Como descifrar ficheros de un Ramsonware que no sé cual puede ser

Iniciado por Superplay, 31 Julio 2019, 15:48 PM

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario

Superplay

31 Julio 2019, 15:48 PM
Buenas,

Ayer el ordenador iba genial y esta mañana me encuentro el servidor de la empresa infectado con un Ransomware que encima ha cifrado las copias de seguridad y no tengo manera de saber cual es. El texto de rescate es este:

CitarHello. Your files have been encrypted.

For help, write to this e-mail: jilyjily@torbox3uiot6wchz.onion
You need to follow the following instructions:

a) Download and install TOR browser: hxxps://www.torproject.org/download/download-easy.html.en
b) From the TOR browser, follow the link: torbox3uiot6wchz.onion
c) Register your e-mail (Sign Up)
d) Write us on e-mail: kaufman@torbox3uiot6wchz.onion

Attach to the letter 1-2 files (no more than 3 MB) and your personal key.


ATTENTION: e-mail (jilyjily@torbox3uiot6wchz.onion) accepts emails, only with e-mail registered in the TOR browser at torbox3uiot6wchz.onion

Your personal key:

Y los ficheros los cifra poniendo ".qp@readme.txt.fftn" en todos ellos... He probado herramientas de esas que les das el mensaje de rescate y un archivo y te dicen cuál es... ¡y ninguna sabe cuál es!

Estoy desesperado, yo con recuperar un archivo que es la copia de seguridad del programa me sobra... No necesito recuperar todos. Si pagando sirviese para algo... Pero sé que no.

Ayuda por favor... si necesitáis imágenes os envío :S

Muchas gracias.

Un saludo.


"Nací siendo un virus" By Windows.
Este mensaje no es por ofender, yo uso Windows también, simplemente... es broma ;)

cpu2

#1
31 Julio 2019, 20:01 PM
Hola

Podrias subir un archivo cifrado, para poder mirarlo? Pero no quiero ser pesimista pero estas cosas siempre terminan mal. No tenais las copias de seguridad en un dispositivo externo?

Saludos.

Superplay

#2
11 Agosto 2019, 21:27 PM
Buenas,

Siento no haber respondido antes, me quitaron todas las esperanzas y olvidé este foro. Aún así se solucionó...

Lo solucioné de la peor manera posible para recuperar los datos... Aunque la única y con mucha potra diría yo.

Tenía un NASS pero el informático lo tenía descuidado desde marzo del año pasado y le echaba la culpa a no haber "actualizado el antivirus" y yo sinceramente dudo mucho que el antivirus lo hubiera evitado, con un cojón de puertos abiertos, copias de seguridad "locales" sin particiones ocultas... Se le dijo lo del NASS y dijo que las copias de seguridad y tal se encargaba el empleado que trabajaba allí (que se fue en 2017...)... y eso que era el informático de mantenimiento... De mantenerle, el bolsillo, porque se rompía un equipo y nunca merecía "arreglarlo", siempre uno nuevo... Tendría que ser yo el encargado quizás y no el informático... Pero hasta mis padres dicen que no puedo llevarlo yo todo :(

Parece que el nuevo informático lo ha puesto mejor todo...

Si quieres un archivo cifrado (el que usé para hacer la denuncia en comisaría) y el readme, te lo puedo enviar e incluso lo que me paso el c***** para desencriptarlo por si puedes ver como funciona... Todo lo que sea por ayudar a los pobres afectados.

Muchas gracias por tu respuesta :)


"Nací siendo un virus" By Windows.
Este mensaje no es por ofender, yo uso Windows también, simplemente... es broma ;)

@XSStringManolo

#3
11 Agosto 2019, 21:41 PM
Cómo lo solucionaste? Pagando? Scamm Bait?

EFEX

#4
11 Agosto 2019, 22:36 PM
Una variante de YYTO. Parece ser que no existen solucion aun.
GITHUB 

cpu2

#5
13 Agosto 2019, 11:06 AM
Hola

Podrías subir el archivo públicamente, pero si es como dice el compañero de arriba y es una variante, lo más seguro es que tenga un cifrado como AES, lo ideal sería "cazar" el ramsonware y analizarlo para ver cómo crea las llaves etc...

Un saludo.

@XSStringManolo

#6
13 Agosto 2019, 14:23 PM
Este tipo de malware suele generar una clave única en su servidor para cada infección. Así los infectados no pueden compartir claves y desinfectarse todos con la misma clave. Lo normal es que lo haga un algoritmo aleatorio y se guarde una copia de la clave con el ID del equipo infectado. Pueden tenerlo todo automatizado para que se genere la clave,  se guarde en un correo o una base de datos, etc. Puedes infectarte de nuevo en un equipo de pruebas y analizar el tráfico para ver desde donde se descarga la clave. Igual te lleva a algún sitio si está montado de forma cutre, pero no suele ser frecuente.

cpu2

#7
13 Agosto 2019, 16:04 PM
Eso es a lo que me refería de una manera muy resumida, se tendría que encontrar el ramsonware y analizar, algoritmo de llaves, conexiones etc... o romper AES.

Si es una empresa seguramente el culpable sea un correo, todo de pende del usuario, y de lo que quiera compartir, lo mejor de todo es que a podido solucionar el problema.

Saludos.

roxylopez

#8
15 Agosto 2019, 21:24 PM
hola amigos tengo un serio problema se me infecto la pc con RANSOMWARE estos se llaman NASOH y  KRUSOP, alguien sabe como descriptar los archivos? me ha pasado hace dos dias , he formateado el disco C:  y los discos de respaldo han cambiado sus extensiones. Hay alguien que le haya pasado esto? Desde ya muchas gracias.

MCKSys Argentina

#9
15 Agosto 2019, 21:53 PM
@roxylopez

Si bien este tema trata sobre ransomware, no parece ser el mismo que el tuyo.

Por favor, crea un tema nuevo explicando tu caso, asi se evita desviar este tema.

Saludos!

PD: Te invito a ler las reglas generales del foro: https://foro.elhacker.net/reglas.htm
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."

Reglas del foro - FAQ Ing. Inversa - Buscador del foro
Imprimir
Ir Arriba Páginas1
Acciones del Usuario