Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Buscador

Entradas Mensuales

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Foro de elhacker.net - Noticias

elhacker.NET en Facebook

Entradas populares

PostHeaderIcon Nueva oleada del virus Crypt0l0cker con aviso de Correos de Carta Certificada




Se ha detectado una nueva campaña en abril de 2016 de phishing que suplanta la identidad de la empresa Correos con una supuesto e-mail con el asunto de "carta certificada" con el objetivo de engañar a los usuarios mediante ingeniería social, para que hagan clic en un enlace que les redirige a una web maliciosa que suplanta la identidad de la compañía y tratar de provocar que los usuarios descarguen e instalen (ejecuten) un virus que cifra todos los archivos del ordenador.





 Qué hacer en caso de infección de Cryptolocker


Si ves la pantalla de Cryptolocker, desconecta el equipo de la red para que el virus no pueda cifrar más archivos. Desconectar la conexión a Internet también evita que tus archivos en Dropbox o Google Drive se sobrescriban con las copias infectadas.

Como curiosidad podemos ver que para la campaña de España siempre usan el captcha "22558" tal y como se puede ver en l imagen. El código captcha nunca cambia, no es generado automáticamente, es simplemente una imagen fija.




Asunto:

Carta certificada no entregado a usted
Texto ejemplo:

Su paquete ha llegado X de abril. Courier no pudo entregar una carta certificada a usted. Imprima la información de envío y mostrarla en la oficina de correos para recibir la carta certificada.

Si la carta certificada no se recibe dentro de los 30 días laborables Correos tendrá derecho a reclamar una indemnización a usted para él está manteniendo en la cantidad de XX euros por cada día de cumplir. Usted puede encontrar la información sobre el procedimiento y las condiciones de la carta de mantener en la oficina más cercana. Este es un mensaje generado automáticamente.

Privacidad
Correos le agradece su información, ideas y sugerencias, pero no podrá responder todos los comentarios individuales. Correos podrá utilizar cualquier información por usted enviada y actuar en consecuencia. Utilización de características interactivas en este sitio Para su conveniencia, Correos podrá ofrecer características interactivas en este sitio, tal como acceso a comentarios de rastreo y de usuario. Usted está autorizado a utilizar estas características solamente confines específicos y con ningún otro fin. Corrección de este sitio Esta página web puede contener errores que hayan pasado inadvertidos o errores tipográficos. Estos serán corregidos a discreción de Correos, a medida que se identifiquen. La información en esta página web se actualiza regularmente, pero los errores pueden permanecer u ocurrir a medida que se realizan cambios durante las actualizaciones. La información de Internet se mantiene en forma independiente en varios sitios en todo el mundo y parte de la información a la que se accede a través de ésta página web puede originarse fuera de Correos. Correos declina toda obligación o responsabilidad por este contenido. .


Tras esto todos los datos del disco duro en los que el usuario tenga permisos de escritura, quedan encriptados, incluidas unidades de red (mapeadas o no) o discos duros externos  conectados por USB (con letra asignada).

Esta nueva variante cifra los archivos con la extensión .encrypted

Ejemplos:

nombre_fichero.doc.encrypted
nombre_foto.jpg.encrypted

Y dentro de los directorios hay un fichero de texto .txt:

COMO_RESTAURAR_ARCHIVOS.txt
Con el siguiente contenido:
===============================================================================
               !!! NOS CIFRAR SUS ARCHIVOS CON Crypt0L0cker !!!
===============================================================================


Los archivos más importantes (incluidos los de los discos de red, USB, etc):
fotos, vídeos, documentos, etc. se cifran con nuestro virus Crypt0L0cker. La
única manera de restaurar los archivos es pagarnos. De lo contrario, se
perderán los archivos.

Utilice este enlace para pagar por la recuperación de los archivos:
http://3qbyaoohkcqkzrz6.tormaster.ch/c01dmgs.php?user_code=XXX&user_pass=XXX


-------------------------------------------------------------------------------
-------------------------------------------------------------------------------

[=] ¿Qué pasó con mis archivos?

  Sus archivos importantes: fotos, vídeos, documentos, etc. se cifran con
  nuestro virus Crypt0L0cker. Este virus utiliza muy fuerte algoritmo de
  cifrado - RSA-2048. Fracción del algoritmo de cifrado RSA-2048 es imposible
  sin la llave especial de descifrado.


[=] ¿Cómo puedo restaurar mis archivos?

  Sus archivos ahora son inservibles e ilegibles, puede comprobar que al tratar
  de abrirlos. La única manera de restaurarlos es utilizar nuestro software de
  descifrado. Usted puede comprar este software de descifrado en nuestro
  sitio web (http://3qbyaoohkcqkzrz6.tormaster.ch/c01dmgs.php?user_code=XX&user_pass=XX).


[=] ¿Qué debo hacer ahora?

  Usted debe visitar nuestro sitio web (http://3qbyaoohkcqkzrz6.tormaster.ch/c01dmgs.php?user_code=XX&user_pass=XX)
  y comprar descifrado para su PC.


[=] No puedo acceder a su sitio web. ¿Qué debo hacer?

  Nuestro sitio web debe ser accesible desde uno de estos enlaces:
  http://3qbyaoohkcqkzrz6.tormaster.ch/c01dmgs.php?user_code=XX&user_pass=XX
http://3qbyaoohkcqkzrz6.onion.link/c01dmgs.php?user_code=XX&user_pass=XX
http://3qbyaoohkcqkzrz6.onion.to/c01dmgs.php?user_code=XXr&user_pass=XX
https://3qbyaoohkcqkzrz6.onion.cab/c01dmgs.php?user_code=XX&user_pass=XX

  http://3qbyaoohkcqkzrz6.onion/c01dmgs.php?user_code=XX&user_pass=XX (utilizando el navegador TOR)

  Si por alguna razón estas direcciones no están disponibles, por favor siga
  los pasos:
    1. Descargue e instale TOR-navegador:
       http://www.torproject.org/projects/torbrowser.html.en
    2. Después de una instalación exitosa, ejecutar el navegador y esperar a
       que la inicialización.
    3. Escriba en la barra de direcciones:
       http://3qbyaoohkcqkzrz6.onion/c01dmgs.php?user_code=XX&user_pass=XX
    4. El acceso a nuestro sitio web.

  También puede ponerse en contacto con nosotros a través de
  correo electrónico: restorefiles@mail333.com

-------------------------------------------------------------------------------
-------------------------------------------------------------------------------

Credenciales de inicio de sesión:
  URL:       http://3qbyaoohkcqkzrz6.tormaster.ch/c01dmgs.php
  User-Code: XX
  User-Pass: XX

=============================================================================== 

Abril 2016:

http://birrificiotuderte.com/5Q0C6yxNV/0sI6NdTXOfq.php?id=correo@dominio.net
http://faam.com/xxxx



¿Qué es lo primero que debo hacer?

 Una vez has sido "infectado" (has ejecutado el .exe) y te has dado cuenta que te la han colado, lo primero que debes hacer es desconectar el cable de red (para aislar el ordenador de la red y que no siga encriptando o cifrando los documentos de toda la red) y desconectar los discos duros o pendrive si están conectados al ordenador.

Lleva cierto tiempo cifrar todos tus archivos, por lo que puedes detenerlo antes de que logre tergiversarlos a todos. Esta técnica no es en absoluto infalible, y debes tener la suerte suficiente de moverte más rápido que el malware; pero aún así, desconectarse de la red es mejor que no hacer nada.

  • Desconecta inmediatamente el cable de red del ordenador. Desactiva la conexión Wifi (Wireless, apagando la conexión inalámbrica)

El segundo paso es con mscconfig o autoruns eliminar el "virus" para que no se vuelva a iniciar cuando reiniciemos Windows.


¿Cómo evitar o prevenir infección con CryptoLocker?


Consejo básico de seguridad en Windows: Mostrar la extensión real de un archivo


Una extensión de nombre de archivo es un conjunto de caracteres que se agregan al final de un nombre de archivo para determinar qué programa debería abrirlo.

  1. Para abrir Opciones de carpeta, haga clic en el botón InicioImagen del botón Inicio, en Panel de control, en Apariencia y personalización y, por último, en Opciones de carpeta.
  2. Haga clic en la ficha Ver y, a continuación, en Configuración avanzada, realice una de las acciones siguientes:
    • Para mostrar las extensiones de nombre de archivo, desactive la casilla Ocultar las extensiones de archivo para tipos de archivo conocidos y, a continuación, haga clic en Aceptar.
Desmarcar Ocultar las extensiones de archivo para tipos de archivo conocidos

Antes: .pdf

Ahora mostrará: .pdf.exe


¿Cómo recuperar los archivos y ficheros secuestrados?

  • Usando un backup (copia de seguridad física o en la nube, Google Drive, Dropbox, etc)
  • Usando versiones anteriores
  • Shadow copy (Volume Snapshot Service, Volume Shadow Copy Service, VSS)
  • Usar herrmientas específicas. Ver en Otras soluciones 

Herramientas de Descifrado

Fuente:
CCN-CERT, - Medidas de Seguridad contra el Ransomware (Enero 2016)

¿Cómo saber con que variante he sido infectado y si se puede descifrar?



Puedes usar la página web ID Ransomware para detectar los diferentes tipos de ransomware existentes, cmo CryptoWall, TeslaCrypt, Locky, o Jigsaw:

Simplemente subiendo la nota de rescate y un fichero cifrado (.encrypted) la herramienta detectará la variante.

El servicio es completamente gratuito y fácil de usar, pues el usuario sólo debe subir la nota que genera el ransomware tras la infección, a veces en tres diferentes formatos (texto plano, HTML y BMP), y uno de los archivos cifrados como muestra, o bien, también puede hacerlo subiendo sólo uno de los dos archivos.

Soporta 52 variantes ransomware: 7ev3n, Booyah, Brazilian Ransomware, BuyUnlockCode, Cerber, CoinVault, Coverton, Crypt0L0cker, CryptoFortress, CryptoHasYou, CryptoJoker, CryptoTorLocker, CryptoWall 2.0, CryptoWall 3.0, CryptoWall 4.0, CrySiS, CTB-Locker, DMA Locker, ECLR Ransomware, EnCiPhErEd, Hi Buddy!, HOW TO DECRYPT FILES, HydraCrypt, Jigsaw, JobCrypter, KeRanger, LeChiffre, Locky, Lortok, Magic, Maktub Locker, MireWare, NanoLocker, Nemucod, OMG! Ransomcrypt, PadCrypt, PClock, PowerWare, Radamant, Rokku, Samas, Sanction, Shade, SuperCrypt, Surprise, TeslaCrypt 0.x, TeslaCrypt 2.x, TeslaCrypt 3.0, TeslaCrypt 4.0, UmbreCrypt, Unknown, VaultCrypt

Recuperar datos secuestrados por algunos ransomware con kit de herramientas


Cada ransomware tiene su propia herramienta de recuperación, sin embargo Ransomware Removal Kit, un kit de herramientas que recopila las principales herramientas necesarias para hacer frente a a los ransomwares más comunes.

Tipos de ransomware soportados:
  • BitCryptor
  • CoinVault
  • CryptoDefense
  • CryptoLocker
  • FBIRansomWare
  • Locker
  • LosPollos
  • OperationGlobal
  • PCLock.
  • TeslaCrypt
  • TorrentLocker

La variante Teslacrypt ya tiene solución y herramietas de descifrado


Un investigador ESET descubrió que la operación del popular ransomware TeslaCrypt fue cerrada y ahora sus creadores están ofreciendo la clave (master key) de descifrado de forma gratuita para que cualquiera puede utilizarlas y desbloquear sus archivos. El investigador dijo que estableció contacto con los operadores de TeslaCrypt y estos admitieron que están cerrando las operaciones de TeslaCrypt y ofrecen las clave de descifrado a todos los usuarios.

Los delincuentes publicaron la master key de descifrado en el sitio de la Deep Web que usaban regularmente para pedir el rescate. La clave de descifrado funciona para ambas versiones de TeslaCrypt v3 y v4, que regularmente anexan una extensión .xxx, .ttt, micro o. mp3 al archivo cifrado.

ESET creó una aplicación para descifrar los archivos (descarga, instrucciones) y BloodyDolly actualizó su herramienta TeslaDecoder con la nueva master key (descarga, instrucciones).

PostHeaderIcon Nueva variante del virus CryptoLocker: Crypt0L0cker



5 comentarios :

panreyes dijo...
Este comentario ha sido eliminado por el autor.
panreyes dijo...
Este comentario ha sido eliminado por el autor.
panreyes dijo...

Veo que propones las herramientas de descifrado como posibilidad real de recuperación de datos. ¿Realmente lo crees posible?

el-brujo dijo...

Lo siento, pero no lo veo posible con las últimas versiones del Crypt0l0cker.

Las herramientas de descifrado son en su mayoría para las primeras versiones del "virus" del 2012-13 y algunas del 2014, desde entonces todas las variantes han ido mejorando y no se ha enconrado ninguna posibilidad de descifrado.

Pero nunca se sabe, también hay una "vacuna" para el CryptoTorLocker2015. Será cuestión de probar y ver si tienes suerte.

panreyes dijo...

De todas formas te agradezco mucho la información, desconocía algunos de los métodos que se recomiendan en el informe del CNI. Probablemente acabe implementando algunos de ellos en las empresas para las que trabajo.
Muchas gracias!

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.