Qué hacer en caso de infección de Cryptolocker
Si ves la pantalla de Cryptolocker, desconecta el equipo de la red para que el virus no pueda cifrar más archivos. Desconectar la conexión a Internet también evita que tus archivos en Dropbox o Google Drive se sobrescriban con las copias infectadas.
Como curiosidad podemos ver que para la campaña de España siempre usan el captcha "22558" tal y como se puede ver en l imagen. El código captcha nunca cambia, no es generado automáticamente, es simplemente una imagen fija.
Asunto:
Carta certificada no entregado a ustedTexto ejemplo:
Su paquete ha llegado X de abril. Courier no pudo entregar una carta certificada a usted. Imprima la información de envío y mostrarla en la oficina de correos para recibir la carta certificada.
Si la carta certificada no se recibe dentro de los 30 días laborables Correos tendrá derecho a reclamar una indemnización a usted para él está manteniendo en la cantidad de XX euros por cada día de cumplir. Usted puede encontrar la información sobre el procedimiento y las condiciones de la carta de mantener en la oficina más cercana. Este es un mensaje generado automáticamente.
Privacidad
Correos le agradece su información, ideas y sugerencias, pero no podrá responder todos los comentarios individuales. Correos podrá utilizar cualquier información por usted enviada y actuar en consecuencia. Utilización de características interactivas en este sitio Para su conveniencia, Correos podrá ofrecer características interactivas en este sitio, tal como acceso a comentarios de rastreo y de usuario. Usted está autorizado a utilizar estas características solamente confines específicos y con ningún otro fin. Corrección de este sitio Esta página web puede contener errores que hayan pasado inadvertidos o errores tipográficos. Estos serán corregidos a discreción de Correos, a medida que se identifiquen. La información en esta página web se actualiza regularmente, pero los errores pueden permanecer u ocurrir a medida que se realizan cambios durante las actualizaciones. La información de Internet se mantiene en forma independiente en varios sitios en todo el mundo y parte de la información a la que se accede a través de ésta página web puede originarse fuera de Correos. Correos declina toda obligación o responsabilidad por este contenido. .
Tras esto todos los datos del disco duro en los que el usuario tenga permisos de escritura, quedan encriptados, incluidas unidades de red (mapeadas o no) o discos duros externos conectados por USB (con letra asignada).
Esta nueva variante cifra los archivos con la extensión .encrypted
Ejemplos:
nombre_fichero.doc.encrypted
nombre_foto.jpg.encrypted
Y dentro de los directorios hay un fichero de texto .txt:
COMO_RESTAURAR_ARCHIVOS.txtCon el siguiente contenido:
===============================================================================
!!! NOS CIFRAR SUS ARCHIVOS CON Crypt0L0cker !!!
===============================================================================
Los archivos más importantes (incluidos los de los discos de red, USB, etc):
fotos, vídeos, documentos, etc. se cifran con nuestro virus Crypt0L0cker. La
única manera de restaurar los archivos es pagarnos. De lo contrario, se
perderán los archivos.
Utilice este enlace para pagar por la recuperación de los archivos:
http://3qbyaoohkcqkzrz6.tormaster.ch/c01dmgs.php?user_code=XXX&user_pass=XXX
-------------------------------------------------------------------------------
-------------------------------------------------------------------------------
[=] ¿Qué pasó con mis archivos?
Sus archivos importantes: fotos, vídeos, documentos, etc. se cifran con
nuestro virus Crypt0L0cker. Este virus utiliza muy fuerte algoritmo de
cifrado - RSA-2048. Fracción del algoritmo de cifrado RSA-2048 es imposible
sin la llave especial de descifrado.
[=] ¿Cómo puedo restaurar mis archivos?
Sus archivos ahora son inservibles e ilegibles, puede comprobar que al tratar
de abrirlos. La única manera de restaurarlos es utilizar nuestro software de
descifrado. Usted puede comprar este software de descifrado en nuestro
sitio web (http://3qbyaoohkcqkzrz6.tormaster.ch/c01dmgs.php?user_code=XX&user_pass=XX).
[=] ¿Qué debo hacer ahora?
Usted debe visitar nuestro sitio web (http://3qbyaoohkcqkzrz6.tormaster.ch/c01dmgs.php?user_code=XX&user_pass=XX)
y comprar descifrado para su PC.
[=] No puedo acceder a su sitio web. ¿Qué debo hacer?
Nuestro sitio web debe ser accesible desde uno de estos enlaces:
http://3qbyaoohkcqkzrz6.tormaster.ch/c01dmgs.php?user_code=XX&user_pass=XX
http://3qbyaoohkcqkzrz6.onion.link/c01dmgs.php?user_code=XX&user_pass=XX
http://3qbyaoohkcqkzrz6.onion.to/c01dmgs.php?user_code=XXr&user_pass=XX
https://3qbyaoohkcqkzrz6.onion.cab/c01dmgs.php?user_code=XX&user_pass=XX
http://3qbyaoohkcqkzrz6.onion/c01dmgs.php?user_code=XX&user_pass=XX (utilizando el navegador TOR)
Si por alguna razón estas direcciones no están disponibles, por favor siga
los pasos:
1. Descargue e instale TOR-navegador:
http://www.torproject.org/projects/torbrowser.html.en
2. Después de una instalación exitosa, ejecutar el navegador y esperar a
que la inicialización.
3. Escriba en la barra de direcciones:
http://3qbyaoohkcqkzrz6.onion/c01dmgs.php?user_code=XX&user_pass=XX
4. El acceso a nuestro sitio web.
También puede ponerse en contacto con nosotros a través de
correo electrónico: restorefiles@mail333.com
-------------------------------------------------------------------------------
-------------------------------------------------------------------------------
Credenciales de inicio de sesión:
URL: http://3qbyaoohkcqkzrz6.tormaster.ch/c01dmgs.php
User-Code: XX
User-Pass: XX
===============================================================================
Abril 2016:
http://birrificiotuderte.com/5Q0C6yxNV/0sI6NdTXOfq.php?id=correo@dominio.net
http://faam.com/xxxx
¿Qué es lo primero que debo hacer?
Una vez has sido "infectado" (has ejecutado el .exe) y te has dado cuenta que te la han colado, lo primero que debes hacer es desconectar el cable de red (para aislar el ordenador de la red y que no siga encriptando o cifrando los documentos de toda la red) y desconectar los discos duros o pendrive si están conectados al ordenador.Lleva cierto tiempo cifrar todos tus archivos, por lo que puedes detenerlo antes de que logre tergiversarlos a todos. Esta técnica no es en absoluto infalible, y debes tener la suerte suficiente de moverte más rápido que el malware; pero aún así, desconectarse de la red es mejor que no hacer nada.
- Desconecta inmediatamente el cable de red del ordenador. Desactiva la conexión Wifi (Wireless, apagando la conexión inalámbrica)
El segundo paso es con mscconfig o autoruns eliminar el "virus" para que no se vuelva a iniciar cuando reiniciemos Windows.
¿Cómo evitar o prevenir infección con CryptoLocker?
Consejo básico de seguridad en Windows: Mostrar la extensión real de un archivo
Una extensión de nombre de archivo es un conjunto de caracteres que se agregan al final de un nombre de archivo para determinar qué programa debería abrirlo.
-
Para abrir Opciones de carpeta, haga clic en el botón Inicio
, en Panel de control, en Apariencia y personalización y, por último, en Opciones de carpeta.
-
Haga clic en la ficha Ver y, a continuación, en Configuración avanzada, realice una de las acciones siguientes:
-
Para mostrar las extensiones de nombre de archivo, desactive la casilla Ocultar las extensiones de archivo para tipos de archivo conocidos y, a continuación, haga clic en Aceptar.
-
Antes: .pdf
Ahora mostrará: .pdf.exe
¿Cómo recuperar los archivos y ficheros secuestrados?
- Usando un backup (copia de seguridad física o en la nube, Google Drive, Dropbox, etc)
- Usando versiones anteriores
- Shadow copy (Volume Snapshot Service, Volume Shadow Copy Service, VSS)
- Usar herrmientas específicas. Ver en Otras soluciones
Herramientas de Descifrado
- CoinVault and Bitcryptor Tool Web: https://noransom.kaspersky.com/ Descarga: https://noransom.kaspersky.com/static/CoinVaultDecryptor.zip
- CryptoTorLocker2015 Decrypter Web:http://www.bleepingcomputer.com/forums/t/565020/new-cryptotorlocker2015-ransomware-discovered-and-easily-decrypted/ Descarga: http://ransomwareanalysis.com/CT2015_Decrypter.zip
- DecryptGomasom Tool Web:http://www.bleepingcomputer.com/news/security/gomasom-crypt-ransomwaredecrypted/ Descarga: http://emsi.at/DecryptGomasom
- DecryptInfinite ToolWeb:http://www.bleepingcomputer.com/news/security/cryptinfinite-or-decryptormaxransomware-decrypted/ Descarga: http://emsi.at/DecryptCryptInfinite
- LeChiffre Decryptor Tool Web: http://www.bleepingcomputer.com/news/security/emsisoft-releases-decrypter-for-thelechiffre-ransomware/ Descarga: http://emsi.at/DecryptLeChiffre
- Locker Unlocker Web: http://www.bleepingcomputer.com/virus-removal/locker-ransomware-information Descarga: https://easysyncbackup.com/Downloads/LockerUnlocker.exe
- RakhniDecryptor Tool Web: https://support.kaspersky.com/sp/viruses/disinfection/10556 Descarga: media.kaspersky.com/utilities/VirusUtilities/RU/rakhnidecryptor.exe
- Ramadant Ransomware Kit Tool Web: http://www.bleepingcomputer.com/news/security/emsisoft-releases-decrypter-for-therandamant-ransomware-kit/ Descarga: http://emsi.at/DecryptRadamant
- RannohDecryptor Tool Web: https://support.kaspersky.com/mx/8547#block1 Descarga: media.kaspersky.com/utilities/VirusUtilities/EN/rannohdecryptor.exe
- RectorDecryptor Tool Web: https://support.kaspersky.com/viruses/disinfection/4264#block2 Descarga: media.kaspersky.com/utilities/VirusUtilities/EN/rectordecryptor.exe
- TeslaCrypt Tool Web: http://www.talosintel.com/teslacrypt_tool/ Descarga: http://labs.snort.org/files/TeslaDecrypt_exe.zip
- TeslaDecoder Tool (hasta version 3 de Teslacrypt y Alphacrypt) Web: http://www.bleepingcomputer.com/virus-removal/teslacrypt-alphacrypt-ransomwareinformation#decrypt Descarga: http://download.bleepingcomputer.com/BloodDolly/TeslaDecoder.zip
CCN-CERT, - Medidas de Seguridad contra el Ransomware (Enero 2016)
¿Cómo saber con que variante he sido infectado y si se puede descifrar?
Puedes usar la página web ID Ransomware para detectar los diferentes tipos de ransomware existentes, cmo CryptoWall, TeslaCrypt, Locky, o Jigsaw:
Simplemente subiendo la nota de rescate y un fichero cifrado (.encrypted) la herramienta detectará la variante.
El servicio es completamente gratuito y fácil de usar, pues el usuario sólo debe subir la nota que genera el ransomware tras la infección, a veces en tres diferentes formatos (texto plano, HTML y BMP), y uno de los archivos cifrados como muestra, o bien, también puede hacerlo subiendo sólo uno de los dos archivos.
Soporta 52 variantes ransomware: 7ev3n, Booyah, Brazilian Ransomware, BuyUnlockCode, Cerber, CoinVault, Coverton, Crypt0L0cker, CryptoFortress, CryptoHasYou, CryptoJoker, CryptoTorLocker, CryptoWall 2.0, CryptoWall 3.0, CryptoWall 4.0, CrySiS, CTB-Locker, DMA Locker, ECLR Ransomware, EnCiPhErEd, Hi Buddy!, HOW TO DECRYPT FILES, HydraCrypt, Jigsaw, JobCrypter, KeRanger, LeChiffre, Locky, Lortok, Magic, Maktub Locker, MireWare, NanoLocker, Nemucod, OMG! Ransomcrypt, PadCrypt, PClock, PowerWare, Radamant, Rokku, Samas, Sanction, Shade, SuperCrypt, Surprise, TeslaCrypt 0.x, TeslaCrypt 2.x, TeslaCrypt 3.0, TeslaCrypt 4.0, UmbreCrypt, Unknown, VaultCrypt
Recuperar datos secuestrados por algunos ransomware con kit de herramientas
Cada ransomware tiene su propia herramienta de recuperación, sin embargo Ransomware Removal Kit, un kit de herramientas que recopila las principales herramientas necesarias para hacer frente a a los ransomwares más comunes.
Tipos de ransomware soportados:
- BitCryptor
- CoinVault
- CryptoDefense
- CryptoLocker
- FBIRansomWare
- Locker
- LosPollos
- OperationGlobal
- PCLock.
- TeslaCrypt
- TorrentLocker
La variante Teslacrypt ya tiene solución y herramietas de descifrado
Un investigador ESET descubrió que la operación del popular ransomware TeslaCrypt fue cerrada y ahora sus creadores están ofreciendo la clave (master key) de descifrado de forma gratuita para que cualquiera puede utilizarlas y desbloquear sus archivos. El investigador dijo que estableció contacto con los operadores de TeslaCrypt y estos admitieron que están cerrando las operaciones de TeslaCrypt y ofrecen las clave de descifrado a todos los usuarios.
Los delincuentes publicaron la master key de descifrado en el sitio de la Deep Web que usaban regularmente para pedir el rescate. La clave de descifrado funciona para ambas versiones de TeslaCrypt v3 y v4, que regularmente anexan una extensión .xxx, .ttt, micro o. mp3 al archivo cifrado.
ESET creó una aplicación para descifrar los archivos (descarga, instrucciones) y BloodyDolly actualizó su herramienta TeslaDecoder con la nueva master key (descarga, instrucciones).
Este comentario ha sido eliminado por el autor.
ResponderEliminarEste comentario ha sido eliminado por el autor.
ResponderEliminarVeo que propones las herramientas de descifrado como posibilidad real de recuperación de datos. ¿Realmente lo crees posible?
ResponderEliminarLo siento, pero no lo veo posible con las últimas versiones del Crypt0l0cker.
ResponderEliminarLas herramientas de descifrado son en su mayoría para las primeras versiones del "virus" del 2012-13 y algunas del 2014, desde entonces todas las variantes han ido mejorando y no se ha enconrado ninguna posibilidad de descifrado.
Pero nunca se sabe, también hay una "vacuna" para el CryptoTorLocker2015. Será cuestión de probar y ver si tienes suerte.
De todas formas te agradezco mucho la información, desconocía algunos de los métodos que se recomiendan en el informe del CNI. Probablemente acabe implementando algunos de ellos en las empresas para las que trabajo.
ResponderEliminarMuchas gracias!