Ayuda con virus cryptowall / ransomware

E

#60 bua, eso sin problemas, el autorun.inf xDDDDD Feel like a hacker

1
B

#59 Dudo que esté en ensamblador, más que nada porque el cryptowall también lo he visto en plataformas ARM y no creo que pierdan el tiempo adaptando ensamblador a varias arquitecturas. El código es sencillo lo "complicado" es propagarlo como ya han comentado.

Ak3larr3

Me alegro de que al final saliera todo más o menos bien. Es una putada pero si no hay una buena gestión de los backups y de la seguridad estas cosas pasan. Solo queda aprender la lección para futuras ocasiones.

#4 al final no era tan iluso.

7 días después
J

Tengo este problema en un ordenador y en el servidor y tambien en el disco de backups que estava conectado en el momento que entro el viros, envie vários ficheiros para kaspersky labs y me dicen que con el decrypt.exe y con el decript.key podrian crear un utilitário para remover este vírus. Si los de Kaspersky no me consiguen resolver el problema tendre que pagar, pero no tengo ni idea de como conseguir los bitcoins, QueTzal me prodria ayudar?

Gracias

2 respuestas
M

#1 y #64 Mi empresa ha pasado por lo mismo. Y un amigo empresario/hacker ha "solucionado" este problema.

SOBRETODO NO PAGUEIS, PORQUE NO OS VAN A DEVOLVER NADA. NADA. Y además te obligan a pasar através de la deepweb, así que ya estareis vendidos totalmente.

Cualquier pregunta decirme y si puedo, os hecho una mano.

1 respuesta
B

#65 Llegas un poco tarde.

Dudo que ese amigo hacker haya podido hacer nada al menos en mi caso, ya que si te has infectado con una variante cryptowall reciente para la que no hay ningun tipo de base de datos con claves que puedan funcionar para descifrar no te queda otra que pasar por el aro.

#64

Puedes descargar el decrypt.exe que me facilito el hacker en su dia aqui:

NSFW

El decrypt.key de aqui:

NSFW

Ten cuidado si vas a ejecutar el decrypt y a hacer pruebas por tu cuenta. Por defecto e independientemente del directorio donde ejecutes el decrypt.exe, una vez le metes la extension de los archivos que quieres descifrar se lanza contra TODOS los archivos en tu disco duro y unidades de red que tienen la extension que has dado y si los archivos no estan cifrados los va a cifrar y no te da la clave (no los cifra con la misma clave que hay en el decrypt.key). Yo de esto me di cuenta "tarde" (tenia backups de como estaba el sistema asi que pude revertir), ya que en mi caso NO todos los archivos que fueron renombrados a la extension .fuck estaban cifrados. Asi que no me toco otra que hacerme un script e ir directorio por directorio comprobando.

Haz un backup de como esta todo actualmente por si tuvieras que volver a empezar. Y las pruebas dentro de una maquina virtual.

No se hasta que punto los de Kaspersky pueden hacer algo sin la clave... quiza comparando dos archivos iguales uno cifrado y el otro sin cifrar... y para ello debera ser un ejemplo de cada por tipo de archivo (uno para .pdfs, otro para .docs, otro para bases de datos .....).

Lo de los bitcoins, al principio es un lio, pero no es complicado.
Primero te creas un monedero, por ejemplo en https://blockchain.info (hay mas pero a mi esta me funciono bien), que es donde almacenas tus bitcoins; te crea una direccion unica (un HASH) que necesitas para recibir o enviar bitcoins.
Una vez tienes monedero, puedes comprar bitcoins, yo he usado dos web; https://bit2me.com es 101% fiable, ve registrandote ya y si facilitas tu DNI podras operar con limites mas altos, tardan unas 24h en aprobar tu registro, lo bueno es que permite comprar bitcoins con VISA.
Luego tienes https://localbitcoins.com, donde una vez registrado no tienes por que facilitar ningun documento. Aqui compras a particulares, cada uno acepta metodos de pago diferentes y le ponen un precio al bitcoin segun ellos ven, yo te recomiendo comprar pagando mediante "Cash deposit" ya que no tiene comisiones, consiste en ir al cajero de la entidad que te diga el vendedor e ingresarle el dinero en su cuenta, una vez comprueban te dan los bitcoins, suelen ser bastante rapidos, pilla un vendedor que tenga bastantes votos positivos para asegurar que no te tima. Localbitcoins.com tiene su propio monedero, pero puedes pasar tu dinero de ahi al monedero que creaste en blockchain.info sin problemas, o directamente si quieres ya pagar desde ahi.

2 1 respuesta
M

#66 Ya...ahora me entero de la existencia del post. Y tienes razón otra vez, en cuanto a la recuperación de los datos encriptados no se puede hacer nada. Me referia sobretodo, en cuanto a limpieza y consejos sobre como no pillarlo otra vez, etc...

J

Gracias QueTzaL por la ayuda, voy hacer una copia del disco de backup que tiene los archivos de directorio compactados con Winrar y es mas fácil que ir directorio a directorio en la copia del servidor.
Los archivos encriptados son los utilizados recientemente, los archivos que no utilizamos a meses no estan encriptados.
Tambien ya he reportado a Kaspersky Labs los 2 decrypt para ver si puedem hacer algo.

Ahora tocoa hacer pruvas y ver si soluciona él problema.

Camarada

#1 Kaspersky saco esta herramienta, prueba a ver de como de reciente es

https://noransom.kaspersky.com/

J

Hola QueTzaL, esto links

https://www.sendspace.com/file/046n81

https://www.sendspace.com/file/2uexaa

donde estavan los archivos no me abre nada da un error en el navegador

B

Dale al Download grandote azul y no al Download with Wizard

1 respuesta
AikonCWD

#71 Es que si ya falla con eso normal que se le cuelen ramsonwares jajaja saludos

8 1 respuesta
B

#72 Lo mismo se me paso por la cabeza, pero bueno, he decidido ser un poco educado :P

1
Nucklear

¿Habeis probado con la de bitdefender? Se supone que vale para Cryptowall 4.0

https://labs.bitdefender.com/projects/cryptowall-vaccine-2/bitdefender-offers-cryptowall-vaccine/

espikiller

Muy interesante esto, estudio ASIR y veo la empresa de mi padre, en la cuál he trabajado muchos años usando xp pirata con antivirus de mierda hablando mal y sistemas ultra obsoletos, solo usan un programa de gestión antiguo, no recuerdo el nombre para hacer albaranes o facturas.
Andan en la prehistoria informática, por más que he intentado luchar contra ello; ahora han conseguido una subvención y van ha actualizar todo a través de una empresa externa que no se como le dejará el tema.

La pregunta es, en el caso (espero que no ocurra) de que entrasen en los archivos del programa de gestión que usan, ¿los datos de los clientes pueden ser utilizados de alguna manera que les cause algún problema legal?. De todas formas les enseñare el post para ver si despiertan de una vez.

J

Hola QueTzaL
Estoy intentando com el decrypt por ejemplo:
decrypt.exe -k decrypt.key - f copia000005.rar.fuck -e .rar

me da el mensaje "Sucess: Decrypt finished" muy rápido y continua com la extensión .rar.fuck
sera que me falta algun parametro el ejecutar el decrypt.

2 respuestas
AikonCWD

#76 Pero entiendo que los ficheros de tu infección estarán cifrados con otra decrypt.key, no?

1 respuesta
J

el mensaje es igual al que subio Quetzal com el nombre del archivo FILESAREGONE.TXT tambien hay outro archivo IHAVEYOURSECRET.KEY por eso supongo que sea el mismo

2 respuestas
spyro512

1
Nucklear

#77 Depende del ransom, pero muchos usan la misma key que viene hardcodeada en el archivo de infección. De ahi que tengan que evolucionar rápido, pero como ya digo depende del desarrollador que lo haya hecho.

SpiuK

#78 Que sea el mismo virus no quiere decir que se les quite la encriptacion con la misma clave.De hecho si fuera asi solo infectarian a uno y con que ese compartiera la clave ya se le habria acabado el chollo.

1
AikonCWD

#78 Normalmente (y digo normalmente, hay mucho "programador" de pacotilla por éste mundo). El virus suele generar una randomkey con la que se cifran los ficheros. Dicha key es aleatoria y suele calcularse de forma única en cada sistema.

Por eso creo que no te funcionará su key.

B

#76 Mi clave no te va a funcionar, es unica por infeccion. De hecho, el IHAVEYOURSECRET.KEY es el fichero con la clave publica que le debes facilitar al autor del virus para que el sepa que clave privada debe facilitarte.

Abre el IHAVEYOURSECRET.KEY con un editor de textos (notepad por ej.) y mira que HASH tienes, si coincide con el mio, entonces si te vale mi decrypt.key (clave privada).

Este es mi IHAVEYOURSECRET.KEY

NSFW

Y el comando seria: decrypt.exe -k decrypt.key - f copia000005.rar.fuck -e .fuck, luego renombras a mano el copia000005.rar.fuck a copia000005.rar y prueba si ya lo puedes abrir.

EiNh4nDeR

Yo he lidiado con 3 cryptowalls/ransomwares diferentes en cuestión de 6 meses.
El origen siempre el mismo, adjunto por mail que ejecutan alegremente.
En mi caso, he tenido "suerte", ya que entre las cuentas de dominio bien restringidas, la gestión de los permisos en el servidor de ficheros, y los backups, no ha llegado a mucho. Estos tres puntos son vitales para sobrevivir a estos cabroncetes.
Evidentemente, si el infectado trabajaba con ficheros en local (y no en el servidor como siempre se les recomienda), esos ficheros los pierde.

Sobre el minidebate de XP que hay al principio del hilo, tristemente he de reconocer que el 80% de los equipos que mantengo tienen XP. Y también he de alegar que no es por decisión mía. El 40% de los equipos tienen un AV instalado el cual la licencia caducó hace 750 días. El resto está up to date. Y no es decisión mía tampoco. Yo sólo soy su administrador de sistemas, pero los que pagan son los socios, y si no lo consideran importante (pese a mis recomendaciones) no queda otra que currar con lo que tienes (y salir de aquí, claro, pero eso ya es otro cantar).

1
J

Mirando los 2 arhivos IHAVEYOURSECRET.KEY lo único que tienen en comum es que el mio tambien acaba en ==

1 respuesta
B

#85 Pues olvidate, no te vale mi clave. (Que acabe en == es un identificador comun en las claves)

AikonCWD

Que acabe en == es base 64, decodificalo poara ver la clave real, pero ni con esas te va a servir.

Enanon

yo me lo comi con patatas hace un par de años, por estas fechas. aun tengo un disco duro con toda la info cifrada, aunque solo me importan las fotos de 10 años, que perdi de un dia para otro.

sacaron algunos programas que recuperaban fotos pero era una movida, no se si a dia de hoy la cosa ha mejorado, algun dia me dare una vuelta a ver.

tenia antivirus, windows al dia y no soy de abrir adjuntos en emails, nunca supe donde lo pille, y lo tonto que fui que dije a lo largo de la tarde, que raro los discos duros no dejan de rascar y no estoy haciendo nada...

B

Bueno, como era de esperar, tres semanas despues y los tios han sudado de mis recomendaciones, ahi siguen trabajando con la misma seguridad que hasta ahora, a salvedad de un antivirus que les he instalado (que tampoco es que esto les vaya a salvar mucho el culo)...

Ansioso me hallo de que les vuelva a pasar lo mismo. Eso si, a la siguiente directamente los mando a una consultora informatica, quiza cuando vean que les van a tener que soltar pasta a mansalva aprendan.

1 respuesta
garlor

enviales uno tu mismo xD, no se pa que vas a mandarles a una consultora, les cobras otra vez lo mismo y listos

cuanto les cobraste al final?