Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1019
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
▼
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
▼
enero
(Total:
51
)
- Google da más de 1 millón y medio de dólares en el...
- Vulnerabilidad en Wi-Fi Direct de Android permite ...
- Mozilla hace una donación a la red Tor
- Disponible LibreOffice 4.4 con nueva interfaz
- Manual análisis tráfico de red con Wireshark
- El mayor ataque DDoS alcanzó los 400Gbps en 2014
- YouTube utilizará por defecto HTML5 en lugar de F...
- Características técnicas del Bq Aquaris E4.5 Ubuntu
- GHOST: glibc: buffer overflow en gethostbyname CVE...
- FairPhone: el teléfono móvil justo
- Lizard Squad tumba Facebook, Instagram y MySpace
- Vodafone confirma el bloqueo a The Pirate Bay por ...
- Lizard Squad hackea la web de Malaysia Airlines
- Disponible Wifislax-4.10.1 (Versión de mantenimiento)
- Nvidia amplía la familia Maxwell con la GeForce GT...
- La policía incautó 50 servidores en la redada cont...
- Solucionada vulnerabilidad XSS en el panel de cont...
- LibreOffice Viewer Beta disponible para Android
- Nueva variante del Ransomware CryptoLocker descubi...
- Nueva vulnerabilidad 0day en Flash Player
- Estudio del mejor disco duro mecánico del 2014 por...
- Las peores contraseñas del 2014
- El registrador de dominios GoDaddy soluciona una g...
- WhatsApp empieza a banear por 24 horas a los usuar...
- Jornadas X1RedMasSegura 2015
- Llega Adamo móvil para clientes de la compañía
- Detienen a un joven de 18 años acusado de pertenec...
- Disponible Tails 1.2.3 la distribución Linux para ...
- KeySweeper cargador USB registra todas las pulsaci...
- Jornadas INCIBE de ciberseguridad para estudiantes...
- Exploit Pack el framework Metasploit open source
- Dark Mail, el e-mail seguro del fundador de Lavabit
- Se cumplen dos años del suicidio de Aaron Swartz
- Ataques XSS avanzados y ejemplos de explotación
- Guía básica de privacidad, anonimato y autodefensa...
- SPARTA Python Gui para hydra y nmap
- "Volveré" El mensaje cifrado oculto de The Pirate Bay
- Manual - Tutorial WPS Pin Generator para Wifislax
- Manual GOYscript (WEP, WPA & WPS)
- Kali Linux NetHunter - ROM de Kali para Android co...
- Script automatizado GeminisAuditor v1.0 [WEP, WPA,...
- Disponible para descargar la preview de Microsoft ...
- Softavir - el antivirus español basado en listas b...
- Pentoo: una distribución dirigida a la seguridad i...
- LINSET 0.14 - WPA/2 Hack sin Fuerza Bruta - Crack...
- 4Chan primera víctima del ataque DDoS utilizando L...
- Twitter permite eliminar la localización de tus me...
- Colección de 2386 juegos de MS-DOS para jugar desd...
- Lizard Squad ofrece su servicio de pago por realiz...
- Continúan las detenciones de supuestos miembros de...
- II Jornadas de Seguridad y Ciberdefensa de la Univ...
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
395
)
privacidad
(
363
)
google
(
353
)
ransomware
(
338
)
vulnerabilidad
(
301
)
Malware
(
263
)
Windows
(
243
)
android
(
242
)
cve
(
235
)
tutorial
(
235
)
manual
(
220
)
software
(
201
)
hardware
(
193
)
linux
(
124
)
twitter
(
115
)
ddos
(
94
)
WhatsApp
(
90
)
Wifi
(
85
)
cifrado
(
77
)
herramientas
(
75
)
hacking
(
73
)
sysadmin
(
67
)
app
(
65
)
Networking
(
56
)
nvidia
(
52
)
ssd
(
51
)
youtube
(
50
)
adobe
(
43
)
firmware
(
42
)
office
(
41
)
hack
(
40
)
firefox
(
35
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
MAC
(
25
)
apache
(
25
)
programación
(
25
)
exploit
(
23
)
javascript
(
22
)
multimedia
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
La seguridad en dispositivos móviles es cada vez más crucial, especialmente ante el crecimiento de aplicaciones maliciosas diseñadas para v...
-
Pese a que Gemini ofrece multitudes de opciones, recientemente, se ha dado a conocer una situación fuera de lo común. Hace unos días, un es...
Nueva variante del Ransomware CryptoLocker descubierta
jueves, 22 de enero de 2015
|
Publicado por
el-brujo
|
Editar entrada
PandaLabs ha detectado nueva variante de ransomware conocido como TorrentLocker o CryptoLocker Trj/RansomCrypt.B. La neuva variante bautizada como CTB-Locker aka Citroni, la principal diferencia es que demuestra que, si pagas, puedes recuperar todos los ficheros cifrados. La otra novedad es que incluye nuevas traducciones en Holandés e Italiano.
TorrentLocker es un programa ransomware archivo de cifrado que fue lanzado a finales de agosto 2014 que se dirige a todas las versiones de Windows, incluyendo Windows XP, Windows Vista, Windows 7 y Windows 8. Una vez que haya sido infectado con TorrentLocker va a escanear su ordenador para buscar archivos de datos y cifrarlos utilizando un cifrado AES para que luego ya no son capaces de ser abiertos
Este tipo de malware suele llegar por correo electrónico haciendo creer a la víctima que es un correo legítimo para que lo ejecute. Una vez ejecutado cifra imágenes y documentos que encuentre en el equipo y nos cambia el fondo de escritorio por la siguiente imagen. Además, crea un documento de texto con la misma información.
“CTB” son las siglas de las 3 tecnologías que sustentan este programa: ‘Curve’ (por la criptografía de curva elíptica), ‘TOR’ y ‘Bitcoin’:
La criptografía de curva elíptica es la usada para cifrar los archivos de los usuarios: su fortaleza hace virtualmente imposible desbloquear el acceso a los archivos sin pagar ‘el rescate’.
A raiz de monitorizar la muestra de un fichero con extension .SCR hemos recibido el codificado de ficheros de todos los ficheros de datos y el aviso en pantalla de la existencia del que se hace llamar CTB-LOCKER, que cambia en cada infección y hemos visto que codifica ficheros ZIP, TXT, JPG, etc, ofreciendo una pantalla de informacion del mismo en el ordenador, que ofrece informacion de los ficheros que se han cifrado y si esta presente, es señal de que el virus persiste
Después nos salta la siguiente pantalla indicándonos que paguemos antes del tiempo indicado. Si no se paga en ese tiempo suelen incrementar el valor por descifrarlos
Si pinchamos en siguiente, aparece otra ventana diciéndonos que, si pagamos, descifran los ficheros.
Para demostrarlo y que estemos seguros de que esto es así, liberan esos 5 documentos.
Como en casos anteriores también podemos ver un fichero adjunto con la extensión .cab.
El uso de esta extensión no es trivial, ya que se trata del formato nativo de ficheros comprimidos que utiliza Windows y, al no tratarse de un ejecutable ni de un formato de fichero comprimido que sea especialmente conocido (como los .zip o .rar) es muy probable que los usuarios bajen la guardia y sean más propensos a abrirlo.
Algunas variantes cifran los archivos con la extensión .encrypted.
Las nuevas variantes del CTB Locker ransomware cifran los archivos con una exntesión aleatoria. Renombrarn todos los ficheros (pdf, excel, etc) Todos los archivos tienen la misma extensión.
Método 1: copias de seguridad
El primer y mejor método para restaurar los datos es una copia de seguridad reciente. Si no tienes backup ¿qué estas esperando para hacerlo?
Método 2: Software de recuperación de archivos
Parece que cuando CTB-Locker cifra un archivo, primero hace una copia del mismo, codifica la copia y luego elimina el original. Debido a este procedimiento se puede usar un software de recuperación de archivos como R-Studio o Photorec para intentar recuperar algunos de los archivos originales. Es importante tener en cuenta que cuanto más se utilice la computadora, más difícil será recuperar los archivos eliminados sin cifrar.
Método 3: Instantáneas de volumen de Windows (Shadow Volume Copies)
Como último recurso, puede tratar de restaurar los archivos a través de las instantáneas de volumen automática de Windows, siempre y cuando las mismas se encuentren activadas en el sistema operativo. Desafortunadamente, el malware intentará eliminar las instantáneas, pero a veces no logra hacerlo y esta copia puede utilizarse para restaurar los archivos.
Si se encuentra activada la opción "Restaurar sistema" del equipo, Windows crea copias instantáneas del sistema (Shadow Copy). Esta opción está disponible desde Windows XP Service Pack 2 en adelante.
Estos snapshots permiten restaurar una versión anterior de los archivos, antes de que fueran cifrados. Sin embargo, los archivos recuperados seguramente no serán la última versión del archivo.
Existen dos métodos que pueden utilizarse para restaurar archivos y carpetas desde el Volume Shadow Copy. El primer método es usar las funciones nativas de Windows y el segundo método es utilizar la aplicación gratuita Shadow Explorer. No hace daño probar ambos métodos y ver qué cual funciona mejor.
Para restaurar archivos individuales se puede hacer clic derecho sobre el archivo, ir a propiedades y seleccionar la versión anterior que se desea recuperar.
Click con el botón derecho en cualquier archivo cifrado o carpeta entera y click en "EXPORT..."
Fuentes:
http://www.pandasecurity.com/spain/mediacenter/malware/atencion-nueva-variante-de-ransomware/
http://www.zonavirus.com/noticias/2015/otra-historia-para-no-dormir-el-nuevo-cryptolocker-ctb-locker.asp
http://blog.trendmicro.com/trendlabs-security-intelligence/ctb-locker-ransomware-includes-freemium-feature-extends-deadline/
http://seguinfo.blogspot.com.es/2015/01/guia-sobre-ctb-locker-y-ii.html
https://noransom.kaspersky.com/
DecryptoLocker.exe
https://www.decryptcryptolocker.com/Decryptolocker.exe
Análisis del ransomware TorrentLocker
Alerta por infecciones masivas por e-mail falso de un Aviso de "Correos"
TorrentLocker es un programa ransomware archivo de cifrado que fue lanzado a finales de agosto 2014 que se dirige a todas las versiones de Windows, incluyendo Windows XP, Windows Vista, Windows 7 y Windows 8. Una vez que haya sido infectado con TorrentLocker va a escanear su ordenador para buscar archivos de datos y cifrarlos utilizando un cifrado AES para que luego ya no son capaces de ser abiertos
Este tipo de malware suele llegar por correo electrónico haciendo creer a la víctima que es un correo legítimo para que lo ejecute. Una vez ejecutado cifra imágenes y documentos que encuentre en el equipo y nos cambia el fondo de escritorio por la siguiente imagen. Además, crea un documento de texto con la misma información.
¿Qué es CTB-Locker o Critroni?
CTB-Locker (Curve-Tor-Bitcoin Locker), también conocido como Critroni, es un ransomware que, luego de infectar el sistema, cifra los archivos del mismo. La primera versión fue lanzada en julio de 2014 y está dirigido a todas las versiones de Windows, incluyendo Windows XP, Windows Vista, Windows 7 y Windows 8.“CTB” son las siglas de las 3 tecnologías que sustentan este programa: ‘Curve’ (por la criptografía de curva elíptica), ‘TOR’ y ‘Bitcoin’:
La criptografía de curva elíptica es la usada para cifrar los archivos de los usuarios: su fortaleza hace virtualmente imposible desbloquear el acceso a los archivos sin pagar ‘el rescate’.
Citroni - Curve-Tor-Bitcoin (CTB)
A raiz de monitorizar la muestra de un fichero con extension .SCR hemos recibido el codificado de ficheros de todos los ficheros de datos y el aviso en pantalla de la existencia del que se hace llamar CTB-LOCKER, que cambia en cada infección y hemos visto que codifica ficheros ZIP, TXT, JPG, etc, ofreciendo una pantalla de informacion del mismo en el ordenador, que ofrece informacion de los ficheros que se han cifrado y si esta presente, es señal de que el virus persiste
Después nos salta la siguiente pantalla indicándonos que paguemos antes del tiempo indicado. Si no se paga en ese tiempo suelen incrementar el valor por descifrarlos
Si pinchamos en siguiente, aparece otra ventana diciéndonos que, si pagamos, descifran los ficheros.
Para demostrarlo y que estemos seguros de que esto es así, liberan esos 5 documentos.
¿Cómo reconocer CTB-Locker?
- Este malware viene en un correo electrónico con un fichero adjunto. Es un fichero de Word, con extensión .doc ó .rtf, o un fichero comprimido (.zip) que contiene dentro un fichero con extensión .scr.
- Algunas variantes, además de cifrar los ficheros del equipo infectado, roban la libreta de direcciones para lograr nuevas víctimas a quién enviar estos mensajes maliciosos. Para empeorar todo, falsifica la dirección del remitente. Así, es probable que la dirección que se muestra en el correo sea la de uno de nuestros contactos.
- Puedes encontrar ejemplos de este tipo de emails aquí.
Mensajes en español - Crypt0L0cker
En la nueva oleada de ransomware CTB-Locker detectada durante esta semana el procedimiento utilizado por los delincuentes para infectar a los sistemas de los usuarios ha sido el mismo que en la ocasión anterior. Es decir, el envío masivo de correos electrónicos (esta vez en español) utilizando la información de contacto de una compañía de suministro de agua ubicada en Fuerteventura, en la provincia de Las Palmas (Islas Canarias, España.Como en casos anteriores también podemos ver un fichero adjunto con la extensión .cab.
El uso de esta extensión no es trivial, ya que se trata del formato nativo de ficheros comprimidos que utiliza Windows y, al no tratarse de un ejecutable ni de un formato de fichero comprimido que sea especialmente conocido (como los .zip o .rar) es muy probable que los usuarios bajen la guardia y sean más propensos a abrirlo.
Algunas variantes cifran los archivos con la extensión .encrypted.
CTB Locker ransomware
Las nuevas variantes del CTB Locker ransomware cifran los archivos con una exntesión aleatoria. Renombrarn todos los ficheros (pdf, excel, etc) Todos los archivos tienen la misma extensión.
¿Cómo restaurar archivos cifrados por CTB-Locker?
Método 1: copias de seguridad
El primer y mejor método para restaurar los datos es una copia de seguridad reciente. Si no tienes backup ¿qué estas esperando para hacerlo?
Método 2: Software de recuperación de archivos
Parece que cuando CTB-Locker cifra un archivo, primero hace una copia del mismo, codifica la copia y luego elimina el original. Debido a este procedimiento se puede usar un software de recuperación de archivos como R-Studio o Photorec para intentar recuperar algunos de los archivos originales. Es importante tener en cuenta que cuanto más se utilice la computadora, más difícil será recuperar los archivos eliminados sin cifrar.
Método 3: Instantáneas de volumen de Windows (Shadow Volume Copies)
Como último recurso, puede tratar de restaurar los archivos a través de las instantáneas de volumen automática de Windows, siempre y cuando las mismas se encuentren activadas en el sistema operativo. Desafortunadamente, el malware intentará eliminar las instantáneas, pero a veces no logra hacerlo y esta copia puede utilizarse para restaurar los archivos.
¿Cómo restaurar archivos cifrados por CTB-Locker con instantáneas de volumen?
Si se encuentra activada la opción "Restaurar sistema" del equipo, Windows crea copias instantáneas del sistema (Shadow Copy). Esta opción está disponible desde Windows XP Service Pack 2 en adelante.
Estos snapshots permiten restaurar una versión anterior de los archivos, antes de que fueran cifrados. Sin embargo, los archivos recuperados seguramente no serán la última versión del archivo.
Existen dos métodos que pueden utilizarse para restaurar archivos y carpetas desde el Volume Shadow Copy. El primer método es usar las funciones nativas de Windows y el segundo método es utilizar la aplicación gratuita Shadow Explorer. No hace daño probar ambos métodos y ver qué cual funciona mejor.
Para restaurar archivos individuales se puede hacer clic derecho sobre el archivo, ir a propiedades y seleccionar la versión anterior que se desea recuperar.
Click con el botón derecho en cualquier archivo cifrado o carpeta entera y click en "EXPORT..."
Fuentes:
http://www.pandasecurity.com/spain/mediacenter/malware/atencion-nueva-variante-de-ransomware/
http://www.zonavirus.com/noticias/2015/otra-historia-para-no-dormir-el-nuevo-cryptolocker-ctb-locker.asp
http://blog.trendmicro.com/trendlabs-security-intelligence/ctb-locker-ransomware-includes-freemium-feature-extends-deadline/
http://seguinfo.blogspot.com.es/2015/01/guia-sobre-ctb-locker-y-ii.html
Utilidades para eliminar ransomware sin tener que pagar rescate
- Trojan-Ransom.Win32.Scraper (TorLocker) --> ScraperDecryptor.zip
- CoinVault --> decryption application
Otras soluciones
Herramienta de Kaspersky para desencriptarhttps://noransom.kaspersky.com/
DecryptoLocker.exe
https://www.decryptcryptolocker.com/Decryptolocker.exe
Enviar por correo electrónico
Escribe un blog
Compartir en X
Compartir con Facebook
Compartir en Pinterest
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.