[CentOS-es] [Malware] Telsacrypt .VVV -- Remover y recuperar archivos ?
angel jauregui
darkdiabliyo en gmail.com
Vie Dic 11 16:16:59 UTC 2015
En mi escrito inicial indique por donde entraron !...
Sobre el malware ya indague y hay informacion de importancia !
El 11 de diciembre de 2015, 7:16, Pablo Alberto Flores <pabflore en uchile.cl>
escribió:
> Difícil el caso.
> Si esta utilizando criptografia asimétrica moderna es muy difícil que
> puedas dar con la llave.
> Cuanto te cobran por el rescate?
>
> Ademas de intentar de rescatar la info debes preocuparte de averiguar por
> donde entraron.
>
> Suerte
>
>
> El 11 de diciembre de 2015, 1:07, angel jauregui <darkdiabliyo en gmail.com>
> escribió:
>
> > Correccion.... El Malware usa una firma publica y privada....
> >
> > El 10 de diciembre de 2015, 22:07, angel jauregui <
> darkdiabliyo en gmail.com>
> > escribió:
> >
> > > Buen día Lista...
> > >
> > > Alguien de aquí ha tenido algún reporte, información o experiencia con
> el
> > > malware TELSACRIPT ???....
> > >
> > > Uno de mis clientes ya se le infecto un equipo de computo donde no
> había
> > > permisos restrictivos para utilizar el equipo y ejecutaron el malware,
> lo
> > > peor es que (a lo que he ledido) el malware es muy nuevo, muchos
> > antivirus
> > > aun no lo detectan, y esto sin mencionar que los archivos de uso
> > frecuente
> > > como: XLS(x), DOC(x), RTF, MDB, JPG, PNG, PDF, etc.... los encripta
> > usando
> > > una firma digital que posteriormente el cibercriminal deja UN MENSAJE
> > > invitándolos a *recuperar sus archivos* mediante un pago a este mismo.
> > >
> > > En mi caso, a mi cliente le afecto por parte del SOFTWARE que usan para
> > > manejo de toda la empresa, ya que el malware solo encripta los
> archivos y
> > > carpetas en red que encuentra, mas *los archivos encriptados* no tiene
> la
> > > capacidad de propagar el malware.
> > >
> > > Apenas llevo un día de acercamiento con esto, es muy fácil eliminar el
> > > malware, el problema es *desencriptar los archivos*, a lo cual aun
> estoy
> > > trabajando en ello.
> > >
> > > De entrada *tengo una imagen forense* del disco duro que fue infectado,
> > > una copia del malware y tengo una idea del procedimiento a seguir, pero
> > > hasta no tener avances se los comparto.
> > >
> > > Igual ma~ana voy a infectar una maquina virtual y capturar todo el
> > trafico
> > > de salida para ver el Servidor a donde sube el "certificado" que
> descifra
> > > los encriptados, ver si el certificado se queda en el equipo o lo sube
> a
> > > alguna parte y tratar de hacer reversa al proceso y conseguir
> > desencriptar
> > > los archivos afectados.
> > >
> > > Que opinan de esto ? algún comentario ?
> > >
> > > Saludos !
> > >
> > > --
> > > M.S.I. Angel Haniel Cantu Jauregui.
> > >
> > > Celular: (011-52-1)-899-871-17-22
> > > E-Mail: angel.cantu en sie-group.net
> > > Web: http://www.sie-group.net/
> > > Cd. Reynosa Tamaulipas.
> > >
> >
> >
> >
> > --
> > M.S.I. Angel Haniel Cantu Jauregui.
> >
> > Celular: (011-52-1)-899-871-17-22
> > E-Mail: angel.cantu en sie-group.net
> > Web: http://www.sie-group.net/
> > Cd. Reynosa Tamaulipas.
> > _______________________________________________
> > CentOS-es mailing list
> > CentOS-es en centos.org
> > https://lists.centos.org/mailman/listinfo/centos-es
> >
> _______________________________________________
> CentOS-es mailing list
> CentOS-es en centos.org
> https://lists.centos.org/mailman/listinfo/centos-es
>
--
M.S.I. Angel Haniel Cantu Jauregui.
Celular: (011-52-1)-899-871-17-22
E-Mail: angel.cantu en sie-group.net
Web: http://www.sie-group.net/
Cd. Reynosa Tamaulipas.
Más información sobre la lista de distribución CentOS-es