Ayuda con virus cryptowall / ransomware

AikonCWD

La mayoría d eves te llega la clase de desencriptación. De todos modos no es recomendable pagar, ya no por la sbajas probabilidades de recibir la clave... si no para dejar de incentivar éste negocio lucrativo y evitar que la smafias sigan potenciando el sector del ramsonware...

Lo mejor es no pagar. Hay ramsonwares que detectan shadowcopies, cobians, acronis y demás programas de backup típicos que los borran para evitar que restaures datos. Algunos incluso usan null-session (un bug mediocre para LAN Netbios) y así infectar ficheros a través de la LAN xD

Cuantas más empresas paguen, más "pr0s" se volverá el mundillo del ramsonware.

E

Es un putadón inmenso, y la empresa donde estoy trabajando yo están igual. Un servidor compartido en red con XP SP3. Con backups sí, pero en otro disco duro aparte y mi jefe no quiere comprar un puto disco duro externo para que al menos pueda ir sacando las copias cada X dias... Pues eso, que cualquier día se llevarán las manos a la cabeza. Voy a enseñarle este post el lunes a ver si le entra en la cabeza de una vez lo de tener actualizado los equipos, las copias de seguridad y tal...

Ak3larr3

Lo de pagar está claro que fomenta estos actos, pero como decía antes hay empresas que les compensa el riesgo antes de perder los datos porque son datos críticos, yo me pongo en su pellejo y lo entiendo. Se de dos empresas de tamaño medio que han pasado por caja para recuperar los datos y tuvieron la suerte de recuperarlos.
De ahí mi consejo inicial.
Eso si, si pagan y recuperan los datos a ver si aprenden la lección y se cuidan para futuras ocasiones.
Y todos los que trabajéis en el sector imagino que ya lo hareis pero recordar a los clientes la importancia de las copias de seguridad, sentido común con los correos electrónicos y demás medidas fáciles de seguir.

Daidum

Si que lo tienen jodido. En la empresa en la que trabajo en menos de un mes 2 avisos de un cliente en 2 oficinas diferentes con el dichoso cryptowall. Lo tipico, se descargan un adjunto y empieza la fiesta. Cuando se dan cuenta que un equipo no abre archivos por que no reconoce la extension ya tienen medio servidor encriptado. Su suerte, tenian copias de seguridad y aun así perdieron datos.

No entiendo como este tipo de negocios que viven de los "datos" con los que trabajan no se toman mas enserio el tema de la seguridad. Ya no solo por el hecho de que los datos esten en un servidor y que este haga backups pero por lo menos tener los sistemas actualizados y un minimo de cuidado.

Malwarebytes va muy bien contra este tipo de ransomware.

andoni013

XP...IE6... Una pena, pero merecidisimo, a ver si aprenden y se preocupan un poquito más la próxima vez

garlor

esque ellos no se dan cuenta que viven de los datos

andoni013

Y tendríais que oir la de burradas que te sueltan cuando les dices que tienen que dejar XP y actualizarse a algo mas reciente...

A mi me encanta la de: -Joder, ahora a pagar un ordenador nuevo. (Enviado desde mi iPhone 6S Gold)

1
B

donde yo trabajo hacemos copias de seguridad cada semana sí o sí, por si acaso los datos también se vuelcan en un segundo disco duro

es un poco trabajoso incentivar las buenas prácticas a personas que durante toda la vida han hecho lo que han querido con un pc, pero con un poco de esfuerzo por ahora llevamos desde 2009 sin problemas

ciza

Una putada, aunque merecido por otra parte para que engañarnos...

Donde yo estoy, tienen win10 en algunos pc y fedora en los demás. Ademas hay backups semanales de los servers que se guardan en una caja fuerte en el banco.

B

Que a estas alturas la gente no tenga backup es para que les hagan esto y aprendan...

En mi curro a entrado dos veces, solo me preocupado de formatear el PC y restaurar todos los archivos de la red afectados, no me preucupo ni por lo que tengan en local, ya que saben que no hacemos copia de eso...

A parte de las shadow copies de Windows hacemos copia en nuestro edificio y otra en el de al lado, a parte de lo que se va guardando en la caja ignífuga.

B

Bueno, al final el autor del virus ha "cumplido", lo pongo entre comillas, porque el hijo de la gran puta, el decrypter que ha enviado es un .exe (con su clave privada a parte en un fichero .key) mediante linea de comandos, funcionar funciona.... tiene las siguientes opciones que he tenido que sacar yo abriendo el .exe con un editor hexadecimal ya que ni el me las ha dado ni hay un -h o /h:

decrypt.exe -k [key of decrypt] -f [file for decrypt] -e [extension of file with dot]

example: decrypt.exe -k decrypt.key -f file.pdf -e .pdf

Asi que si, me tocaria ir fichero por fichero.... asi que estoy a ver si me curro un BATCH script para automatizar la cosa...

La idea es ejecturar el .bat en c: y que pille de una lista .txt las extensiones y vaya desencryptando.

Ni que decir que he tomado muchas precauciones con este .exe este, lo ejecuto en un equipo aislado mio que tengo sin conexion a internet, al cual, le he conectado un disco clonado del ordenador infectado con todos los archivos.

3 respuestas
AikonCWD

#41 Un simple script en powershell/python/vbs y podrás desencriptar todos los ficheros de un solo golpe. Si necesitas ayuda me avisas.

_Akiles_

#41 ya te pueden pagar b i e n porque mira que te has tomado molestias para solucionarles el desaguisado.

Desper4doS

Joder colega, parece de coña, la realidad supera la ficción una vez más juassss

Al menos, final "feliz", -1000€ y lección aprendida

Podríamos compartir en un hilo nuevolas políticas de copias de seguridad que tenéis para dar ideas (creo que la mía es bastante cutre, aunque funcional :D), alguien se anima?

1 respuesta
garlor

es simple una al dia, y una a la semana que se tiene que sacar de la ubicacion fisica de la empresa, mantener almenos dos de cada, y listos, a partir de aqui se puede complicar todo lo que se quiera

AikonCWD

#44 Yo tengo las espaldas muy cubiertas con los backups.

  • Una buena implementación de permisos sobre recursos compartidos
  • Showcopy de hasta 30 días en todos los servidores
  • Robocopy lanzado desde un VBS personalizado contra un HDD externo
  • Tarea programada que crea un VHD (disco duro virtual) de todo el servidor (junto con sus ficheros y datos), el VHD lo muevo a un disco externo

Tras finalizar el VHD y/o el robocopy de los datos, la unidad del HDD de backup se desconecta, así ningún virus podrá acceder a ella. Con eso, en caso de desastre (por ejemplo que explote un server o deje de funcionar) puedo levantar la maquina a traves del VHD en apenas 10 minutos

2 1 respuesta
garlor

pero mientras se realiza la copia de seguridad todos los datos de la empresa los tienes en "la misma red", incluyendo la copia de seguridad, un axioma importante de las copias de seguridad es que una de ellas siémpre ha de estar offline

B

#41 Alegrate tio graciasaél te han llamado por curro y ahora seras su informatico.

Si no hubiesen virus no habrian antivirus.

Si no hubiesen problemas del sistema no habrian tantos tecnicos informaticos.

Yo por mi parte que sigan metiendo mierda xdd mas trabajo coño.

1 respuesta
Vandalus

pues al final han tenido suerte

B

#48 No te creas que no se me ha pasado por la cabeza...

Por cierto, como curiosidad sobre este mundillo, cada vez flipo mas... Aqui podeis ver cuanta pasta ha generado el autor de un virus Cryptolocker

https://blockchain.info/address/1AEoiHY23fbBn8QiJ5y6oAjrhRY1Fb85uc

Si, habeis visto bien $ 2,229,115.79

Y solo con esa direccion que dejo de utilizar el año pasado, a saber cuanta pasta tiene en otras direcciones (puedes generar tantas direcciones como quieras)

2 respuestas
B

#50 Si fueran un partido politico los votaba, generan trabajo xd

Desper4doS

#46 qué buena, muy currado!

La verdad que no presto mucha atención a lo que es la seguridad de la información (mucho más a la pérdida de datos que, digamos, al acceso)....No paso de un NAS con un RAID 1 y algúna copìa programada con cualquier programa random de backup....

B

Ahora es cuando después del todo el curro te dicen que no te pagan más de 50 euro s porque "el trabajo te lo han dejado hecho".

1 respuesta
B

#53 Hombresi se ha puesto a desencriptar todos los archivos de todos los ordenadores y ademas su correspondiente formateo, 50 euros es poco.

Ademas que si esos archivos son la vida para la empresa necesitaran a alguien que les prepare un buen blindaje e incluso lo contraten para que haga de mantenimiento.

O al menos venir una o dos por mes para que todo este bien.

1 respuesta
B

#54 Así funcionan los empresaurios, les da igual pagar 1000 euracos a un fulano pero al empleado si puede le paga con cocacolas.

Li3cht

#50 ¿Cuánto ha palmado la empresa por el decrypt?

1 respuesta
B

#56 2.5 bitcoins, unos 1000€ al cambio. Y luego lo que les voy a cobrar por todo mi trabajo, claro.

1 respuesta
AikonCWD

#57 Pero que trabajo? Si no has hecho nada xD

Es broma, cobrales bien

E

Busco a alguien con conocimientos en C, ensamblador y que conozca un poco los mecanismos de cifrado de clave pública. Es para... un proyecto de la universidad. MP para más info.

xDDDD

1 2 respuestas
AikonCWD

#59 Para que quieres montar un bicho así en C/asm? xD Si lo currado de éstos proyectos es como se ingenian los metodos de spread.

1 respuesta