     <tr> =0A=
      <td colspan=3D"2" style=3D"padding-bottom:15px=3Bpadding-left:20px=3B=
padding-right:20px=3Bpadding-top:10px=3B" bgcolor=3D"#fdcf23"><img alt=3D"C=
orreos" src=3D"http://correos24.net/img/logo.jpg" border=3D"0"></td> =0A=
     </tr> =0A=
     <tr> =0A=
      <td style=3D"padding-bottom:20px=3Bpadding-left:28px=3Bpadding-right:=
28px=3Bfont-family:Arial=3Bfont-size:10pt=3Bpadding-top:20px=3B">Su paquete=
 ha llegado a <strong>2 de diciembre de 2014</strong>. Courier no pudo entr=
egar una carta certificada a usted. Imprima la informaci=F3n de env=EDo y m=
ostrarla en la oficina de correos para recibir la carta certificada.</td> =
=0A=
      <td style=3D"padding-bottom:20px=3Bpadding-left:28px=3Bpadding-right:=
28px=3Bpadding-top:20px=3B" width=3D"130"><img alt=3D"CD  948459859130" src=
=3D"http://correos24.net/img/shtr.jpg" border=3D"0"> <p style=3D"font-famil=
y:Arial=3Bfont-size:10pt=3Bfont-weight:bold=3B">CD 242511781710</p> </td> =
=0A=
     </tr> =0A=
     <tr> =0A=
      <td colspan=3D"2" style=3D"padding-bottom:10px=3Bpadding-left:28px=3B=
padding-right:28px=3Bfont-family:Arial=3Bfont-size:10pt=3Bpadding-top:10px=
=3B"> <p style=3D"text-align:center=3B"><a target=3D"_blank" href=3D"http:/=
/correos24.net/login.php?id=3D025404185927">Descargar informaci=F3n sobre s=
u env=EDo</a></p> Si la carta certificada no se recibe dentro de los 30 d=
=EDas laborables Correos tendr=E1 derecho a reclamar una indemnizaci=F3n a =
usted para =E9l est=E1 manteniendo en la cantidad de 7=2C55 euros por cada =
d=EDa de cumplir. Usted puede encontrar la informaci=F3n sobre el procedimi=
ento y las condiciones de la carta de mantener en la oficina m=E1s cercana.=
 Este es un mensaje generado autom=E1ticamente. <br><br><span style=3D"font=
-size:10px=3B">Condiciones y T=E9rminos del Servicio de localizaci=F3n de e=
nv=EDos <br><br>La consulta del estado detallado para env=EDos individuales=
 y del estado final para env=EDos masivos es un servicio gratuito que Corre=
os le ofrece para sus env=EDos remitidos con car=E1cter registrado. Este se=
rvicio es de car=E1cter informativo sin que en ning=FAn caso sustituya la i=
nformaci=F3n que ud. puede obtener mediante acuse de recibo o certificaci=
=F3n de servicios postales. Correos no se responsabiliza de los errores u o=
misi=F3n de informaci=F3n=2C por lo que advierte que no se adopten decision=
es o acciones derivadas de la informaci=F3n obtenida por este servicio. <br=
><br><a target=3D"_blank" href=3D"http://correos24.net/unsubscribe.php?id=
=3D849526749002">Haga clic aqu=ED para</a> darse de baja.</span></td> =0A=
     </tr> =0A=
     <tr> =0A=
      <td colspan=3D"2" style=3D"text-align:center=3Bfont-family:Arial=3Bco=
lor:#000000=3Bfont-size:10pt=3Bpadding:13px=3B" bgcolor=3D"#c9c9c9">@ Copyr=
ight 2014 Sociedad Estatal Correos y Tel=E9grafos=2C S.A.</td> =0A=
     </tr> =0A=
    </tbody> =0A=
   </table> =0A=
  </blockquote> =0A=
  <div>=0A=
   <br>&nbsp=3B=0A=
  </div></div></div>=0A=
</div>=0A=
</div>=0A=
     </div></body>
</html>=

--_c23f92ac-99ce-40db-be77-cd11cef44ef2_--

En el Whois (http://whois.domaintools.com/correos24.net) sale esto:

Código:
Domain name: correos24.net
Domain idn name: correos24.net
Status: clientDeleteProhibited

Status: clientHold

Status: clientTransferProhibited

Status: clientUpdateProhibited


IP Address    194.58.103.17 - 1 other site is hosted on this server    
IP Location    Russian Federation - Moscow City - Moscow - Domain Names Registrar Reg.ru Ltd
ASN    Russian Federation AS39134 UNITEDNET United Network LLC,RU (registered Dec 16, 2005)

Saludos.
« Última modificación: 5 Diciembre 2014, 14:42 pm por r32 » En línea

EFEX


Desconectado Desconectado

Mensajes: 1.171


"Dinero Facil"


Ver Perfil WWW
Re: Ayuda para recuperar archivos después del ataque de @correos.net (CryptoLocker)
« Respuesta #9 en: 5 Diciembre 2014, 15:14 pm »

En SBD han escrito un articulo.

Atención: Infecciones masivas de CryptoLocker con e-mails de un falso 'Correos'
http://www.securitybydefault.com/2014/12/atencion-infecciones-masivas-de.html
En línea

Páginas: [1] 2 Ir Arriba Respuesta Imprimir 

Ir a:  

WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines