Ayuda con virus cryptowall / ransomware

QueTzaL

Hoy me llaman unos conocidos de una gestoria porque no pueden acceder a sus archivos, y que para que puedan acceder le sale un aviso de que deben pagar.

En principio, no le doy demasiada importancia, imagino que sera el tipico virus tocapelotas con popups, asi que voy por alli y le hecho un vistazo.

Mi sorpresa es mayuscula al ver que realmente se trata de un virus cryptowall... (malo malo...).

Todas sus bases de datos y archivos importantes como excels, docs, pdfs han sido renombrados a una extension .fuck; por ej. documento.pdf.fuck, obviamente renombrando a .pdf e intentar abrir el archivo con Acrobat no funciona y lo mismo con el resto, especialmente lo mas critico, las bases de datos que tienen en Contaplus y Facturaplus. Asi que evidentemente los archivos que fueron renombrados a .fuck estan cifrados, y deben de tener un cifrado bastante jodido (vamos, olvidando intentar reventar la contraseña por fuerza bruta).

Realmente, y se lo he dicho literalmente, ellos se lo han buscado, equipos antiguos con Windows XP con service pack 2 (ni el 3 tenia), sin actualizaciones, sin antivirus, usando Internet Explorer 6, y lo peor de todo, NO tienen ningun tipo de backup.

Lo unico que les he podido hacer por ahora es desinfectarle los equipos; instalarle un antivirus + adware + service pack 3 y un navegador web actual.

Mi consulta es saber si alguno de vosotros se ha encontrado con una situacion asi y si creeis que podria haber solucion.
Lo poco que he buscado por ahora en internet es que les va a tocar pasar por caja, y aun asi, no hay ninguna seguridad de que pagando les saquen el cifrado a los archivos y se vayan de rositas...
Ya les dije que vaya asumiendo la perdida y a empezar de 0... un marron que te cagas, y a saber las medidas que puedan tomar sus clientes, vamos que si tienen que chapar el negocio no me sorprenderia.

Dejo aqui la advertencia que les sale, el nombre del fichero es FILESAREGONE.TXT

Hello.
All your files have been encrypted using our extremely strong private key. There is no way to recover them without our assistance. If you want to get your files back, you must be ready to pay for them. If you are broke and poor, sorry, we cannot help you. If you are ready to pay, then get in touch with us using a secure and anonymous p2p messenger. We have to use a messenger, because standard emails get blocked quickly and if our email gets blocked your files will be lost forever.
 
Go to http://bitmessage.org/, download and run Bitmessage. Click Your Identities tab > then click New > then click OK (this will generate your personal address, you need to do this just once). Then click Send tab. 

TO: xxxxxxxxxxxxxxxxxxx
SUBJECT: name of your PC or your IP address or both. 
MESSAGE:  Hi, I am ready to pay.

Click Send button.

You are done.

To get the fastest reply from us with all further instructions, please keep your Bitmessage running on the computer at all times, if possible, or as often as you can, because Bitmessage is a bit slow and it takes time to send and get messages. If you cooperate and follow the instructions, you will get all your files back intact and very, very soon. Thank you.

Luego tambien tienen otro fichero, IHAVEYOURSECRET.KEY que tiene algun tipo de firma (es un churro de caracteres que termina en ==)

obscurida

Si no tienes la clave para desencriptar el archivo poca solución le veo, tirar de copia de seguridad para recuperar la información y asumir la posible perdida.

Ak3larr3

Si no tienen copia de seguridad... que paguen...
No hay solución.

1 2 respuestas
Li3cht

#3 Tú eres de los ilusos que pagan al hacker para que se rían en tu cara.

2 respuestas
Ak3larr3

#4 yo no he pagado nunca a nadie por algo así, pero es fácil o difícil según lo mires, tienes una empresa con datos críticos, te infectan con un virus de encriptación y te jodes o pagas.

Si tienes una solución mejor me encantaría leerla.

1 respuesta
Li3cht

#5 La solución pasa por hacer las cosas bien e ir con las cosas actualizadas y con backups a disposición.

¿Quién te garantiza que te van a devolver nada? ¿Quién te dice que no es un puto crío de 12 años que se aburre y le ha colado eso a su tío o cualquier puta mierda parecida?

Es que ni por asomo suelto yo un duro aquí. Si acaso suelto la pasta en enmendar la putísima mierda de seguridad que tiene ahora mismo la gestoría esta.

1 1 respuesta
Ak3larr3

#6 todo eso está muy bien si te pasa a ti o a mi que seguramente tendremos datos que nos joderá perder pero no nos morimos. Cuando hablamos de empresas la cosa cambia, hay datos que literalmente no se pueden perder y evidentemente deberían tener esos datos a buen recaudo y con backups y brau brau pero hablando de este hecho en concreto no es así.

Asi que si, mi consejo es pagar, que como bien dices tampoco te garantiza nada y muchos diran que eso es fomentar estos actos y demás pero cuando reduces el caso a la práctica es tan jodido como eso, o pagas y te la juegas a ver si los recuperas o te jodes y cantas y hablando de empresas muchas veces eso no es asumible.

QueTzaL

Yo soy partidario de no pagar, mas que nada porque estoy segurisimo de que no haran nada una vez has pagado.

Tampoco se la cantidad que piden, supongo que habria que iniciar el proceso que dan para pagar y te lo diran...

En fin, llevo ya unas horillas mirando soluciones por internet y lo veo jodido.

He visto algo relacionado con restaurar versiones anteriores de archivos en Windows, lo que tengo que ver es si su ancestral Windows XP tiene la funcion activa / instalada, que lo dudo.

1 respuesta
AikonCWD

#8 Windows XP? Se merecen ese virus y todos los virus que le puedan entrar.

1 1 respuesta
QueTzaL

#9 Lo se, lo se, pero como digo, Windows XP no es lo peor, es usar IE6, sin antivirus y sin BACKUPS.

Es lo tipico, gestorias y asesorias que no se preocupan una mierda de su herramienta PRINCIPAL de trabajo, hasta que pasan estas cosas.

2 respuestas
AikonCWD

#10 Lo dicho....

Si tienes los ficheros en un server, mira a ver si por Shadow COpy puedes rescatar algún backup, WindowsXP creo que no tiene versiones previas. A veces con un Recuva o similares puedes sacar "algo", pero no cuentes con ello.

Luego hay una web de kaspersky que almacena la clave de desencriptado de muchos ramsonwares, prueba a ver si suena la flauta, pero no sería demasiada suerte xD

https://noransom.kaspersky.com/

1 respuesta
Gif

#10 https://noransom.kaspersky.com/ no se si te servirá pero pruébalo.

#11 same time :D

1
B

Pfff seguir con windows xp... manda huevos xD

Bueno esto es lo de siempre, ahora solamente se pasaron un 10% a windows 10... así que seguro que dentro de unos cuantos años habrá todavía gente con windows 7.

1 respuesta
garlor

si no pagan perderan por decir algo 20.000-50.000 euros, si pagan puede que pierdan 20.200 - 50.200 euros o puede que pierdan 200, yo si me encontrara en una situacion asi pagaria, y despues ya buscaria que no me volviera a pasar

1
term1

#13 WinXP o Win7/10 es lo mismo, te vas a infectar igualmente.

En el caso de una empresa que no tenga backups y que sus datos sean "importantes" intentaría buscar la manera de pagar.

Algunos no os enteráis de que los datos de muchas empresas valen mucho más de lo que cuesta desencriptar esos archivos.

1 respuesta
B

#15 Si si si... seguro que te infectas igual con windows xp, windows 7 o windows 10.

Si no entiendes, mejor no hables.

Windows xp es un sistema operativo viejo, que ya no recibe actualizaciones y encima la empresa no tenía ni el último service pack xDDDDDDDD

Y ya el colmo es que usen internet explorer, y además no tengan ni un simple antivirus o cortafuegos... hoy en día toda empresa debería tener sus ordenadores actualizados como mínimo.

1 respuesta
garlor

donde yo trabajo a veces han tenido que mandar discos duros a recuperacion de datos (1000-2000 euros por disco duro ) para recuperar informacion de ellos despues de que dejaran de funcionar, porque la informacion que habia dentro valia mucho mas dinero que eso, y siguen sin saber hacer copias de seguridad la mayoria xD

#16 la mayoria de estas infecciones son por ejecutar archivos exe de webs o del email, contra eso da igual xp que 10, como mucho te puede servir el antivirus, pero OS ... prf

2 respuestas
t3r3r3

#17 Tontos con pasta, puedes decir donde trabajas, es para un amigo.

1 respuesta
garlor

#18 una universidad publica, son tontos jugando con la pasta de todos

1 respuesta
B

#17 Ejecutar archivos exe de webs o del email... cualquier empresa seria ya habría despedido a esos paletos que no saben ni utilizar un ordenador.

1 respuesta
t3r3r3

#19 Ahora todo tiene sentido.

garlor

#20 50% de posibilidades que lo haya hecho el mismo jefe xD, que suele ser el que menos se entera

1 respuesta
t3r3r3

#22 Denuncialo públicamente y que rueden cabezas ES LA UNICA OPCION VIABLE.

QueTzaL

Bueno, despues de pasarme hoy TODO el dia alli... no ha habido solucion.

Tambien desde ayer y a lo largo de la mañana he estado en contacto con gente de un foro especializada en estas cosas, a los que les he enviado ejemplos de archivos cifrados y sin cifrar, los .exe y .dll que creo que son sospechosos de ser el virus, los han analizado y me han dicho que no hay solucion sin la clave.

Se trata de este virus concretamente: http://www.virusradar.com/en/Win32_Filecoder.FD/description

Por cierto, hoy he hecho un cuadruple facepalm cuando me enseñan que al correo electronico no acceden con su maravilloso IE6, si no que mediante Outlook 2003... OMFG, ese cliente de correo con un millon de vulnerabilidades y que literalmente abre el solito los adjuntos de un email cuando los pinchas para previsualizar.... Vamos, cantadisimo que la infeccion ha venido por ahi.

Asi que tras valorar la situacion con esta gente, han decidido tirarse al vacio y pagar ya que sin la informacion su empresa literalmente quiebra. Tambien han ido para que al menos conste de cara a sus clientes a poner una denuncia en la policia, digo que al menos conste ya que obviamente las autoridades no pueden hacer nada y asi se lo han hecho saber.

Nos hemos puesto en contacto con el atacante siguiendo los pasos de como ponerse en contacto que salen en el aviso. Es todo a traves de un cliente de chat por P2P encriptado (Bitmessage), vamos que no habria cojones a rastrear el destinatario.
El personaje/s, que se lo tienen todo MUY estudiado, pide que se la pague en bitcoins, y pide 2,5 bitcoins concretamente, lo que al cambio sale unos 1000€.
Obviamente antes de pagar, le he pedido que me demuestre que realmente puede descifrar los archivos, ha accedido a que le envie un unico fichero cifrado (subiendolo a un sitio anonimo) y me lo devolveria descifrado, tambien le he pedido que me explique como va a ser el proceso para descifrar toooooooooodo lo que tienen (que no es poco). Aun no me ha respondido ni me ha enviado el archivo descifrado.
Por lo que he visto, lo habitual suele ser que usen el mismo virus que ha infectado tu maquina (.exe) para revertir el proceso, enviando ellos una orden remotamente una vez has pagado, pero claro, el equipo ya no esta infectado (o eso creo / espero; aunque la unica certeza 100% la tendre cuando lo pueda formatear) asi que le he pedido que me debe facilitar un decrypter con la clave privada.

Asi que una vez tenga la prueba de que puede descifrar el ejemplo que le he enviado y el decrypter, se le paga y a cruzar los dedos para que no desaparezca, que es muy posible que pase, pero es algo que ya asumen tambien....

Finalmente he desconectado los discos duros a cada PC y los he conectado a uno mio que he llevado para hacer una imagen de como estan actualmente, por si la infeccion va a mas.

Ahora, tenemos otro problema, comprar los dichosos bitcoins. Parece algo jodidamente complicado, ya van unas cuantas webs que miro para comprar pero casi nadie vende tanto y la mas fiable que he encontrado donde si venden 1000€ en bitcoins (btcdirect.eu), para poder empezar a comprar te piden una verificacion de la hostia para activar tu cuenta; conectarte por Skype con uno de sus broker donde les tienes que enseñar por webcam tu dni, otro documento identificativo diferente al dni y la tarjeta de credito con la que vas a hacer la compra a la que le puedes ocultar con un dedo o folio los 3 primeros campos de digitos. Hemos llegado a ponernos en contacto con uno, pero ya era tarde y ya hasta el lunes no trabajan. En estos momentos estoy mirando otras webs como localbitcoins.com pero todos los que venden 1000€ en bitcoins solo admiten pagos mediante transferencia bancaria y esta gente necesita tener sus bases de datos accesibles ya para este lunes.....

2
xPipOx

Dios esto es digno de serie de TV. La verdad es que no se como a dia de hoy datos realmente importantes y criticos para una persona/empresa no lo tienen por duplicado/triplicado con las facilidades que hay para ello.

neo-ns

#3 ya puedes pagar, que es una estafa mas.

Te joden los datos y si pagas, la pasta.

Lo que hay que tener son copias de seguridad.

La unica solucion, suele ser revisar varias webs del FBI y otros, que suelen publicar las keys, de cuando pillan a estos tios, y probar suerte si alguna funciona para desencriptar.

Pero la solucion correcta seria tener copias de seguridad.

Estas jodido o estan jodidos.

1 respuesta
QueTzaL

#26 Estan muy, muy jodidos si.

Yo ya, a parte de la evidente charla / bronca que les he dado y eso que no los conocia de nada (realmente no eran conocidos como digo en #1, me pusieron en contacto con ellos unos clientes mios) de que esto les ha pasado por tener todo como lo tenian y aun tienen, les he dejado muy clarito que aun pagando vayan a conseguir nada.

Solo me he comprometido a al menos, echarles una mano ahora con todo el proceso de pagar al atacante y de que si realmente el tio cumple a revertir el proceso y de si en un futuro siguen adelante bien porque finalmente han recuperado su informacion o porque de alguna manera pueden levantar cabeza sin la informacion a montarles todo adecuadamente (con la evidente remuneracion economica para mi claro, que gratis al menos yo no trabajo).

Por cierto, hoy tambien he probado algunos decrypter con bases de datos de claves comunes que usan este tipo de virus para cifrar, entre ellas la que me habeis recomendado (https://noransom.kaspersky.com/), pero nada.

1 respuesta
Vandalus

#27 ya dirás como acaba la cosa.

Pero pinta fatal. Mejor prevenir que curar.

_Akiles_

Si lo piensas en frio les renta mas no timar a la gente y cumplir con el trato , si tienen fama de que si pagas te los descifran y santas pascuas les sale mejor el negocio.

hda

Por mucho que paguen no hay ninguna garantía...