[CentOS-es] [Malware] Telsacrypt .VVV -- Remover y recuperar archivos ?

angel jauregui darkdiabliyo en gmail.com
Vie Dic 11 20:26:09 UTC 2015 

Ya quede el enlace:
http://www.hackplayers.com/2015/04/recuperar-los-archivos-cifrados-con-teslacrypt.html

Pero temo decirte que ese enlce corresponde al TeslaCrypt en version 3 o 5,
la version del TeslaCrypt que tiene el equipo infectado es una mutacion v8,
que elimina la KEY.pub para que los programas que "limpian" del malware, no
logren su cometido.

Esta version del TeslaCrypt v8, tiene como rasgo que les coloca la
estencion: *.vvv
En cambio la mayoria de los tutos y programas que circulan en internet son
para versiones 1 al 7, donde las extenciones de los encriptados son: .xxx,
.zzz, .aaa, .abc, .ccc, .xcc, etc...

Saludos !

El 11 de diciembre de 2015, 14:23, angel jauregui <darkdiabliyo en gmail.com>
escribió:

> Hasta ahorita como no me encargo de la seguridad de la empresa, solo del
> servidor GNU/Linux el problema radico en que no pusieron restriccion de
> acceso a los equipos cliente Windows por cuentas, todo mundo sabia la vlace
> del admin, y resulto que logeados como admin instalaron cosas y entre esos
> archivos se bajo el malware.
>
> He leido puros enlaces en ingles, ahorita leo esos enlaces porque aun
> estoy en face de prueba.
>
> Saludos !
>
> El 11 de diciembre de 2015, 13:40, William Silupu <wsilupu en gmail.com>
> escribió:
>
>> Aqui otra herramienta
>> https://noransom.kaspersky.com/
>>>>
>> El 11 de diciembre de 2015, 12:12, Ernesto Perez <
>> ernesto.perez en cedia.org.ec
>> > escribió:
>>
>> > Aprovecho para recomendarte que uses los respaldos de antes del problema
>> > aquí indicado.
>> >
>> > --
>> > Saludos
>> > Epe
>> >
>> > > El 11 dic 2015, a las 11:17 a.m., angel jauregui <
>> darkdiabliyo en gmail.com>
>> > escribió:
>> > >
>> > > En mi escrito inicial indique por donde entraron !...
>> > >
>> > > Sobre el malware ya indague y hay informacion de importancia !
>> > >
>> > > El 11 de diciembre de 2015, 7:16, Pablo Alberto Flores <
>> > pabflore en uchile.cl>
>> > > escribió:
>> > >
>> > >> Difícil el caso.
>> > >> Si esta utilizando criptografia asimétrica moderna es muy difícil que
>> > >> puedas dar con la llave.
>> > >> Cuanto te cobran por el rescate?
>> > >>
>> > >> Ademas de intentar de rescatar la info debes preocuparte de averiguar
>> > por
>> > >> donde entraron.
>> > >>
>> > >> Suerte
>> > >>
>> > >>
>> > >> El 11 de diciembre de 2015, 1:07, angel jauregui <
>> > darkdiabliyo en gmail.com>
>> > >> escribió:
>> > >>
>> > >>> Correccion.... El Malware usa una firma publica y privada....
>> > >>>
>> > >>> El 10 de diciembre de 2015, 22:07, angel jauregui <
>> > >> darkdiabliyo en gmail.com>
>> > >>> escribió:
>> > >>>
>> > >>>> Buen día Lista...
>> > >>>>
>> > >>>> Alguien de aquí ha tenido algún reporte, información o experiencia
>> con
>> > >> el
>> > >>>> malware TELSACRIPT ???....
>> > >>>>
>> > >>>> Uno de mis clientes ya se le infecto un equipo de computo donde no
>> > >> había
>> > >>>> permisos restrictivos para utilizar el equipo y ejecutaron el
>> malware,
>> > >> lo
>> > >>>> peor es que (a lo que he ledido) el malware es muy nuevo, muchos
>> > >>> antivirus
>> > >>>> aun no lo detectan, y esto sin mencionar que los archivos de uso
>> > >>> frecuente
>> > >>>> como: XLS(x), DOC(x), RTF, MDB, JPG, PNG, PDF, etc.... los encripta
>> > >>> usando
>> > >>>> una firma digital que posteriormente el cibercriminal deja UN
>> MENSAJE
>> > >>>> invitándolos a *recuperar sus archivos* mediante un pago a este
>> mismo.
>> > >>>>
>> > >>>> En mi caso, a mi cliente le afecto por parte del SOFTWARE que usan
>> > para
>> > >>>> manejo de toda la empresa, ya que el malware solo encripta los
>> > >> archivos y
>> > >>>> carpetas en red que encuentra, mas *los archivos encriptados* no
>> tiene
>> > >> la
>> > >>>> capacidad de propagar el malware.
>> > >>>>
>> > >>>> Apenas llevo un día de acercamiento con esto, es muy fácil
>> eliminar el
>> > >>>> malware, el problema es *desencriptar los archivos*, a lo cual aun
>> > >> estoy
>> > >>>> trabajando en ello.
>> > >>>>
>> > >>>> De entrada *tengo una imagen forense* del disco duro que fue
>> > infectado,
>> > >>>> una copia del malware y tengo una idea del procedimiento a seguir,
>> > pero
>> > >>>> hasta no tener avances se los comparto.
>> > >>>>
>> > >>>> Igual ma~ana voy a infectar una maquina virtual y capturar todo el
>> > >>> trafico
>> > >>>> de salida para ver el Servidor a donde sube el "certificado" que
>> > >> descifra
>> > >>>> los encriptados, ver si el certificado se queda en el equipo o lo
>> sube
>> > >> a
>> > >>>> alguna parte y tratar de hacer reversa al proceso y conseguir
>> > >>> desencriptar
>> > >>>> los archivos afectados.
>> > >>>>
>> > >>>> Que opinan de esto ? algún comentario ?
>> > >>>>
>> > >>>> Saludos !
>> > >>>>
>> > >>>> --
>> > >>>> M.S.I. Angel Haniel Cantu Jauregui.
>> > >>>>
>> > >>>> Celular: (011-52-1)-899-871-17-22
>> > >>>> E-Mail: angel.cantu en sie-group.net
>> > >>>> Web: http://www.sie-group.net/
>> > >>>> Cd. Reynosa Tamaulipas.
>> > >>>>
>> > >>>
>> > >>>
>> > >>>
>> > >>> --
>> > >>> M.S.I. Angel Haniel Cantu Jauregui.
>> > >>>
>> > >>> Celular: (011-52-1)-899-871-17-22
>> > >>> E-Mail: angel.cantu en sie-group.net
>> > >>> Web: http://www.sie-group.net/
>> > >>> Cd. Reynosa Tamaulipas.
>> > >>> _______________________________________________
>> > >>> CentOS-es mailing list
>> > >>> CentOS-es en centos.org
>> > >>> https://lists.centos.org/mailman/listinfo/centos-es
>> > >>>
>> > >> _______________________________________________
>> > >> CentOS-es mailing list
>> > >> CentOS-es en centos.org
>> > >> https://lists.centos.org/mailman/listinfo/centos-es
>> > >>
>> > >
>> > >
>> > >
>> > > --
>> > > M.S.I. Angel Haniel Cantu Jauregui.
>> > >
>> > > Celular: (011-52-1)-899-871-17-22
>> > > E-Mail: angel.cantu en sie-group.net
>> > > Web: http://www.sie-group.net/
>> > > Cd. Reynosa Tamaulipas.
>> > > _______________________________________________
>> > > CentOS-es mailing list
>> > > CentOS-es en centos.org
>> > > https://lists.centos.org/mailman/listinfo/centos-es
>> > _______________________________________________
>> > CentOS-es mailing list
>> > CentOS-es en centos.org
>> > https://lists.centos.org/mailman/listinfo/centos-es
>> >
>> _______________________________________________
>> CentOS-es mailing list
>> CentOS-es en centos.org
>> https://lists.centos.org/mailman/listinfo/centos-es
>>
>
>
>
> --
> M.S.I. Angel Haniel Cantu Jauregui.
>
> Celular: (011-52-1)-899-871-17-22
> E-Mail: angel.cantu en sie-group.net
> Web: http://www.sie-group.net/
> Cd. Reynosa Tamaulipas.
>



-- 
M.S.I. Angel Haniel Cantu Jauregui.

Celular: (011-52-1)-899-871-17-22
E-Mail: angel.cantu en sie-group.net
Web: http://www.sie-group.net/
Cd. Reynosa Tamaulipas.

Más información sobre la lista de distribución CentOS-es