tiquismiquis xD
No es cryptolocker sino una versión del mismo. Sobreescribe MBR para
arrancar una pantalla roja con instrucciones y cifra la MFT. Windows no
llega ni a arrancar. (
http://blog.trendmicro.com/trendlabs-security-intelligence/petya-crypto-ransomware-overwrites-mbr-lock-users-computers/
)
Pero ya lo han crackeado...
https://labs.bitdefender.com/2016/04/low-level-petya-ransomware-gets-bitdefender-vaccine/
2016-04-22 0:30 GMT+02:00 Francisco Javier Vazquez Umbria <f5inet@xxxxxxxxx>
:
creo que cryptolocker cifraba la MasterFileTable. Cifrando la MFT, que es
basicamente perder el indice de donde se encuentra cada archivo, has
perdido los archivos, pero los datos continuan ahi, esperando que alguien
restaure dicho indice.
que cifre el MasterBootRecord no tiene sentido, ya que el PC no
arrancaria. que sobreescriba el MBR para que arranque desde una posicion
conocida del HDD donde esta el binario de Cryptolocker que presenta la
linda pantalla... pues ya me cuadra mas...
Asi que: Cryptolocker CIFRA la MFT y sobreescribe el MBR (ya que con una
MFT 'cifrada' a ver como demonios hace el driver de NTFS.SYS para encontrar
los archivos)
El 21 de abril de 2016, 17:42, malevolent <malevolent@xxxxxxxx> escribió:
Y yo que sigo sin saber si cuando decís MBT os referís al Master Boot
Record o a la Master File Table...
*--Malevolent*
SIP: malevolent@xxxxxxxxx
E: malevolent@xxxxxxxx <http://mailto:malevolent@xxxxxxxx>
[image: Linkedin] <https://archlinuxhacks.wordpress.com/>
<https://archlinuxhacks.wordpress.com/>
[image: Linkedin] <http://tuxjuegos.tuxfamily.org/>
<http://tuxjuegos.tuxfamily.org/>
[image: Twitter] <http://twitter.com/#%21/malevolo>
---- On mar, 05 abr 2016 15:42:01 +0200 *Eduardo M. Guirao
<santeador@xxxxxxxxx <santeador@xxxxxxxxx>>*wrote ----
Bueno, lo de la MBT lo hace Windows el solito convirtiéndote el disco a
RAW en un plis plas. xD
Y sí, algún día aprenderán lo que "vale" un buen backup...
El mar., 5 abr. 2016 a las 15:39, Wardog (<wardogyelmundo@xxxxxxxxx>)
escribió:
Jodó con el nuevo.
La mejor solución para este señor va a ser montarle un buen sistema de
backup para el futuro.
El 5 de abril de 2016, 15:25, TarodBOFH <bofh@xxxxxxxxxxxxx> escribió:
Hay un nuevo cryptolocker que reemplaza el MBT y el arranque, luego
fuerza un pantallazo azul y al reiniciar lo hace con un mini sistema
operativo que muestra solo las instrucciones de desbloqueo. Lo que cifra es
la tabla de las particiones y creo que alguna cosa más del MBT original...
vaya cabronazo este...
2016-04-05 15:20 GMT+02:00 Sergio Navarro Fernández <snavarrotd@xxxxxxxxx
:
DEP.
Yo conseguí rescartar un par, pero serían de las primeras versiones de
los cryptolocker, los más nuevos ni de coña.
De los programitas que usé ni puta idea, creo que ejecuté absolutamente
todo lo que veía que acababa en exe, así a ojo.
2016-04-05 15:15 GMT+02:00 ManOwaR <manowarfreak.blogspot@xxxxxxxxx>:
Mis condolencias, eso me pasó a mi hace poco más de un año y las pasé
putas. Y montón de archivos restaurados de backup porque de las
herramientas que había no me sirvió ninguna.
El 5 de abril de 2016, 15:13, Albert Canelles <profion@xxxxxxxxx>
escribió:
Esta puede ser que fuese?
http://blogs.cisco.com/security/talos/teslacrypt
El 5 de abril de 2016, 15:06, TarodBOFH <bofh@xxxxxxxxxxxxx> escribió:
Depende de la versión de crypto que le hayan colado. Las últimas aún no
tienen herramienta pero para las otras, hay una web que si subes una
muestra te dice que versión tienes y como proceder... pero no la
recuerdo... =/
2016-04-05 15:05 GMT+02:00 Wardog <wardogyelmundo@xxxxxxxxx>:
A un señor le han colado el "virus de correos" y le han cifrado hasta el
ooooRRRRtooo en un XP, no tiene backups, todo mal.
¿Me lo he imaginado yo o había una herramienta por ahí que era capaz de
revertir el cifrado?
