[CentOS-es] [Malware] Telsacrypt .VVV -- Remover y recuperar archivos ?
Ernesto Perez
ernesto.perez en cedia.org.ec
Vie Dic 11 17:12:07 UTC 2015
Aprovecho para recomendarte que uses los respaldos de antes del problema aquí indicado.
--
Saludos
Epe
> El 11 dic 2015, a las 11:17 a.m., angel jauregui <darkdiabliyo en gmail.com> escribió:
>
> En mi escrito inicial indique por donde entraron !...
>
> Sobre el malware ya indague y hay informacion de importancia !
>
> El 11 de diciembre de 2015, 7:16, Pablo Alberto Flores <pabflore en uchile.cl>
> escribió:
>
>> Difícil el caso.
>> Si esta utilizando criptografia asimétrica moderna es muy difícil que
>> puedas dar con la llave.
>> Cuanto te cobran por el rescate?
>>
>> Ademas de intentar de rescatar la info debes preocuparte de averiguar por
>> donde entraron.
>>
>> Suerte
>>
>>
>> El 11 de diciembre de 2015, 1:07, angel jauregui <darkdiabliyo en gmail.com>
>> escribió:
>>
>>> Correccion.... El Malware usa una firma publica y privada....
>>>
>>> El 10 de diciembre de 2015, 22:07, angel jauregui <
>> darkdiabliyo en gmail.com>
>>> escribió:
>>>
>>>> Buen día Lista...
>>>>
>>>> Alguien de aquí ha tenido algún reporte, información o experiencia con
>> el
>>>> malware TELSACRIPT ???....
>>>>
>>>> Uno de mis clientes ya se le infecto un equipo de computo donde no
>> había
>>>> permisos restrictivos para utilizar el equipo y ejecutaron el malware,
>> lo
>>>> peor es que (a lo que he ledido) el malware es muy nuevo, muchos
>>> antivirus
>>>> aun no lo detectan, y esto sin mencionar que los archivos de uso
>>> frecuente
>>>> como: XLS(x), DOC(x), RTF, MDB, JPG, PNG, PDF, etc.... los encripta
>>> usando
>>>> una firma digital que posteriormente el cibercriminal deja UN MENSAJE
>>>> invitándolos a *recuperar sus archivos* mediante un pago a este mismo.
>>>>
>>>> En mi caso, a mi cliente le afecto por parte del SOFTWARE que usan para
>>>> manejo de toda la empresa, ya que el malware solo encripta los
>> archivos y
>>>> carpetas en red que encuentra, mas *los archivos encriptados* no tiene
>> la
>>>> capacidad de propagar el malware.
>>>>
>>>> Apenas llevo un día de acercamiento con esto, es muy fácil eliminar el
>>>> malware, el problema es *desencriptar los archivos*, a lo cual aun
>> estoy
>>>> trabajando en ello.
>>>>
>>>> De entrada *tengo una imagen forense* del disco duro que fue infectado,
>>>> una copia del malware y tengo una idea del procedimiento a seguir, pero
>>>> hasta no tener avances se los comparto.
>>>>
>>>> Igual ma~ana voy a infectar una maquina virtual y capturar todo el
>>> trafico
>>>> de salida para ver el Servidor a donde sube el "certificado" que
>> descifra
>>>> los encriptados, ver si el certificado se queda en el equipo o lo sube
>> a
>>>> alguna parte y tratar de hacer reversa al proceso y conseguir
>>> desencriptar
>>>> los archivos afectados.
>>>>
>>>> Que opinan de esto ? algún comentario ?
>>>>
>>>> Saludos !
>>>>
>>>> --
>>>> M.S.I. Angel Haniel Cantu Jauregui.
>>>>
>>>> Celular: (011-52-1)-899-871-17-22
>>>> E-Mail: angel.cantu en sie-group.net
>>>> Web: http://www.sie-group.net/
>>>> Cd. Reynosa Tamaulipas.
>>>>
>>>
>>>
>>>
>>> --
>>> M.S.I. Angel Haniel Cantu Jauregui.
>>>
>>> Celular: (011-52-1)-899-871-17-22
>>> E-Mail: angel.cantu en sie-group.net
>>> Web: http://www.sie-group.net/
>>> Cd. Reynosa Tamaulipas.
>>> _______________________________________________
>>> CentOS-es mailing list
>>> CentOS-es en centos.org
>>> https://lists.centos.org/mailman/listinfo/centos-es
>>>
>> _______________________________________________
>> CentOS-es mailing list
>> CentOS-es en centos.org
>> https://lists.centos.org/mailman/listinfo/centos-es
>>
>
>
>
> --
> M.S.I. Angel Haniel Cantu Jauregui.
>
> Celular: (011-52-1)-899-871-17-22
> E-Mail: angel.cantu en sie-group.net
> Web: http://www.sie-group.net/
> Cd. Reynosa Tamaulipas.
> _______________________________________________
> CentOS-es mailing list
> CentOS-es en centos.org
> https://lists.centos.org/mailman/listinfo/centos-es
Más información sobre la lista de distribución CentOS-es