[CentOS-es] [Malware] Telsacrypt .VVV -- Remover y recuperar archivos ?
angel jauregui
darkdiabliyo en gmail.com
Vie Dic 11 04:07:51 UTC 2015
Correccion.... El Malware usa una firma publica y privada....
El 10 de diciembre de 2015, 22:07, angel jauregui <darkdiabliyo en gmail.com>
escribió:
> Buen día Lista...
>
> Alguien de aquí ha tenido algún reporte, información o experiencia con el
> malware TELSACRIPT ???....
>
> Uno de mis clientes ya se le infecto un equipo de computo donde no había
> permisos restrictivos para utilizar el equipo y ejecutaron el malware, lo
> peor es que (a lo que he ledido) el malware es muy nuevo, muchos antivirus
> aun no lo detectan, y esto sin mencionar que los archivos de uso frecuente
> como: XLS(x), DOC(x), RTF, MDB, JPG, PNG, PDF, etc.... los encripta usando
> una firma digital que posteriormente el cibercriminal deja UN MENSAJE
> invitándolos a *recuperar sus archivos* mediante un pago a este mismo.
>
> En mi caso, a mi cliente le afecto por parte del SOFTWARE que usan para
> manejo de toda la empresa, ya que el malware solo encripta los archivos y
> carpetas en red que encuentra, mas *los archivos encriptados* no tiene la
> capacidad de propagar el malware.
>
> Apenas llevo un día de acercamiento con esto, es muy fácil eliminar el
> malware, el problema es *desencriptar los archivos*, a lo cual aun estoy
> trabajando en ello.
>
> De entrada *tengo una imagen forense* del disco duro que fue infectado,
> una copia del malware y tengo una idea del procedimiento a seguir, pero
> hasta no tener avances se los comparto.
>
> Igual ma~ana voy a infectar una maquina virtual y capturar todo el trafico
> de salida para ver el Servidor a donde sube el "certificado" que descifra
> los encriptados, ver si el certificado se queda en el equipo o lo sube a
> alguna parte y tratar de hacer reversa al proceso y conseguir desencriptar
> los archivos afectados.
>
> Que opinan de esto ? algún comentario ?
>
> Saludos !
>
> --
> M.S.I. Angel Haniel Cantu Jauregui.
>
> Celular: (011-52-1)-899-871-17-22
> E-Mail: angel.cantu en sie-group.net
> Web: http://www.sie-group.net/
> Cd. Reynosa Tamaulipas.
>
--
M.S.I. Angel Haniel Cantu Jauregui.
Celular: (011-52-1)-899-871-17-22
E-Mail: angel.cantu en sie-group.net
Web: http://www.sie-group.net/
Cd. Reynosa Tamaulipas.
Más información sobre la lista de distribución CentOS-es