Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
971
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
▼
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
▼
mayo
(Total:
35
)
- Locker es el primer ransomware que espera instrucc...
- Madrid ya navega con los 1.000 Mbps de Fibra FAST!...
- El fiscal pide más de 5 años de cárcel para la cúp...
- Comparativa de 18 antivirus para Linux
- La herramienta de análisis IDA reinicia las claves...
- Denegar ejecución de programas a un usuario de Win...
- El 97% de los usuarios no es capaz de identificar ...
- Las API's de Windows más utilizadas por el malware
- Kali Linux presenta su contenedor Docker oficial b...
- Moose, el gusano que ataca routers basados en Linu...
- Rombertik: Un maestro de evasión de técnicas de an...
- Nuevo ransomware para Android también pide rescate...
- Obnoxious, otro miembro de Lizard Squad detenido e...
- Nuevo truco para bypassear UAC en Windows
- Google recomienda evitar el uso de la "Preguntas s...
- La NSA planeaba espiar a los usuarios teléfonos mó...
- Reporte trimestral Akamai ataques DDoS en 2015: SS...
- Presentación del Libro CiberCrimen de Mercè Molist
- Disco de recuperación de Windows 7 y 8
- Adolescente de 15 años quema un ordenador de su co...
- Nueva variante de TeslaCrypt permite chatear con l...
- Parche de Oracle para la vulnerabilidad Venom en l...
- Ofuscación de Macros maliciosas en Documentos Word
- Una extensión para Chrome permite ver los amigos o...
- Google cerrará el servicio PageSpeed el 3 de agosto
- Microsoft Powershell DSC ahora disponible para Linux
- Rombertik: malware que intenta escribir en el MBR ...
- Tarjeta controladora (PCB Printed Circuit Board) d...
- Office 2016 permitirá la edición de documentos en ...
- Bokken, interfaz gráfica (GUI) para Radare y pyew
- NoSuchApp para Android decubre apps que se conecta...
- CCN-CERT: Medidas de seguridad contra el Ransomware
- TeslaCrypt, una variante del ransomware CryptoLock...
- Introducción a los ataques DDoS basados en JavaScript
- Se cumplen 15 años del Virus I Love You
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
395
)
privacidad
(
363
)
google
(
348
)
ransomware
(
337
)
vulnerabilidad
(
296
)
Malware
(
259
)
Windows
(
240
)
android
(
239
)
tutorial
(
233
)
cve
(
231
)
manual
(
218
)
software
(
201
)
hardware
(
189
)
linux
(
123
)
twitter
(
115
)
ddos
(
94
)
WhatsApp
(
90
)
Wifi
(
84
)
cifrado
(
77
)
herramientas
(
75
)
hacking
(
73
)
sysadmin
(
67
)
app
(
65
)
Networking
(
56
)
nvidia
(
52
)
ssd
(
50
)
youtube
(
50
)
adobe
(
43
)
firmware
(
41
)
office
(
41
)
hack
(
40
)
firefox
(
35
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
MAC
(
25
)
apache
(
25
)
programación
(
25
)
exploit
(
23
)
javascript
(
22
)
multimedia
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
Un grupo de investigadores en ciberseguridad ha descubierto una campaña masiva que se aprovecha de configuraciones inseguras de Git , esté e...
-
Los procesadores Intel y AMD han vivido una importante renovación en los últimos dos años. El gigante de Sunnyvale mantuvo su apuesta por ...
Nueva variante de TeslaCrypt permite chatear con los secuestradores de los ficheros
lunes, 18 de mayo de 2015
|
Publicado por
el-brujo
|
Editar entrada
Una nueva variante del ransomware TeslaCrypt cifra ahora los archivos con extensión .EXX, la variante se basa en Alpha Crypt y además incluye opciones de chat, puedes conversar on-line con los secuestradores de tus ficheros. La otra importante novedad es que esta nueva versión de momento no se puede descifrar, todo lo contrario que con las primeras versiones de TeslaCrypt que si se podían recuperar la totalidad de los archivos cifrados.
Una nueva variante del ransomware TeslaCrypt ha sido puesto en libertad la semana pasada y tiene algunos cambios menores, pero en su mayor parte es el mismo que Alpha Crypt. Las principales diferencias son que esta nueva versión cuenta con una interfaz gráfica de usuario diferente, que se muestra a continuación, y algunos cambios en nombres de archivo y ubicación, además de utilizar la extensión .EXX al cifrar sus archivos.
Nueva GUI
Las siguientes extensiones de ficheros son cifradas en esta nueva versión:
Una vez cifrados todos los archivos cambia el fondo de pantalla del Escritorio por:
y también mostrar una nota de texto encontrado aquí:
La información de cifrado pasado estaba almacenado en el% \ key.dat archivo% AppData. En esta versión la información se almacena en% LocalAppData% \ storage.bin.
En este momento no hay ninguna manera de descifrar los archivos y TeslaDecrypt no funcionará con esta nueva variante.
Nuevos lugares de los ficheros de TeslaCrypt:
Claves de registro nuevas:
El chat se llama "Support" Soporte con su "Centro de Mensajes", Message Center".
Se estima que de unas 1.231 víctimas del TeslaCrypt, unas 263 han interactuado con los cibercriminales. Los mensajes proveen un punto de vista interno de las reacciones, sentimientos y emociones de las víctimas que expresan de distinta manera su rabia, indignación o desesperación.
Los comentarios en rojo son de los criminales y los de azul los de las víctimas del ransomware.
Algunos recurren a los insultos:
Otros alertan que no van a pagar dado que tienen copias de seguridad:
Hasta se pueden obtener suculentas rebajas si el secuestrador está de buen humor:
También se puede dar el caso que después de pagar el rescate no se puedan descifrar los ficheros ya que puede ser una variante del virus que no sea escrita por al persona con la que hablamos. Es el problema de las múltiples variantes:
Fuentes:
https://www.fireeye.com/blog/threat-research/2015/05/teslacrypt_followin.html
http://www.bleepingcomputer.com/forums/t/575875/new-teslacrypt-version-released-that-uses-the-exx-extension/
Una nueva variante del ransomware TeslaCrypt ha sido puesto en libertad la semana pasada y tiene algunos cambios menores, pero en su mayor parte es el mismo que Alpha Crypt. Las principales diferencias son que esta nueva versión cuenta con una interfaz gráfica de usuario diferente, que se muestra a continuación, y algunos cambios en nombres de archivo y ubicación, además de utilizar la extensión .EXX al cifrar sus archivos.
Nueva GUI
Las siguientes extensiones de ficheros son cifradas en esta nueva versión:
.sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt
Una vez cifrados todos los archivos cambia el fondo de pantalla del Escritorio por:
Desktop%\HELP_RESTORE_FILES.bmp
y también mostrar una nota de texto encontrado aquí:
%Desktop%\HELP_RESTORE_FILES.txt
La información de cifrado pasado estaba almacenado en el% \ key.dat archivo% AppData. En esta versión la información se almacena en% LocalAppData% \ storage.bin.
En este momento no hay ninguna manera de descifrar los archivos y TeslaDecrypt no funcionará con esta nueva variante.
Nuevos lugares de los ficheros de TeslaCrypt:
%LocalAppData%\.exe
%LocalAppData%\log.html
%LocalAppData%\storage.bin
%Desktop%\Save_Files.lnk
%Desktop%\HELP_RESTORE_FILES.bmp
%Desktop%\HELP_RESTORE_FILES.txt
%Documents%\RECOVERY_FILE.TXT
Claves de registro nuevas:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\AVrSvc %LocalAppData%\.exe
HKCU\Control Panel\Desktop\Wallpaper "%Desktop%\HELP_RESTORE_FILES.bmp"
Chatea on-line con los extorsionadores
Las víctimas están esparcidas por todo el mundo, desde estudiantes en Irán y España a personas de los Estados Unidos, Alemania, Argentina, Croacia y Mongolia. Algunos temían que iban a ser expulsados de la escuela o el despido de su trabajo si los archivos no eran devueltos. Padres y madres fueron destrozados por la pérdida de sus fotos de familia.El chat se llama "Support" Soporte con su "Centro de Mensajes", Message Center".
Se estima que de unas 1.231 víctimas del TeslaCrypt, unas 263 han interactuado con los cibercriminales. Los mensajes proveen un punto de vista interno de las reacciones, sentimientos y emociones de las víctimas que expresan de distinta manera su rabia, indignación o desesperación.
Los comentarios en rojo son de los criminales y los de azul los de las víctimas del ransomware.
Algunos recurren a los insultos:
Otros alertan que no van a pagar dado que tienen copias de seguridad:
Hasta se pueden obtener suculentas rebajas si el secuestrador está de buen humor:
También se puede dar el caso que después de pagar el rescate no se puedan descifrar los ficheros ya que puede ser una variante del virus que no sea escrita por al persona con la que hablamos. Es el problema de las múltiples variantes:
Fuentes:
https://www.fireeye.com/blog/threat-research/2015/05/teslacrypt_followin.html
http://www.bleepingcomputer.com/forums/t/575875/new-teslacrypt-version-released-that-uses-the-exx-extension/
Enviar por correo electrónico
Escribe un blog
Compartir con Twitter
Compartir con Facebook
Compartir en Pinterest
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.