Autor
|
Tema: Ayuda para recuperar archivos después del ataque de @correos.net (CryptoLocker) (Leído 14,869 veces)
|
ramiro069
Desconectado
Mensajes: 9
|
Buenas a todos,
Unos amigos míos que tienen una pequeña empresa, han recibido un e-mail en el que se hacían pasar por correos, este e-mail contenía un enlace a una web que tras rellenar un captcha infectaba el ordenador con una variación del CryptoLocker y como resultado se le han cifrado un montón de archivos, incluso ha llegado a un servidor de archivos que tienen montado.
Cuando se han dado cuenta, han quitado Internet a ese ordenador y lo han apagado y al menos parte del servidor a quedado sin cifrar.
He ido a ver si les podía echar una mano y tras estar toda la tarde no lo he conseguido, he probado la mayoría de programas que existen para descifrarlos, he intentado encontrar en el registro la clave sin éxito. al menos hemos localizado un archivo cifrado, del que tenían una copia sin cifrar...
También he probado el shadowExplorer pero solo hay archivos de hace mas de 1 año...
También me he reenviado el correo por si necesito infectar alguna máquina virtual y vigilar lo que hace.
¿Alguien me puede ayudar y decirme que pasos puedo seguir para intentar solucionarles el problema?
|
|
|
En línea
|
|
|
|
r32
|
Hola, aunque el tema es algo complejo pues depende del cifrado utilizado, en algunos casos se puede extraer la clave RSA y descifrar esos archivos. Te adjunto un link de un servicio online destinado a estas acciones, solo tienes que enviar algun archivo cifrado, rellena el formulario y recibirás la respuesta que puede incluir la clave para descifrar. https://www.decryptcryptolocker.com/Es un servicio de SpyEye, es de confianza, puedes probarlo si n problemas. PD. No conectes ese pc a la red hasta eliminar la infección por copleto. Te importaría pasarme en este post o por MP el código y/o archivos involucrados, yasean log´s o lo que tenag que ver? Tw lo agradecería. Sería de ayuda para los demás, incluso se pueden denunciar dominio utlizados, aunque normalmente los alojan en la red Tor, pero bueno, no pierdes nada. Saludos.
|
|
|
En línea
|
|
|
|
ramiro069
Desconectado
Mensajes: 9
|
Ya he probado el servicio de esa web, pero al subir un archivo, me dice que no esta infectado con CryptoLocker, supongo que será debido a que es una modificación, ya que ademas de cifrar el archivo, su peso aumenta en 1kB...
PD: Te he enviado un privado
|
|
|
En línea
|
|
|
|
akrogonac
Desconectado
Mensajes: 1
|
Buenos dias.
A un cliente mio también le ha infectado el mismo virus.
Hay alguna novedad para conseguir descifrar los archivos?
un saludo y gracias!
|
|
|
En línea
|
|
|
|
FeR!__
Desconectado
Mensajes: 17
|
Otro por aquí con un cliente infectado, parece difícil el bicho este
|
|
|
En línea
|
|
|
|
.:UND3R:.
|
Si pones el malware que cifró los archivos sería más fácil intentar ayudarte
|
|
|
En línea
|
Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)
|
|
|
ramiro069
Desconectado
Mensajes: 9
|
Si alguien quiere le puedo reenviar el e-mail, es lo que tengo ahora mismo... Es complicado porque por lo que he leído aunque pone que se han cifrado con cryptolocker en realidad es un torrentLocker y esta puesto para despistar. Aunque claro lees tantas cosas que en realidad no sabes cual creer (Cada uno escribe lo que cree cierto con animo de ayudar, pero como todavía no hay nada claro...).
|
|
|
En línea
|
|
|
|
r32
|
Ya he probado el servicio de esa web, pero al subir un archivo, me dice que no esta infectado con CryptoLocker, supongo que será debido a que es una modificación, ya que ademas de cifrar el archivo, su peso aumenta en 1kB...
PD: Te he enviado un privado
Vi el mail, pero el link al que hace referéncia esta OFF, lo probé en VM y en un pc gancho preparado como si fuese un user normal y el servidor está inaccesible. Como comenta UNDER subenos algun archivo, comentabas guradabas dos muestras subelas a algun servidor. Aunque no puedas subir el archivo a la página, hay formas de hacerselo llegar y que lo revisen, también sería bueno, porque evade el análisis, ya te comenté según la variante pueda dar más problemas. Saludos.
|
|
|
En línea
|
|
|
|
r32
|
Este es el código del mail: ---------- Mensaje original ----------=0A= <br>De: Correos <=3Bsupport@correos24.net>=3B=0A= <br>Para: info@******.com=0A= <br>Fecha: 4 de diciembre de 2014 a las 10:22=0A= <br>Asunto: usted tiene una Carta certificada=0A= <br>=0A= <br> =0A= <table style=3D"width:600px=3B" align=3D"center" cellpadding=3D"0" borde= r=3D"0" cellspacing=3D"0"> =0A= <tbody> =0A= <tr> =0A= <td colspan=3D"2" style=3D"padding-bottom:15px=3Bpadding-left:20px=3B= padding-right:20px=3Bpadding-top:10px=3B" bgcolor=3D"#fdcf23"><img alt=3D"C= orreos" src=3D"http://correos24.net/img/logo.jpg" border=3D"0"></td> =0A= </tr> =0A= <tr> =0A= <td style=3D"padding-bottom:20px=3Bpadding-left:28px=3Bpadding-right:= 28px=3Bfont-family:Arial=3Bfont-size:10pt=3Bpadding-top:20px=3B">Su paquete= ha llegado a <strong>2 de diciembre de 2014</strong>. Courier no pudo entr= egar una carta certificada a usted. Imprima la informaci=F3n de env=EDo y m= ostrarla en la oficina de correos para recibir la carta certificada.</td> = =0A= <td style=3D"padding-bottom:20px=3Bpadding-left:28px=3Bpadding-right:= 28px=3Bpadding-top:20px=3B" width=3D"130"><img alt=3D"CD 948459859130" src= =3D"http://correos24.net/img/shtr.jpg" border=3D"0"> <p style=3D"font-famil= y:Arial=3Bfont-size:10pt=3Bfont-weight:bold=3B">CD 242511781710</p> </td> = =0A= </tr> =0A= <tr> =0A= <td colspan=3D"2" style=3D"padding-bottom:10px=3Bpadding-left:28px=3B= padding-right:28px=3Bfont-family:Arial=3Bfont-size:10pt=3Bpadding-top:10px= =3B"> <p style=3D"text-align:center=3B"><a target=3D"_blank" href=3D"http:/= /correos24.net/login.php?id=3D025404185927">Descargar informaci=F3n sobre s= u env=EDo</a></p> Si la carta certificada no se recibe dentro de los 30 d= =EDas laborables Correos tendr=E1 derecho a reclamar una indemnizaci=F3n a = usted para =E9l est=E1 manteniendo en la cantidad de 7=2C55 euros por cada = d=EDa de cumplir. Usted puede encontrar la informaci=F3n sobre el procedimi= ento y las condiciones de la carta de mantener en la oficina m=E1s cercana.= Este es un mensaje generado autom=E1ticamente. <br><br><span style=3D"font= -size:10px=3B">Condiciones y T=E9rminos del Servicio de localizaci=F3n de e= nv=EDos <br><br>La consulta del estado detallado para env=EDos individuales= y del estado final para env=EDos masivos es un servicio gratuito que Corre= os le ofrece para sus env=EDos remitidos con car=E1cter registrado. Este se= rvicio es de car=E1cter informativo sin que en ning=FAn caso sustituya la i= nformaci=F3n que ud. puede obtener mediante acuse de recibo o certificaci= =F3n de servicios postales. Correos no se responsabiliza de los errores u o= misi=F3n de informaci=F3n=2C por lo que advierte que no se adopten decision= es o acciones derivadas de la informaci=F3n obtenida por este servicio. <br= ><br><a target=3D"_blank" href=3D"http://correos24.net/unsubscribe.php?id= =3D849526749002">Haga clic aqu=ED para</a> darse de baja.</span></td> =0A= </tr> =0A= <tr> =0A= <td colspan=3D"2" style=3D"text-align:center=3Bfont-family:Arial=3Bco= lor:#000000=3Bfont-size:10pt=3Bpadding:13px=3B" bgcolor=3D"#c9c9c9">@ Copyr= ight 2014 Sociedad Estatal Correos y Tel=E9grafos=2C S.A.</td> =0A= </tr> =0A= </tbody> =0A= </table> =0A= </blockquote> =0A= <div>=0A= <br> =3B=0A= </div></div></div>=0A= </div>=0A= </div>=0A= </div></body> </html>=
--_c23f92ac-99ce-40db-be77-cd11cef44ef2_--
En el Whois ( http://whois.domaintools.com/correos24.net) sale esto: Domain name: correos24.net Domain idn name: correos24.net Status: clientDeleteProhibited
Status: clientHold
Status: clientTransferProhibited
Status: clientUpdateProhibited IP Address 194.58.103.17 - 1 other site is hosted on this server IP Location Russian Federation - Moscow City - Moscow - Domain Names Registrar Reg.ru Ltd ASN Russian Federation AS39134 UNITEDNET United Network LLC,RU (registered Dec 16, 2005) Saludos.
|
|
« Última modificación: 5 Diciembre 2014, 14:42 pm por r32 »
|
En línea
|
|
|
|
|
|
Mensajes similares |
|
Asunto |
Iniciado por |
Respuestas |
Vistas |
Último mensaje |
|
|
Archivos extraños en mi sitio web despues de un ataque
Seguridad
|
gatocano
|
4
|
4,533
|
10 Febrero 2012, 18:43 pm
por gatocano
|
|
|
Restaurar archivos cifrados por CryptoLocker [Ransomware]
Seguridad
|
r32
|
3
|
43,284
|
21 Abril 2015, 19:50 pm
por el-brujo
|
|
|
Urgente!! Necesito ayuda para recuperar archivos memoria Usb!
Dispositivos Móviles (PDA's, Smartphones, Tablets)
|
Sun Shining
|
2
|
2,822
|
2 Diciembre 2013, 02:46 am
por Sun Shining
|
|
|
Cómo defender tus archivos contra CryptoLocker y CryptoWall
Noticias
|
wolfbcn
|
0
|
2,345
|
6 Febrero 2015, 15:21 pm
por wolfbcn
|
|
|
Cómo recuperar archivos perdidos después de actualizar Windows
Noticias
|
wolfbcn
|
0
|
1,401
|
26 Abril 2018, 21:27 pm
por wolfbcn
|
|