un ransomware un poco especial

Iniciado por SOFTEL, 23 Enero 2015, 04:19 AM

0 Miembros y 1 Visitante están viendo este tema.

.:UND3R:.

a ver a ver que pelea jajaja... Ahora mi teoría

1.- ¿Quien cifró los archivos?
R: El malware

2.- ¿Donde se encuentra el malware?
R: En un ejecutable que en su momento estuvo en memoria.

3.- ¿Cómo cifró el archivo?
R: Con una llave

4.- ¿Donde está la llave?
R: En el ejecuatble

Se podría analizar el malware para detectar la clave que buscas
¿Funcionaría?

Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)

Gh057

Bingo! así es .:UND3R:., y estoy seguro que en los primeros bytes debe figurar la clave... el tema que es la pública XD
(Y por ello no lo descifras luego con el mismo ransom, te envían el decrypter y la respectiva clave (que sirve solo para esa pública, no puedes usarla con otra para recuperar info de otra infección)

(off: aclaro que soy un niño al lado de ustedes .:UND3R:. seguramente esté terriblemente equivocado. Pero si el malware es realmente bueno, debería funcionar así supongo... jajajaaa este finde me pongo con ello, estoy en la oficina tapado de trabajo, se me enfrió el mate, pero el tema es muy interesante! XD)
4 d0nd3 1r4 3l gh057? l4 r3d 3s 74n v4s74 3 1nf1n1t4...

el-brujo

#12
Con la llave pública no harás nada. lo que quiere conseguir es la llave privada, pero eso no es posible.

CryptoWall y CryptoLocker no son ninguna tontería de ransomware....

Por ejemplo las primeras versiones de   CryptoLocker y CryptoWall  los ficheros primero fueron cifrados con  AES-256 con CTR (Counter) que consiguió ser descifrado y ahora son cifrados con AES-256-CBC (Cipher-block chaining).

Si tienes suerte y es de las primeras verssiones se puede con TorentUnlocker:

http://download.bleepingcomputer.com/Nathan/TorrentUnlocker.exe

Explicación:
http://www.bleepingcomputer.com/forums/t/547708/torrentlocker-ransomware-cracked-and-decrypter-has-been-made/

Citar
¿Pagar el rescate en realidad descifra los archivos?

Es un salto de fe. En este momento la infección es demasiado nueva para saber si el pago del rescate es suficiente pero, por experiencias previas, este procedimiento suele dar buen resultado porque los delincuentes "se juegan su reputación" y saben que si no responden, es probable que su negocio de secuestros deje de rendir frutos. Obvio, esto puede no cumplirse siempre. El que decide pagar lo hace bajo su propio riesgo.


¿Cómo restaurar archivos cifrados por CTB-Locker?


El primer método es el obvio: pagar el rescate, esperar que los desarrolladores del malware envíen la contraseña de cifrado (leer el punto anterior) y tener mucha fe.

Ahora, si se ha decidido no pagar el rescate hay algunos  métodos que se puede seguir para tratar de restaurar los archivos cifrados.

Método 1: copias de seguridad

El primer y mejor método para restaurar los datos es una copia de seguridad reciente. Si no tienes backup ¿qué estas esperando para hacerlo?

Método 2: Software de recuperación de archivos

Parece que cuando CTB-Locker cifra un archivo, primero hace una copia del mismo, codifica la copia y luego elimina el original. Debido a este procedimiento se puede usar un software de recuperación de archivos como R-Studio o Photorec para intentar recuperar algunos de los archivos originales. Es importante tener en cuenta que cuanto más se utilice la computadora, más difícil será recuperar los archivos eliminados sin cifrar.

Método 3: Instantáneas de volumen de Windows (Shadow Volume Copies)

Como último recurso, puede tratar de restaurar los archivos a través de las instantáneas de volumen automática de Windows, siempre y cuando las mismas se encuentren activadas en el sistema operativo. Desafortunadamente, el malware intentará eliminar las instantáneas, pero a veces no logra hacerlo y esta copia puede utilizarse para restaurar los archivos.


Fuente:
http://blog.segu-info.com.ar/2015/01/guia-sobre-ctb-locker-y-ii.html

Referencias:

CryptoWall 3.0
http://malware.dontneedcoffee.com/2015/01/guess-whos-back-again-cryptowall-30.html

CryptoLocker nuevas variantes CTB-Locker aka Citroni,
http://blog.elhacker.net/2015/01/nuevas-variantes-del-ransomware-cryptolocker-descubiertas.html

TorrentLocker
http://blog.elhacker.net/2014/12/analisis-del-ransomware-torrentlocker.html

vk496

Si el malware contiene la llave pública... Supongo que siempre es la misma llave pública... Por lo que siempre va a ser la misma llave privada... No?

Salu2

Gh057

No es la misma clave vk496... ni pública, ni la privada. Se generan pares de llaves diferentes para cada host.

Bueno, coincide entonces lo que planteaba de como funcionaba el ransom, el-brujo...
lo malo es que superó mis expectativas de nivel de maldad XD (lo de borrar los puntos anteriores, eso si que es de malévolo... con respecto a la imágenes, bueno pensaba con alguna aplicación de forensis hacer una imagen del disco, y buscar el estado anterior... como se ha cifrado, hay una escritura, por ende se podría buscar los bloques borrados por el indexado anterior. Aunque bueno sería sobre recuperar la información y no encontrarle la vuelta al malware como quería SOFTEL)
4 d0nd3 1r4 3l gh057? l4 r3d 3s 74n v4s74 3 1nf1n1t4...

engel lex

ahora pregunto... teniendo el archivo (o varios) que sean exactamente iguales al original, no se puede comparar con el cifrado para obtener algo? no era un "vulnerabilidad" de AES?
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.

vk496

Cita de: engel lex en 23 Enero 2015, 18:55 PM
ahora pregunto... teniendo el archivo (o varios) que sean exactamente iguales al original, no se puede comparar con el cifrado para obtener algo? no era un "vulnerabilidad" de AES?
KPA... Pero no estoy seguro que se podía hacer con AES

Salu2

r32

Para conseguir esa clave tendrías que hackear el server, a mi forma de ver...
Puedes probar de subirles varios archivos cifrados a FireEye.
Te dejo el enlace para que les subas alguna, estos tienen un lab preparado para este tipo de casos:

https:www.decryptcryptolocker.com


Saludos.

Shout

Como medida anti-cryptolock: ¿no se podría escribir un driver que falsee las modificaciones de los archivos, e instalarlo en los ordenadores con información sensible?

Así, cuando se quiera modificar algo (de verdad), se usa una contraseña (o una confirmación del usuario bajo ring0), y listo.

Todo lo demás queda guardado en un array guardado sólo en la RAM (para deshacer los cambios al reiniciar), y se devuelven resultados falsos al intentar acceder a un archivo 'borrado'.
I'll bring you death and pestilence, I'll bring you down on my own