[CentOS-es] [Malware] Telsacrypt .VVV -- Remover y recuperar archivos ?

angel jauregui darkdiabliyo en gmail.com
Vie Dic 11 20:23:33 UTC 2015 

Hasta ahorita como no me encargo de la seguridad de la empresa, solo del
servidor GNU/Linux el problema radico en que no pusieron restriccion de
acceso a los equipos cliente Windows por cuentas, todo mundo sabia la vlace
del admin, y resulto que logeados como admin instalaron cosas y entre esos
archivos se bajo el malware.

He leido puros enlaces en ingles, ahorita leo esos enlaces porque aun estoy
en face de prueba.

Saludos !

El 11 de diciembre de 2015, 13:40, William Silupu <wsilupu en gmail.com>
escribió:

> Aqui otra herramienta
> https://noransom.kaspersky.com/
>>
> El 11 de diciembre de 2015, 12:12, Ernesto Perez <
> ernesto.perez en cedia.org.ec
> > escribió:
>
> > Aprovecho para recomendarte que uses los respaldos de antes del problema
> > aquí indicado.
> >
> > --
> > Saludos
> > Epe
> >
> > > El 11 dic 2015, a las 11:17 a.m., angel jauregui <
> darkdiabliyo en gmail.com>
> > escribió:
> > >
> > > En mi escrito inicial indique por donde entraron !...
> > >
> > > Sobre el malware ya indague y hay informacion de importancia !
> > >
> > > El 11 de diciembre de 2015, 7:16, Pablo Alberto Flores <
> > pabflore en uchile.cl>
> > > escribió:
> > >
> > >> Difícil el caso.
> > >> Si esta utilizando criptografia asimétrica moderna es muy difícil que
> > >> puedas dar con la llave.
> > >> Cuanto te cobran por el rescate?
> > >>
> > >> Ademas de intentar de rescatar la info debes preocuparte de averiguar
> > por
> > >> donde entraron.
> > >>
> > >> Suerte
> > >>
> > >>
> > >> El 11 de diciembre de 2015, 1:07, angel jauregui <
> > darkdiabliyo en gmail.com>
> > >> escribió:
> > >>
> > >>> Correccion.... El Malware usa una firma publica y privada....
> > >>>
> > >>> El 10 de diciembre de 2015, 22:07, angel jauregui <
> > >> darkdiabliyo en gmail.com>
> > >>> escribió:
> > >>>
> > >>>> Buen día Lista...
> > >>>>
> > >>>> Alguien de aquí ha tenido algún reporte, información o experiencia
> con
> > >> el
> > >>>> malware TELSACRIPT ???....
> > >>>>
> > >>>> Uno de mis clientes ya se le infecto un equipo de computo donde no
> > >> había
> > >>>> permisos restrictivos para utilizar el equipo y ejecutaron el
> malware,
> > >> lo
> > >>>> peor es que (a lo que he ledido) el malware es muy nuevo, muchos
> > >>> antivirus
> > >>>> aun no lo detectan, y esto sin mencionar que los archivos de uso
> > >>> frecuente
> > >>>> como: XLS(x), DOC(x), RTF, MDB, JPG, PNG, PDF, etc.... los encripta
> > >>> usando
> > >>>> una firma digital que posteriormente el cibercriminal deja UN
> MENSAJE
> > >>>> invitándolos a *recuperar sus archivos* mediante un pago a este
> mismo.
> > >>>>
> > >>>> En mi caso, a mi cliente le afecto por parte del SOFTWARE que usan
> > para
> > >>>> manejo de toda la empresa, ya que el malware solo encripta los
> > >> archivos y
> > >>>> carpetas en red que encuentra, mas *los archivos encriptados* no
> tiene
> > >> la
> > >>>> capacidad de propagar el malware.
> > >>>>
> > >>>> Apenas llevo un día de acercamiento con esto, es muy fácil eliminar
> el
> > >>>> malware, el problema es *desencriptar los archivos*, a lo cual aun
> > >> estoy
> > >>>> trabajando en ello.
> > >>>>
> > >>>> De entrada *tengo una imagen forense* del disco duro que fue
> > infectado,
> > >>>> una copia del malware y tengo una idea del procedimiento a seguir,
> > pero
> > >>>> hasta no tener avances se los comparto.
> > >>>>
> > >>>> Igual ma~ana voy a infectar una maquina virtual y capturar todo el
> > >>> trafico
> > >>>> de salida para ver el Servidor a donde sube el "certificado" que
> > >> descifra
> > >>>> los encriptados, ver si el certificado se queda en el equipo o lo
> sube
> > >> a
> > >>>> alguna parte y tratar de hacer reversa al proceso y conseguir
> > >>> desencriptar
> > >>>> los archivos afectados.
> > >>>>
> > >>>> Que opinan de esto ? algún comentario ?
> > >>>>
> > >>>> Saludos !
> > >>>>
> > >>>> --
> > >>>> M.S.I. Angel Haniel Cantu Jauregui.
> > >>>>
> > >>>> Celular: (011-52-1)-899-871-17-22
> > >>>> E-Mail: angel.cantu en sie-group.net
> > >>>> Web: http://www.sie-group.net/
> > >>>> Cd. Reynosa Tamaulipas.
> > >>>>
> > >>>
> > >>>
> > >>>
> > >>> --
> > >>> M.S.I. Angel Haniel Cantu Jauregui.
> > >>>
> > >>> Celular: (011-52-1)-899-871-17-22
> > >>> E-Mail: angel.cantu en sie-group.net
> > >>> Web: http://www.sie-group.net/
> > >>> Cd. Reynosa Tamaulipas.
> > >>> _______________________________________________
> > >>> CentOS-es mailing list
> > >>> CentOS-es en centos.org
> > >>> https://lists.centos.org/mailman/listinfo/centos-es
> > >>>
> > >> _______________________________________________
> > >> CentOS-es mailing list
> > >> CentOS-es en centos.org
> > >> https://lists.centos.org/mailman/listinfo/centos-es
> > >>
> > >
> > >
> > >
> > > --
> > > M.S.I. Angel Haniel Cantu Jauregui.
> > >
> > > Celular: (011-52-1)-899-871-17-22
> > > E-Mail: angel.cantu en sie-group.net
> > > Web: http://www.sie-group.net/
> > > Cd. Reynosa Tamaulipas.
> > > _______________________________________________
> > > CentOS-es mailing list
> > > CentOS-es en centos.org
> > > https://lists.centos.org/mailman/listinfo/centos-es
> > _______________________________________________
> > CentOS-es mailing list
> > CentOS-es en centos.org
> > https://lists.centos.org/mailman/listinfo/centos-es
> >
> _______________________________________________
> CentOS-es mailing list
> CentOS-es en centos.org
> https://lists.centos.org/mailman/listinfo/centos-es
>



-- 
M.S.I. Angel Haniel Cantu Jauregui.

Celular: (011-52-1)-899-871-17-22
E-Mail: angel.cantu en sie-group.net
Web: http://www.sie-group.net/
Cd. Reynosa Tamaulipas.

Más información sobre la lista de distribución CentOS-es