elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: AIO elhacker.NET 2021 Compilación herramientas análisis y desinfección malware


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Seguridad (Moderador: r32)
| | |-+  un ransomware un poco especial
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: 1 [2] Ir Abajo Respuesta Imprimir
Autor Tema: un ransomware un poco especial  (Leído 7,313 veces)
.:UND3R:.
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.118


Ingeniería inversa / MASM


Ver Perfil WWW
Re: un ransomware un poco especial
« Respuesta #10 en: 23 Enero 2015, 16:09 pm »

a ver a ver que pelea jajaja... Ahora mi teoría

1.- ¿Quien cifró los archivos?
R: El malware

2.- ¿Donde se encuentra el malware?
R: En un ejecutable que en su momento estuvo en memoria.

3.- ¿Cómo cifró el archivo?
R: Con una llave

4.- ¿Donde está la llave?
R: En el ejecuatble

Se podría analizar el malware para detectar la clave que buscas
¿Funcionaría?


En línea


Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)
Gh057


Desconectado Desconectado

Mensajes: 1.190



Ver Perfil
Re: un ransomware un poco especial
« Respuesta #11 en: 23 Enero 2015, 16:20 pm »

Bingo! así es .:UND3R:., y estoy seguro que en los primeros bytes debe figurar la clave... el tema que es la pública XD
(Y por ello no lo descifras luego con el mismo ransom, te envían el decrypter y la respectiva clave (que sirve solo para esa pública, no puedes usarla con otra para recuperar info de otra infección)

(off: aclaro que soy un niño al lado de ustedes .:UND3R:. seguramente esté terriblemente equivocado. Pero si el malware es realmente bueno, debería funcionar así supongo... jajajaaa este finde me pongo con ello, estoy en la oficina tapado de trabajo, se me enfrió el mate, pero el tema es muy interesante! XD)


En línea

4 d0nd3 1r4 3l gh057? l4 r3d 3s 74n v4s74 3 1nf1n1t4...
el-brujo
ehn
***
Desconectado Desconectado

Mensajes: 20.191


La libertad no se suplica, se conquista


Ver Perfil WWW
Re: un ransomware un poco especial
« Respuesta #12 en: 23 Enero 2015, 17:12 pm »

Con la llave pública no harás nada. lo que quiere conseguir es la llave privada, pero eso no es posible.

CryptoWall y CryptoLocker no son ninguna tontería de ransomware....

Por ejemplo las primeras versiones de   CryptoLocker y CryptoWall  los ficheros primero fueron cifrados con  AES-256 con CTR (Counter) que consiguió ser descifrado y ahora son cifrados con AES-256-CBC (Cipher-block chaining).

Si tienes suerte y es de las primeras verssiones se puede con TorentUnlocker:

http://download.bleepingcomputer.com/Nathan/TorrentUnlocker.exe

Explicación:
http://www.bleepingcomputer.com/forums/t/547708/torrentlocker-ransomware-cracked-and-decrypter-has-been-made/

Citar
¿Pagar el rescate en realidad descifra los archivos?

Es un salto de fe. En este momento la infección es demasiado nueva para saber si el pago del rescate es suficiente pero, por experiencias previas, este procedimiento suele dar buen resultado porque los delincuentes "se juegan su reputación" y saben que si no responden, es probable que su negocio de secuestros deje de rendir frutos. Obvio, esto puede no cumplirse siempre. El que decide pagar lo hace bajo su propio riesgo.


¿Cómo restaurar archivos cifrados por CTB-Locker?


El primer método es el obvio: pagar el rescate, esperar que los desarrolladores del malware envíen la contraseña de cifrado (leer el punto anterior) y tener mucha fe.

Ahora, si se ha decidido no pagar el rescate hay algunos  métodos que se puede seguir para tratar de restaurar los archivos cifrados.

Método 1: copias de seguridad

El primer y mejor método para restaurar los datos es una copia de seguridad reciente. Si no tienes backup ¿qué estas esperando para hacerlo?

Método 2: Software de recuperación de archivos

Parece que cuando CTB-Locker cifra un archivo, primero hace una copia del mismo, codifica la copia y luego elimina el original. Debido a este procedimiento se puede usar un software de recuperación de archivos como R-Studio o Photorec para intentar recuperar algunos de los archivos originales. Es importante tener en cuenta que cuanto más se utilice la computadora, más difícil será recuperar los archivos eliminados sin cifrar.

Método 3: Instantáneas de volumen de Windows (Shadow Volume Copies)

Como último recurso, puede tratar de restaurar los archivos a través de las instantáneas de volumen automática de Windows, siempre y cuando las mismas se encuentren activadas en el sistema operativo. Desafortunadamente, el malware intentará eliminar las instantáneas, pero a veces no logra hacerlo y esta copia puede utilizarse para restaurar los archivos.


Fuente:
http://blog.segu-info.com.ar/2015/01/guia-sobre-ctb-locker-y-ii.html

Referencias:

CryptoWall 3.0
http://malware.dontneedcoffee.com/2015/01/guess-whos-back-again-cryptowall-30.html

CryptoLocker nuevas variantes CTB-Locker aka Citroni,
http://blog.elhacker.net/2015/01/nuevas-variantes-del-ransomware-cryptolocker-descubiertas.html

TorrentLocker
http://blog.elhacker.net/2014/12/analisis-del-ransomware-torrentlocker.html
« Última modificación: 23 Enero 2015, 17:27 pm por el-brujo » En línea

vk496

Desconectado Desconectado

Mensajes: 205


Ver Perfil
Re: un ransomware un poco especial
« Respuesta #13 en: 23 Enero 2015, 17:49 pm »

Si el malware contiene la llave pública... Supongo que siempre es la misma llave pública... Por lo que siempre va a ser la misma llave privada... No?

Salu2
En línea

Gh057


Desconectado Desconectado

Mensajes: 1.190



Ver Perfil
Re: un ransomware un poco especial
« Respuesta #14 en: 23 Enero 2015, 18:06 pm »

No es la misma clave vk496... ni pública, ni la privada. Se generan pares de llaves diferentes para cada host.

Bueno, coincide entonces lo que planteaba de como funcionaba el ransom, el-brujo...
lo malo es que superó mis expectativas de nivel de maldad XD (lo de borrar los puntos anteriores, eso si que es de malévolo... con respecto a la imágenes, bueno pensaba con alguna aplicación de forensis hacer una imagen del disco, y buscar el estado anterior... como se ha cifrado, hay una escritura, por ende se podría buscar los bloques borrados por el indexado anterior. Aunque bueno sería sobre recuperar la información y no encontrarle la vuelta al malware como quería SOFTEL)
En línea

4 d0nd3 1r4 3l gh057? l4 r3d 3s 74n v4s74 3 1nf1n1t4...
engel lex
Moderador Global
***
Desconectado Desconectado

Mensajes: 15.357



Ver Perfil
Re: un ransomware un poco especial
« Respuesta #15 en: 23 Enero 2015, 18:55 pm »

ahora pregunto... teniendo el archivo (o varios) que sean exactamente iguales al original, no se puede comparar con el cifrado para obtener algo? no era un "vulnerabilidad" de AES?
En línea

El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.
vk496

Desconectado Desconectado

Mensajes: 205


Ver Perfil
Re: Re: un ransomware un poco especial
« Respuesta #16 en: 23 Enero 2015, 21:52 pm »

ahora pregunto... teniendo el archivo (o varios) que sean exactamente iguales al original, no se puede comparar con el cifrado para obtener algo? no era un "vulnerabilidad" de AES?
KPA... Pero no estoy seguro que se podía hacer con AES

Salu2
En línea

r32
Moderador
***
Desconectado Desconectado

Mensajes: 1.243



Ver Perfil WWW
Re: un ransomware un poco especial
« Respuesta #17 en: 25 Enero 2015, 02:18 am »

Para conseguir esa clave tendrías que hackear el server, a mi forma de ver...
Puedes probar de subirles varios archivos cifrados a FireEye.
Te dejo el enlace para que les subas alguna, estos tienen un lab preparado para este tipo de casos:

https:www.decryptcryptolocker.com


Saludos.
En línea

Shout

Desconectado Desconectado

Mensajes: 191


Acid


Ver Perfil
Re: un ransomware un poco especial
« Respuesta #18 en: 25 Enero 2015, 07:15 am »

Como medida anti-cryptolock: ¿no se podría escribir un driver que falsee las modificaciones de los archivos, e instalarlo en los ordenadores con información sensible?

Así, cuando se quiera modificar algo (de verdad), se usa una contraseña (o una confirmación del usuario bajo ring0), y listo.

Todo lo demás queda guardado en un array guardado sólo en la RAM (para deshacer los cambios al reiniciar), y se devuelven resultados falsos al intentar acceder a un archivo 'borrado'.
En línea

I'll bring you death and pestilence, I'll bring you down on my own
Páginas: 1 [2] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
hacer un mataprocesos un poco especial
Programación Visual Basic
KXC 2 1,211 Último mensaje 28 Febrero 2006, 00:25 am
por Kizar
Ataque MitM... un poco especial... ayuda
Hacking Básico
Marion22 7 3,766 Último mensaje 3 Marzo 2010, 18:49 pm
por Marion22
Poco a poco voy progresando en el mundo del hacking.
Hacking Wireless
alpha015 8 4,523 Último mensaje 22 Septiembre 2011, 18:45 pm
por alpha015
Necesito crear un diccionario un poco especial . ( alguien me ayuda )
Hacking Wireless
Siscu.cab 4 2,197 Último mensaje 20 Agosto 2012, 16:43 pm
por Siscu.cab
Printf un poco especial en lenguaje C « 1 2 »
Programación C/C++
DanielPy 10 3,431 Último mensaje 12 Noviembre 2013, 18:23 pm
por DanielPy
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines