En mi empresa ayer se dieron los dos primeros casos, pero el antivirus
(Kaspersky) los detectó y sólo cifró un par de documentos que tenía el
usuario en el escritorio (menos mal, porque tenia conectadas 5 ó 6 unidades
de red).
En el segundo caso, el antivirus lo paró sin que llegase a cifrar nada,
aunque el mensaje con las instrucciones para pagar el "rescate" sí salían.
El 24 de abril de 2015, 10:19, Kilian Ubeda Cano <
discodurovirtualk@xxxxxxxxx> escribió:
A dia de hoy con las ultimas variantes no es posible desencriptar los
ficheros >.<, esta semana llevo como 5 Cryptolockers en varios clientes,
hemos probado varias "utilidades" de prevención en maquina cliente y
distintas pruebas sobre entornos controlados y AV distintos y tambien sin
exito.
El 24 de abril de 2015, 10:14, Sergio Fernandez <
elautoestopista@xxxxxxxxxxxxxxxx> escribió:
Buenas,
Sin haberlo sufrido en mis carnes (afortunadamente), he leido esto esta
mañana:
https://www.technibble.com/panda-ransomware-decrypt-tool-restore-encrypted-files/
Había leido que los ficheros de la variante antigua se podían
desencriptar porque se usaba la misma clave en todos los casos, que estaba
hardcodeada en el código del malware, pero que los de la nueva no se pueden
porque generan su propia clave en el momento de la infección. Por eso se me
hace bastante difícil de creer que esto funcione. Y el hecho de que se auna
solución patria tampoco me anima XD
¿Alguno lo ha probado?¿Funciona?
Saludín
---
Lista de Correo #BOFHers - //www.freelists.org/list/bofhers (
//www.freelists.org/list/bofhers)
Síguenos también el Twitter, en el hastag #BOFHers (y derivados)
¡También tenemos un servidor IRC! irc.bofhers.com:6667 canal #BOFHers
23 de abril del 2015 10:15, "Kilian Ubeda Cano" <
discodurovirtualk@xxxxxxxxx
<%22Kilian%20Ubeda%20Cano%22%20%3Cdiscodurovirtualk@xxxxxxxxx%3E>>
escribió:
Venga otro mas ;) parece que esta semana va a ser movidita.
http://pastebin.com/jGnZreHP
El 22 de abril de 2015, 19:48, Xavier Barnada <xbarnada@xxxxxxxxx>
escribió:
Hace unos días un conocido tuvo una infeccion en una empresa y estuvimos
buscando información.
Si lo pillas cuando esta cifrando los ficheros puedes intentar volcar la
memoria del proceso y en teoría allí debe haber la llave para descifrarlo.
Otra cosa que leímos era que depende que versiones del virus no eliminan
de forma segura los ficheros originales con lo que con un programa de
recuperación de ficheros se puede intentar recuperar.
Creo que lo mejor es avisar a los usuarios y intentar bloquear los
coreros de alguna forma.
El 22 de abril de 2015, 17:52, Kilian Ubeda Cano <
discodurovirtualk@xxxxxxxxx> escribió:
Un cliente acaba de recibir uno de los famosos mails de correos con un
criptolocker te dejo aqui el contenido en HTML por si te sirve ;)
http://pastebin.com/Ec774QzG
El 21 de abril de 2015, 13:22, Sergio Fernández <
elautoestopista@xxxxxxxxxxxxxxxx> escribió:
Ya podíais haber puesto el link en un pastebin, ¿no? Hay que joderse.
El 21 de abril de 2015 13:03:20 CEST, belky <belky@xxxxxxxxxxxxxx>
escribió:
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
El Tue, 21 Apr 2015 12:56:56 +0200
"Eduardo G. Aguilar Grandes" <yacopi88@xxxxxxxxx> escribió:
Trend Micro OfficeScan, no dice ni mu al descargarlo. He mandado
analizar el fichero expecíficamente, y tampoco.
Por si acaso no lo he abierto pero... tela.
Yo lo he descargado en mi linux y no tengo AV puesto asi que no puedo
indicar nada con el AV. De todos modos, para estas cosas, hazlo con
maquinas virtuales o sandbox. Nunca viene mal tener alguna preparada.
Saludos
Belky
VampireBBS Sysop
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.12 (GNU/Linux)
iEYEARECAAYFAlU2LngACgkQZQy/kxLV1uHXngCaAml7fe4i3HZ4GRqOj+7xJIln
aK8AoJI0eAP97+TEVdxOcfTMHB9dA92z
=y8XM
-----END PGP SIGNATURE-----
--
Sent from my Android device with K-9 Mail. Please excuse my brevity.
--
*Kilian Ubeda* - Administrador de Sistemas.
*-APMGestió i Comunicació-*
http://www.cmos486.es
http://www.twitter.com/cmos486
http://www.flickr.com/photos/erhacker22/
*AVISO:* El contenido de este mensaje y sus anexos es confidencial. En
el caso de que usted no sea el destinatario del mismo, le comunicamos la
prohibición de su utilización, divulgación y/o copia, sin la
correspondiente autorización. Si ha recibido este mensaje por error,
agradeceríamos lo comunique inmediatamente al remitente y proceda asimismo
a su destrucción.
--
*Kilian Ubeda* - Administrador de Sistemas.
*-APMGestió i Comunicació-*
http://www.cmos486.es
http://www.twitter.com/cmos486
http://www.flickr.com/photos/erhacker22/
*AVISO:* El contenido de este mensaje y sus anexos es confidencial. En
el caso de que usted no sea el destinatario del mismo, le comunicamos la
prohibición de su utilización, divulgación y/o copia, sin la
correspondiente autorización. Si ha recibido este mensaje por error,
agradeceríamos lo comunique inmediatamente al remitente y proceda asimismo
a su destrucción.
--
*Kilian Ubeda* - Administrador de Sistemas.
*-APMGestió i Comunicació-*
http://www.cmos486.es
http://www.twitter.com/cmos486
http://www.flickr.com/photos/erhacker22/
*AVISO:* El contenido de este mensaje y sus anexos es confidencial. En el
caso de que usted no sea el destinatario del mismo, le comunicamos la
prohibición de su utilización, divulgación y/o copia, sin la
correspondiente autorización. Si ha recibido este mensaje por error,
agradeceríamos lo comunique inmediatamente al remitente y proceda asimismo
a su destrucción.
