[Teslacrypt] Opiniones ??...

Iniciado por Diabliyo, 3 Enero 2016, 04:51 AM

0 Miembros y 1 Visitante están viendo este tema.

Diabliyo

Buenas.

Aperturo el tema de este malware que "secuestra" tus archivos encriptandolos mediante firmas digitales, que posteriormente el cybercriminal pide un rescate para que recuperes la información.

La idea es que aquellos que hayan tenido acercamiento a este nuevo malware pues cuenten como lo han solucionado, ya que los antivirus en la mayoría no lo detectan, ademas que en DICIEMBRE 2015 salio una nueva mutación de este malware que a su fecha ningún antivirus tiene solución.

En lo personal tuve mi primer acercamiento con un cliente que se infecto entre el 4 y 18 de Diciembre, este adquirió la mas nueva mutación del malware que se distingue por cifrar los archivos con extensión: .vvv. Lo interesante es que en esta nueva mutación (Teslacrypt v6), el cyberatacante elimina la clave publica (*.key), para de esta forma "acorralar" al usuario y que ningún antivirus pueda brindar solución inmediata.

Según mi investigación y lectura, las versiones anteriores a Teslacrypt v6 dejaban la clave (*.key) en algún directorio escondido, o bien la volcaban en un archivo de texto, esto brindaba la posibilidad que cualquier antivirus preparado para este ataque pudiera brindarle una solución al usuario.

Tengo una copia del Teslacryp v6, se las dejo para que LA DESCARGUEN y prueben en su ambiente virtual ;)

Ademas copia del mensaje de rescate:

Citar
111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111  

NOT YOUR LANGUAGE? USE https://translate.google.com

What happened to your files ?
All of your files were protected by a strong encryption with RSA-4096.
More information about the encryption keys using RSA-4096 can be found here: http://en.wikipedia.org/wiki/RSA_(cryptosystem)

What does this mean ?
This means that the structure and data within your files have been irrevocably changed, you will not be able to work with them, read them or see them,
it is the same thing as losing them forever, but with our help, you can restore them.

111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111
How did this happen ?
---Specially for your PC was generated personal RSA-4096 KEY, both public and private.
---ALL YOUR FILES were encrypted with the public key, which has been transferred to your computer via the Internet.
111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111

Decrypting of your files is only possible with the help of the private key and decrypt program, which is on our secret server.

What do I do ?
So, there are two ways you can choose: wait for a miracle and get your price doubled, or start obtaining BTC NOW, and restore your data easy way.
If You have really valuable data, you better not waste your time, because there is no other way to get your files, except make a payment.

For more specific instructions, please visit your personal home page, there are a few different addresses pointing to your page below:
1. http://vr6g2curb2kcidou.encpayment23.com/A5F367513DCDCD3
2. http://vr6g2curb2kcidou.expay34.com/A5F367513DCDCD3
3. http://psbc532jm8c.hsh73cu37n1.net/A5F367513DCDCD3
4. https://vr6g2curb2kcidou.onion.to/A5F367513DCDCD3

If for some reasons the addresses are not available, follow these steps:
1. Download and install tor-browser: http://www.torproject.org/projects/torbrowser.html.en
2. After a successful installation, run the browser and wait for initialization.
3. Type in the address bar: vr6g2curb2kcidou.onion/A5F367513DCDCD3
4. Follow the instructions on the site.

IMPORTANT INFORMATION:
Your personal pages:
http://vr6g2curb2kcidou.encpayment23.com/A5F367513DCDCD3
http://vr6g2curb2kcidou.expay34.com/A5F367513DCDCD3
http://psbc532jm8c.hsh73cu37n1.net/A5F367513DCDCD3
https://vr6g2curb2kcidou.onion.to/A5F367513DCDCD3  
Your personal page (using TOR-Browser): vr6g2curb2kcidou.onion/A5F367513DCDCD3
Your personal identification number (if you open the site (or TOR-Browser's) directly): A5F367513DCDCD3
111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111

Saludos !

iUDEX

Gracias por el Aporte!

Enviado desde mi SM-T231 mediante Tapatalk
Namasté, criatura.

Diabliyo

Cita de: g3ck0 en  3 Enero 2016, 10:25 AM
Gracias por el Aporte!

Enviado desde mi SM-T231 mediante Tapatalk

Listo logre recuperar mis archivos ;)...

En primera hay que leer mucho sobre Teslacrypt porque hay hasta 8 o 9 variantes, cada una se identifica por su extensión y modo de generar y manejar las llaves publicas, en mi caso me toco lidiar con la variante mas nueva hasta hoy 24-Febrero-2016.

Les recomiendo ir al foro de bleepcomputing !

bye

Shell Root

@Diabliyo, y cual es la solución?
Por eso no duermo, por si tras mi ventana hay un cuervo. Cuelgo de hilos sueltos sabiendo que hay veneno en el aire.

Diabliyo

#4
Si tienes una variante anterior a las version 6 solo es cuestion que cheques los temporales del sistema y encontraras el archivo bin.key o el "loquesea.key", esa es la llave para desproteger los archivos.

Si tienes una variante superior a la 6 entonces debes factorizar la llave que viene dentro de cualquier archivo que esta protegido (*.xxx, *.vvv, etc...), al final del proceso obtendras un hash, ese es tu llave !.

OJO: de nada sirve le jueguen al "chico forense" en las versiones superiores a la 6, porque el malware genera la llave en memoria (en un array, en una variable o alguna struct), pero jamas se llega escribir en el disco duro, asi que cuando el malware termina de proteger tus archivos este simplemente elimina las variables en memoria. Y esta bien dificil darte cuenta al instante porque este malware va protegiendo tus archivos de poco a poco, asi que si haces un dumpeo de tu RAM igual ya es demasiado tarde ;)

Saludos !