[CentOS-es] [Malware] Telsacrypt .VVV -- Remover y recuperar archivos ?
Pablo Alberto Flores
pabflore en uchile.cl
Vie Dic 11 13:16:16 UTC 2015
Difícil el caso.
Si esta utilizando criptografia asimétrica moderna es muy difícil que
puedas dar con la llave.
Cuanto te cobran por el rescate?
Ademas de intentar de rescatar la info debes preocuparte de averiguar por
donde entraron.
Suerte
El 11 de diciembre de 2015, 1:07, angel jauregui <darkdiabliyo en gmail.com>
escribió:
> Correccion.... El Malware usa una firma publica y privada....
>
> El 10 de diciembre de 2015, 22:07, angel jauregui <darkdiabliyo en gmail.com>
> escribió:
>
> > Buen día Lista...
> >
> > Alguien de aquí ha tenido algún reporte, información o experiencia con el
> > malware TELSACRIPT ???....
> >
> > Uno de mis clientes ya se le infecto un equipo de computo donde no había
> > permisos restrictivos para utilizar el equipo y ejecutaron el malware, lo
> > peor es que (a lo que he ledido) el malware es muy nuevo, muchos
> antivirus
> > aun no lo detectan, y esto sin mencionar que los archivos de uso
> frecuente
> > como: XLS(x), DOC(x), RTF, MDB, JPG, PNG, PDF, etc.... los encripta
> usando
> > una firma digital que posteriormente el cibercriminal deja UN MENSAJE
> > invitándolos a *recuperar sus archivos* mediante un pago a este mismo.
> >
> > En mi caso, a mi cliente le afecto por parte del SOFTWARE que usan para
> > manejo de toda la empresa, ya que el malware solo encripta los archivos y
> > carpetas en red que encuentra, mas *los archivos encriptados* no tiene la
> > capacidad de propagar el malware.
> >
> > Apenas llevo un día de acercamiento con esto, es muy fácil eliminar el
> > malware, el problema es *desencriptar los archivos*, a lo cual aun estoy
> > trabajando en ello.
> >
> > De entrada *tengo una imagen forense* del disco duro que fue infectado,
> > una copia del malware y tengo una idea del procedimiento a seguir, pero
> > hasta no tener avances se los comparto.
> >
> > Igual ma~ana voy a infectar una maquina virtual y capturar todo el
> trafico
> > de salida para ver el Servidor a donde sube el "certificado" que descifra
> > los encriptados, ver si el certificado se queda en el equipo o lo sube a
> > alguna parte y tratar de hacer reversa al proceso y conseguir
> desencriptar
> > los archivos afectados.
> >
> > Que opinan de esto ? algún comentario ?
> >
> > Saludos !
> >
> > --
> > M.S.I. Angel Haniel Cantu Jauregui.
> >
> > Celular: (011-52-1)-899-871-17-22
> > E-Mail: angel.cantu en sie-group.net
> > Web: http://www.sie-group.net/
> > Cd. Reynosa Tamaulipas.
> >
>
>
>
> --
> M.S.I. Angel Haniel Cantu Jauregui.
>
> Celular: (011-52-1)-899-871-17-22
> E-Mail: angel.cantu en sie-group.net
> Web: http://www.sie-group.net/
> Cd. Reynosa Tamaulipas.
> _______________________________________________
> CentOS-es mailing list
> CentOS-es en centos.org
> https://lists.centos.org/mailman/listinfo/centos-es
>
Más información sobre la lista de distribución CentOS-es