[AYUDA!] Extrayendo ficheros office de una copia backup - Veeam Backup

Iniciado por bulkdark, 28 Septiembre 2021, 09:39 AM

0 Miembros y 1 Visitante están viendo este tema.

bulkdark

Hola, muy buenas tardes.

Soy Ingeniero de Seguridad en una empresa dedicada a la ciberseguridad, y nos ha llegado un cliente víctima de un ransomware en su empresa, cuyos ficheros han sido cifrados con una extensión .lockbit. Se ha optado por restablecer los equipos mediante unas copias de seguridad antiguas hechas con Veeam Backup, las cuales el cliente no tiene las claves de descifrado, por lo que se tuvo que descartar esa opción también.

Sin embargo, nos ha dejado la copia de seguridad de 2.8TB y nos ha pedido el favor de que intentemos extraer lo que podamos de allí.

Estoy abriendo el fichero *.vbk con un editor hexadecimal (HxD) y estoy recorriendo byte a byte buscando tanto la cabecera como la cola de ficheros del tipo Office y reconstruyéndolos a mano. Sin obtener ningún resultado hasta el momento.

Mi duda es la siguiente:

Alguien podría decirme si existe alguna metodología o método que pueda seguir para ubicar y reconstruir estos ficheros? O simplemente es perder el tiempo intentar recuperar algo de allí?

Saludos, y muchas gracias de antemano!

Randomize

Sin la clave de cifrado es prácticamente imposible.


Siento darte malas noticias, un saludo.


   

Serapis

Busca en el foro por hilos de 'AIO elhackernet 2021' que son colecciones de herramientas anuales recogidas y presentadas en el foro, para cuestiones de seguridad. Entre dichas herramientas suele haber cada año alguno sobre ramsonware, aunque será difícil que logre acertar con el caso puntualmente, pero por probar... quiero decir un 'ransomwarer' profesional, no va a atacar a un 'mindundi' (digámoslo así), luego cabe la posibilidad de que se trate de un programa o versión antigua ya recuperable.

...bueno te busco el hilo:
https://foro.elhacker.net/buscador-t508063.0.html
https://foro.elhacker.net/seguridad/aio_elhackernet_2021_compilacion_herramientas_analisis_y_desinfeccion_malware-t508063.0.html

EdePC

Ya se te contestó aquí: https://foro.elhacker.net/seguridad/extrayendo_ficheros_office_de_una_copia_backup_veeam_backup_ayuda-t512088.0.html;msg2249811#msg2249811

Las contraseñas y cifrado están precisamente para proteger la información, sin la contraseña correcta no vas ha recuperar nada, tienes que buscar como recuperar la contraseña leyendo los links que puse en el post anterior o buscar una forma de atacar el cifrado con fuerza bruta dirigida con lo que recuerde tu cliente.