Como descifrar ficheros de un Ramsonware que no sé cual puede ser

Iniciado por Superplay, 31 Julio 2019, 15:48 PM

0 Miembros y 1 Visitante están viendo este tema.

Superplay

Buenas,

Ayer el ordenador iba genial y esta mañana me encuentro el servidor de la empresa infectado con un Ransomware que encima ha cifrado las copias de seguridad y no tengo manera de saber cual es. El texto de rescate es este:

CitarHello. Your files have been encrypted.

For help, write to this e-mail: jilyjily@torbox3uiot6wchz.onion
You need to follow the following instructions:

a) Download and install TOR browser: hxxps://www.torproject.org/download/download-easy.html.en
b) From the TOR browser, follow the link: torbox3uiot6wchz.onion
c) Register your e-mail (Sign Up)
d) Write us on e-mail: kaufman@torbox3uiot6wchz.onion

Attach to the letter 1-2 files (no more than 3 MB) and your personal key.


ATTENTION: e-mail (jilyjily@torbox3uiot6wchz.onion) accepts emails, only with e-mail registered in the TOR browser at torbox3uiot6wchz.onion

Your personal key:

Y los ficheros los cifra poniendo ".qp@readme.txt.fftn" en todos ellos... He probado herramientas de esas que les das el mensaje de rescate y un archivo y te dicen cuál es... ¡y ninguna sabe cuál es!

Estoy desesperado, yo con recuperar un archivo que es la copia de seguridad del programa me sobra... No necesito recuperar todos. Si pagando sirviese para algo... Pero sé que no.

Ayuda por favor... si necesitáis imágenes os envío :S

Muchas gracias.

Un saludo.


"Nací siendo un virus" By Windows.
Este mensaje no es por ofender, yo uso Windows también, simplemente... es broma ;)

cpu2

Hola

Podrias subir un archivo cifrado, para poder mirarlo? Pero no quiero ser pesimista pero estas cosas siempre terminan mal. No tenais las copias de seguridad en un dispositivo externo?

Saludos.

Superplay

Buenas,

Siento no haber respondido antes, me quitaron todas las esperanzas y olvidé este foro. Aún así se solucionó...

Lo solucioné de la peor manera posible para recuperar los datos... Aunque la única y con mucha potra diría yo.

Tenía un NASS pero el informático lo tenía descuidado desde marzo del año pasado y le echaba la culpa a no haber "actualizado el antivirus" y yo sinceramente dudo mucho que el antivirus lo hubiera evitado, con un cojón de puertos abiertos, copias de seguridad "locales" sin particiones ocultas... Se le dijo lo del NASS y dijo que las copias de seguridad y tal se encargaba el empleado que trabajaba allí (que se fue en 2017...)... y eso que era el informático de mantenimiento... De mantenerle, el bolsillo, porque se rompía un equipo y nunca merecía "arreglarlo", siempre uno nuevo... Tendría que ser yo el encargado quizás y no el informático... Pero hasta mis padres dicen que no puedo llevarlo yo todo :(

Parece que el nuevo informático lo ha puesto mejor todo...

Si quieres un archivo cifrado (el que usé para hacer la denuncia en comisaría) y el readme, te lo puedo enviar e incluso lo que me paso el c***** para desencriptarlo por si puedes ver como funciona... Todo lo que sea por ayudar a los pobres afectados.

Muchas gracias por tu respuesta :)


"Nací siendo un virus" By Windows.
Este mensaje no es por ofender, yo uso Windows también, simplemente... es broma ;)

@XSStringManolo


EFEX

Una variante de YYTO. Parece ser que no existen solucion aun.
GITHUB 

cpu2

Hola

Podrías subir el archivo públicamente, pero si es como dice el compañero de arriba y es una variante, lo más seguro es que tenga un cifrado como AES, lo ideal sería "cazar" el ramsonware y analizarlo para ver cómo crea las llaves etc...

Un saludo.

@XSStringManolo

Este tipo de malware suele generar una clave única en su servidor para cada infección. Así los infectados no pueden compartir claves y desinfectarse todos con la misma clave. Lo normal es que lo haga un algoritmo aleatorio y se guarde una copia de la clave con el ID del equipo infectado. Pueden tenerlo todo automatizado para que se genere la clave,  se guarde en un correo o una base de datos, etc. Puedes infectarte de nuevo en un equipo de pruebas y analizar el tráfico para ver desde donde se descarga la clave. Igual te lleva a algún sitio si está montado de forma cutre, pero no suele ser frecuente.

cpu2

Eso es a lo que me refería de una manera muy resumida, se tendría que encontrar el ramsonware y analizar, algoritmo de llaves, conexiones etc... o romper AES.

Si es una empresa seguramente el culpable sea un correo, todo de pende del usuario, y de lo que quiera compartir, lo mejor de todo es que a podido solucionar el problema.

Saludos.

roxylopez

hola amigos tengo un serio problema se me infecto la pc con RANSOMWARE estos se llaman NASOH y  KRUSOP, alguien sabe como descriptar los archivos? me ha pasado hace dos dias , he formateado el disco C:  y los discos de respaldo han cambiado sus extensiones. Hay alguien que le haya pasado esto? Desde ya muchas gracias.

MCKSys Argentina

@roxylopez

Si bien este tema trata sobre ransomware, no parece ser el mismo que el tuyo.

Por favor, crea un tema nuevo explicando tu caso, asi se evita desviar este tema.

Saludos!

PD: Te invito a ler las reglas generales del foro: https://foro.elhacker.net/reglas.htm
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."