un ransomware un poco especial

[SOFTEL]

Hola comunidad. Les comento mi situación...

Hace unos días un malware [CryptoWall 3.0] infectó varios equipos de mi red. Dicho malware cifra [RSA - 2048] tus archivos [*.doc, *.docx, *.xls, *.ppt, *.psd, *.pdf, *.eps, *.ai, *.cdr, *.jpg, etc.] y te pide dinero para recuperarlos.



Hasta el momento logré eliminar el virus pero, no logré recuperar los archivos. Intenté todo lo que encontré en internet, sin embargo, no lo conseguí.

Mas tarde me di cuenta que la web de pago del malware te permite decriptar un archivo gratis. Como RSA utiliza una clave pública deduje que para decriptar ese archivo debía utilizar dicha clave.



Teniendo en cuenta esto me dispuse a capturar el trafico de red mientras el archivo se subía y se decriptaba. Encontré 2 paquetes interesantes...





Ambos paquetes están cifrados en SSL... Aqui va mi duda ¿Como decripto el SSL? Y ya que estamos... ¿Que posibilidad hay de que en esos paquetes este la clave publica del RSA?

Saludos y gracias. Espero su respuesta

Mod: Titulo modificado, evita usar mayúsculas para escribir

[Gh057]

hola SOFTEL, pero con la clave pública no conseguirás nada... la llave pública, la utiliza para cifrar tus archivos... luego la llave privada (alojada en el server, por ejemplo) es la que descifra.   

[engel lex]

eso es cierto, pero dudo que el sistema suba su archivo, lo descifre y mande de vuelta... es posible que en ese mensaje está la llave privada para abrir el cifrado... la cosa está en conseguir la llave privada para abrir ese SSL que debe estar en su pc,  y con eso abir el paquete... pero ahí no se como

[Gh057]

Eso puede ser. enviar un paquete de retorno que habilite el descifrado en el cliente. Pero, se presentaría un vulnerabilidad allí... (reinyección del paquete en modo local? debbuguear el ransom y ver que pasa en la pila?) no, a mi corto modo de ver, sería una mala implementación... la llave privada debería estar en el servidor y solo previo pago reenviaría los paquetes descifrados...

(pregunto desde la ignorancia... que garantías hay de haber pagado, y recuperar los archivos? o hay códigos que no se rompen?)

Mmmm... no, lo que debes ver es el cruce de paquetes confirmando la generación exitosa del par de claves... nada más. ( eso es porque por cada infección, generaría un par nuevo, sino si fuera un par genérico, con tal de tener una privada podría publicarse y dejaría de ser efectivo el ransomware... sería como el divulgar una clave simétrica).

Está realmente difícil, más si no hay mucha información al respecto :/

[engel lex]

puede ser cualquier cosa... pero el asunto es que usarían mucha banda transfiriendo tooooooooodos los archivos capturados de todas sus víctimas para cifrarlos en servidores propios...


SOFTEL podrías subir si aún lo tienes una muestra del virus para ver si la analizan y se da alguna ayuda.... porque capaz no es ni tan complejo o es puro scam

[vk496]

puede ser cualquier cosa... pero el asunto es que usarían mucha banda transfiriendo tooooooooodos los archivos capturados de todas sus víctimas para cifrarlos en servidores propios...


SOFTEL podrías subir si aún lo tienes una muestra del virus para ver si la analizan y se da alguna ayuda.... porque capaz no es ni tan complejo o es puro scam

Claro... Hay 2 posibilidades:
-Un virus sofisticado
-Uno con la clave privada dentro del source xD

Salu2

[SOFTEL]

Gracias a todos por sus respuestas.
Una vez que pagas al malware descarga 2 archivos "Decrypt.exe" y "secret.key". "Decrypt.exe" creo poder encontrarlo en internet y he visto videos de algunas personas que logran crear/replicar "secret.key"; de ahí viene mi duda de poder decryptar el SSl para  obtener la clave...
El malware lo pueden conseguir aqui, antes es necesario logearse: https://malwr.com/analysis/MDA0MjIzOGFiMzVkNGEzZjg3NzdlNDAxMDljMDQyYWQ/

[Gh057]

no, pero si el decrypter es genuino, debe llevar ya la clave privada en él. Bueno justamente pareciera ser lo que indicas, al descargar junto con el .exe, un archivo plano. No debería haber antes conexión con el servidor por un intercambio. lo haría al inicio para comparar si hay coincidencia entre las públicas alojadas en la bd, y así usar luego la privada, si aún existiera.

(más leyendo el mensaje de inicio que es solo por un tiempo el alojamiento...)

No entiendo que quieres obtener con el ssl, te repito lo que puedes ver es algún paquete de confirmación -en donde luego comenzaría a operar en el siguiente inicio el cifrado- o bien un chequeo para saber si está tu clave pública en su bd.
Igualmente, lo usual es utilizar un proxy intermedio entre los dos host y de esa forma en un sentido la conexión va segura, y en la otra no. Si hay intercambio de credenciales, lo ves en texto plano (no vulneras el protocolo ssl)

[SOFTEL]

Gh057 Decrypt.exe y secret.key se descargan una vez que se paga al malware. El archivo que la web del malware te deja decriptar gratis lo hace por Internet. Ahí es donde yo busco la clave.

[Gh057]

La clave que necesitas para descifrar algo es siempre la privada (la pública, es la que compartes para que te envíen la información cifrada) La misma está en la base de datos del server... Por eso subes el archivo...

En sí lo que hace el ransom al inicio es establecer alguna clave en el registro (y alguna ubicacion asociada en el disco, supongo que aleatoriamente) para establecer la conexion al servidor... pasar los datos de tu host, seguramente una direccion de bitcoin, etc. etc., o sea, un troyano. Luego, en el server se genera el par de claves, se envía la pública a tu host -se confirman los pasos- y el ransom en el proximo inicio cifra todo lo que sea documentos, fotos etc. Y te envía el mensaje.

Lo que se me ocurre que podrías hacer es en un entorno virtual, verificar este funcionamiento; mirar  el registro del host infectado, mirar con un editor de hexa el ejecutable... ver como trabaja el bichito. y por último armar una pequeña red virtual, uno con el infectado, y con el otro generar un mitm y tratar de sacar algo en limpio con el ssltrip... saludos