Santeador, tal y como dice el artículo es del Ransomware Locker, no es del
Cryptolocker, son distintos. Pero espero que con esta acción el malandrín
del cryptolocker le de por actuar de la misma forma...
El 4 de junio de 2015, 15:02, <santeador@xxxxxxxxx> escribió:
Belky, por si todavía estás analizándolo...
http://www.securityweek.com/alleged-author-locker-ransomware-publishes-decryption-keys
Saludos.
El vie., 24 abr. 2015 a las 13:53, Hugo Segovia (<hugoac2004@xxxxxxxxx>)
escribió:
Tiene lógica. Después de todo, si el hijoputa que quiere extorsionarte
no puede recibir esa clave aleatoria, el "trabajo" de enviar el virus no
le va a servir de nada...
El vie, 24-04-2015 a las 10:54 +0200, Kilian Ubeda Cano escribió:
Una cosa curiosa también que hemos visto es que si el virus se ejecutahttps://www.technibble.com/panda-ransomware-decrypt-tool-restore-encrypted-files/
en una maquina la cual en ese momento no dispone de red o de cable
conectado el virus no empieza a encriptar, pero a la que tiene aceso a
red empieza el encriptado, suponemos que es por alguna consulta que
hace al servidor donde se aloja el malware asignándole la clave de
encriptación, en las diferentes variables que nos ha ido apareciendo
en clientes dependiendo del día que se había recibido el correo
apuntaban hacia una IP o hacia otra totalmente distinta.
El 24 de abril de 2015, 10:51, Kilian Ubeda Cano
<discodurovirtualk@xxxxxxxxx> escribió:
Que AV utilizáis? nosotros realicemos pruebas ayer con el MSE,
Avast, Avira y ESET sobre maquinas virtuales y el único que
"sospechaba" era el MSE puesto que se comía toda la RAM el
proceso de protección activa pero hasta pasados unos minutos
no detectaba la suplantación del explorer.exe de forma que ya
era tarde...
Por otro lado nosotros lo que hemos ido realizando es
deshabilitar los mapeos de red en las ubicaciones mas criticas
y crear un acceso directo con la ruta UNC de la carpeta
compartida.
El 24 de abril de 2015, 10:48, Javier Fernandez
<cuevadellobo@xxxxxxxxx> escribió:
Pues las tiendas Yoigo estamos sufriendo intentos de
ataque, 3 van ya, uno haciendose pasar por Sage UK y
los otros 2 como si fuesen correos internos de la
compañía, pero correo que llega en ingles se borra
directo, al menos en mi caso.
Salu2
El 24/4/2015 10:44, "Marotillo" <marotillo@xxxxxxxxx>
escribió:
En mi empresa ayer se dieron los dos primeros
casos, pero el antivirus (Kaspersky) los
detectó y sólo cifró un par de documentos que
tenía el usuario en el escritorio (menos mal,
porque tenia conectadas 5 ó 6 unidades de
red).
En el segundo caso, el antivirus lo paró sin
que llegase a cifrar nada, aunque el mensaje
con las instrucciones para pagar el "rescate"
sí salían.
El 24 de abril de 2015, 10:19, Kilian Ubeda
Cano <discodurovirtualk@xxxxxxxxx> escribió:
A dia de hoy con las ultimas variantes
no es posible desencriptar los
ficheros >.<, esta semana llevo como 5
Cryptolockers en varios clientes,
hemos probado varias "utilidades" de
prevención en maquina cliente y
distintas pruebas sobre entornos
controlados y AV distintos y tambien
sin exito.
El 24 de abril de 2015, 10:14, Sergio
Fernandez
<elautoestopista@xxxxxxxxxxxxxxxx>
escribió:
Buenas,
Sin haberlo sufrido en mis
carnes (afortunadamente), he
leido esto esta mañana:
//www.freelists.org/list/bofhers (
Había leido que los ficheros
de la variante antigua se
podían desencriptar porque se
usaba la misma clave en todos
los casos, que estaba
hardcodeada en el código del
malware, pero que los de la
nueva no se pueden porque
generan su propia clave en el
momento de la infección. Por
eso se me hace bastante
difícil de creer que esto
funcione. Y el hecho de que se
auna solución patria tampoco
me anima XD
¿Alguno lo ha
probado?¿Funciona?
Saludín
---
Lista de Correo #BOFHers -
//www.freelists.org/list/bofhers)
Síguenos también el Twitter,http://pastebin.com/jGnZreHP
en el hastag #BOFHers (y
derivados)
¡También tenemos un servidor
IRC! irc.bofhers.com:6667
canal #BOFHers
23 de abril del 2015 10:15,
"Kilian Ubeda Cano"
<discodurovirtualk@xxxxxxxxx>
escribió:
Venga otro mas ;)
parece que esta semana
va a ser movidita.
discodurovirtualk@xxxxxxxxx> escribió:
El 22 de abril de
2015, 19:48, Xavier
Barnada
<xbarnada@xxxxxxxxx>
escribió:
Hace unos días
un conocido
tuvo una
infeccion en
una empresa y
estuvimos
buscando
información.
Si lo pillas
cuando esta
cifrando los
ficheros
puedes
intentar
volcar la
memoria del
proceso y en
teoría allí
debe haber la
llave para
descifrarlo.
Otra cosa que
leímos era que
depende que
versiones del
virus no
eliminan de
forma segura
los ficheros
originales con
lo que con un
programa de
recuperación
de ficheros se
puede intentar
recuperar.
Creo que lo
mejor es
avisar a los
usuarios y
intentar
bloquear los
coreros de
alguna forma.
El 22 de abril
de 2015,
17:52, Kilian
Ubeda Cano
<
Unacaba de recibir uno de los famosos mails de correos con un criptolocker te
cliente
dejo aqui el contenido en HTML por si te sirve ;)
http://pastebin.com/Ec774QzG
Fernández <elautoestopista@xxxxxxxxxxxxxxxx> escribió:
El 21
de
abril
de
2015,
13:22,
Sergio
Ya podíais haber puesto el link en un pastebin, ¿no? Hay que joderse.
El 21 de abril de 2015 13:03:20 CEST, belky <belky@xxxxxxxxxxxxxx>
escribió:
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
El Tue, 21 Apr 2015 12:56:56 +0200
"Eduardo G. Aguilar Grandes" <yacopi88@xxxxxxxxx> escribió:
Trend Micro OfficeScan, no dice ni mu al descargarlo. He
mandado
analizar el fichero expecíficamente, y tampoco.
Por si acaso no lo he abierto pero... tela.
Yo lo he descargado en mi linux y no tengo AV puesto asi que no
puedo
indicar nada con el AV. De todos modos, para estas cosas, hazlo con
maquinas virtuales o sandbox. Nunca viene mal tener alguna
preparada.
Saludos
Belky
VampireBBS Sysop
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.12 (GNU/Linux)
iEYEARECAAYFAlU2LngACgkQZQy/kxLV1uHXngCaAml7fe4i3HZ4GRqOj+7xJIln
aK8AoJI0eAP97+TEVdxOcfTMHB9dA92z
=y8XM
-----END PGP SIGNATURE-----
--
Sent from my Android device with K-9 Mail. Please excuse my brevity.
Administrador de Sistemas.
--
Kilian
Ubeda
-
-APMGestió i Comunicació-
http://www.cmos486.es
http://www.twitter.com/cmos486
http://www.flickr.com/photos/erhacker22/
AVISO:contenido de este mensaje y sus anexos es confidencial. En el caso de que
El
usted no sea el destinatario del mismo, le comunicamos la prohibición de su
utilización, divulgación y/o copia, sin la correspondiente autorización. Si
ha recibido este mensaje por error, agradeceríamos lo comunique
inmediatamente al remitente y proceda asimismo a su destrucción.
http://www.twitter.com/cmos486
--
Kilian Ubeda -
Administrador de
Sistemas.
-APMGestió i
Comunicació-
http://www.cmos486.es
http://www.flickr.com/photos/erhacker22/
AVISO: El contenido dehttp://www.flickr.com/photos/erhacker22/
este mensaje y sus
anexos es
confidencial. En el
caso de que usted no
sea el destinatario
del mismo, le
comunicamos la
prohibición de su
utilización,
divulgación y/o copia,
sin la correspondiente
autorización. Si ha
recibido este mensaje
por error,
agradeceríamos lo
comunique
inmediatamente al
remitente y proceda
asimismo a su
destrucción.
--
Kilian Ubeda - Administrador de
Sistemas.
-APMGestió i Comunicació-
http://www.cmos486.es
http://www.twitter.com/cmos486
AVISO: El contenido de este mensaje y
sus anexos es confidencial. En el caso
de que usted no sea el destinatario
del mismo, le comunicamos la
prohibición de su utilización,
divulgación y/o copia, sin la
correspondiente autorización. Si ha
recibido este mensaje por error,
agradeceríamos lo comunique
inmediatamente al remitente y proceda
asimismo a su destrucción.
--
Kilian Ubeda - Administrador de Sistemas.
-APMGestió i Comunicació-
http://www.cmos486.es
http://www.twitter.com/cmos486
http://www.flickr.com/photos/erhacker22/
AVISO: El contenido de este mensaje y sus anexos es
confidencial. En el caso de que usted no sea el destinatario
del mismo, le comunicamos la prohibición de su utilización,
divulgación y/o copia, sin la correspondiente autorización. Si
ha recibido este mensaje por error, agradeceríamos lo
comunique inmediatamente al remitente y proceda asimismo a su
destrucción.
--
Kilian Ubeda - Administrador de Sistemas.
-APMGestió i Comunicació-
http://www.cmos486.es
http://www.twitter.com/cmos486
http://www.flickr.com/photos/erhacker22/
AVISO: El contenido de este mensaje y sus anexos es confidencial. En
el caso de que usted no sea el destinatario del mismo, le comunicamos
la prohibición de su utilización, divulgación y/o copia, sin la
correspondiente autorización. Si ha recibido este mensaje por error,
agradeceríamos lo comunique inmediatamente al remitente y proceda
asimismo a su destrucción.
