[CERRADO] Desencriptar archivos cifrados por ransomware

Contenedor de incidencias RESUELTAS por los expertos, CERRADAS por el usuario o que han expirado en el tiempo.
Cerrado
ruo
Usuario registrado
Usuario registrado
Mensajes: 3
Registrado: Lun, 18 Ago 2014, 15:37

[CERRADO] Desencriptar archivos cifrados por ransomware

Mensaje por ruo » Lun, 18 Ago 2014, 22:01

Tengo server 2003 y fui atacado por un ransomware, pude limpiar la infección pero aun no puedo desencriptar los archivos.Todos quedaron con el siguiente formato:
nombre de archivo (!! to decrypt email id [infection_ID] to allsecinfo@gmail.com !!).exe. y cuando intento abrirlos me pide contraseña

utilice su herramienta Panda AntiChild Decrypter pero al terminar su proceso, no dijo nada, solo finalizo. Agradeseria mucho una ayuda

Avatar de Usuario
CJ166
Panda Partner
Panda Partner
Mensajes: 1007
Registrado: Sab, 14 Abr 2012, 09:55

Re: Desencriptar archivos cifrados por ransomware

Mensaje por CJ166 » Mar, 19 Ago 2014, 17:31

Hola ruo, aunque dices que utilizaste Panda AntiChild Decrypter, quisiera asegurar que seguiste los pasos aqui descritos http://www.pandasecurity.com/spain/ente ... 1397512047

o

utiliza esta otra herramienta http://www.pandasecurity.com/spain/home ... rd?id=1675

Si no se pudo con ninguno de los dos, aqui tienes un comunicado oficial por parte de Panda, del moderador oficial PandaSupport1:

Desde el laboratorio nos han confirmado que no se van a poder recuperar los ficheros encriptados. A continuación le remito una explicación más detallada.

Existen varias versiones de este ransonware, pero todas comparten algunas características, especialmente relacionadas con el cifrado. Este ransomware utiliza el api de Windows para generar una
clave de 256 bits. Concretamente utiliza el api CryptGenKey para generarla totalmente aleatoria e impredecible.

Una vez tiene la clave el virus recorre el disco duro en busca de ficheros para cifrar. Cifra las siguientes
extensiones:

.jpg, .jpeg, .psd, .cdr, .dwg, .max, .mov, .m2v, .3gp, .doc,
.docx, .xls, .xlsx, .ppt,
.pptx, .rar, .zip, .mdb, .mp3, .cer, .p12, .pfx, .kwm, .pwm,
.txt, .pdf, .avi, .flv,
.lnk, .bmp, .1cd, .md, .mdf, .dbf, .mdb, .odt, .vob, .ifo,
.mpeg, .mpg, .doc,
.docx,
.xls, .xlsx

Para cada fichero el virus cifra una parte del comienzo del fichero. El tamaño exacto que cifrará depende de la versión pero cifra una buena parte del fichero, imposible de recuperar reconstruyendo cabeceras o técnicas
por el estilo.

El Ransom cifra utilizando AES256, y utiliza la clave generada con CryptGenKey. Para cifrar utiliza el api
CryptEncrypt. Cada fichero cifrado es renombrado a una extensión que depende de la versión. Hemos visto hasta ahora: .nobackup, .done, .ultracode, .omg!

Tras cifrar todos los ficheros de la máquina el Ransom cifra la propia clave AES256 generada con una clave pública RSA1024 que lleva incorporada en su binario. El resultado (AES256 cifrada con RSA1024) lo convierte a
texto y éste es el valor que incorpora el ransomware al fichero “how to decrypt files.txt” que genera poco después pidiendo el rescate. Por esto motivo no es posible desencriptar los ficheros, dado que solo el creador del malware posee la clave de descifrado.


Ese es el comunicado, como puedes saber, varias casas de seguridad AV ofrecen herramientas para este tipo de ransomware, hay cientos de variables de este ransomware. Dependiendo de la variable que logre infectar el sistema y cifrar sus datos, los datos pueden ser recuperables o no. Las compañías de seguridad detectan en algunas variantes que la contraseña de cifrado es única y fija, y se pueden obtener mediante ingeniería inversa fácilmente. Por otro lado, en otras variantes el código es prácticamente aleatorio, por lo que su recuperación llega a ser prácticamente imposible para cualquier compañia AV.
Panda Partner Colombia.

ruo
Usuario registrado
Usuario registrado
Mensajes: 3
Registrado: Lun, 18 Ago 2014, 15:37

Re: Desencriptar archivos cifrados por ransomware

Mensaje por ruo » Mar, 19 Ago 2014, 21:21

saludos CJ166 gracias por responder
Hice los pasos exactos para el uso Panda AntiChild Decrypter , el programa cuando se ejecuta hace lo siguiente:

comienza con la secuencia 00000000 y aumentando lentamente hasta
llegar a ff0000000 , lanza el mensaje que termino pero no da información sobre si encontró los activos encriptados , o si los desencripto.

En el caso de la otra herramienta Panda Ransomware Decrypt, tampoco me resulto, cuando scaneo selecionando la carpeta no encuentra ningún archivo,
luego uso tambien la opcion avanzada, escogo un archivo sin encriptar y el mismo encriptado y me lanza este error :

2014-08-19 12:28:19: [ERROR] Key size-block doesn't match.

También me dado cuenta que los tamaños de los archivos una ves encriptados por el virus cambiaron de tamaño , no se si eso sea norma. La mayoría de los archivos infectados son tipo dbf de bases de datos de foxpro, no puedo hacer que los archivos tenga el mismo tamaño por que las tablas no guardan los mismo registros, no se si eso influya.

Y sobre el comunicado que incluiste, Explicas que pueden haber casos con
contraseña de cifrado únicas,yo me pregunto como saber si es mi caso o es el otro, el del contraseña variable

Avatar de Usuario
VirusBuster
Moderador Oficial
Moderador Oficial
Mensajes: 381
Registrado: Lun, 02 Abr 2012, 18:53
Ubicación: Panda HQ - Bilbao

Re: Desencriptar archivos cifrados por ransomware

Mensaje por VirusBuster » Mié, 20 Ago 2014, 13:15

Por los datos que proporcionas, parece que te has visto afectado por un Anti Child Porn Spam Protection v2

Comentar que existen 2 variantes de este Ransomware, y la herramienta Panda AntiChild Decrypter únicamente puede desencriptar los archivos si te has visto afectado por la 1ª variante
En el caso de que te hayas visto afectado por Anti Child Porn Spam Protection v2, lamentablemente no podemos recuperar los archivos dado que el desarrollador del malware corrigió el problema que nos permitía recuperar los archivos encriptados con la 1ª variante

Si dispones de una copia de seguridad de los archivos, restaurala

Dados los puntos de entrada de éste ransomware que sólo afecta a servidores 2003, deberás securizar la configuración de acceso por Terminal Server (RDP) al servidor, cambiando el puerto utilizado, utilizando contraseñas más complejas, etc
Un saludo,

Imagen
Jorge Torre
TechSupport Department - Panda Security

No respondo a mensajes privados a no ser que los solicite previamente

ruo
Usuario registrado
Usuario registrado
Mensajes: 3
Registrado: Lun, 18 Ago 2014, 15:37

Re: Desencriptar archivos cifrados por ransomware

Mensaje por ruo » Mié, 20 Ago 2014, 15:32

Saludos VirusBuster gracias por responder

Lamentablemente no poseo copia seguridad de los datos :(, y lo de shadow
copy esta descartado por que no estaba habilitada la opción en el servidor.

Todo parece apuntar al fracaso inminente, pero seguiré investigando, gracias
por su ayuda VirusBuster y CJ166. Ahora ya conozco la variante de ransomware que tengo, seguiré investigando haber si hay suerte. Gracias por todo

Avatar de Usuario
TaTienDo
Moderador Oficial
Moderador Oficial
Mensajes: 2559
Registrado: Mar, 03 Abr 2012, 11:00

Re: Desencriptar archivos cifrados por ransomware

Mensaje por TaTienDo » Mar, 26 Ago 2014, 14:20

Hola de nuevo.

Lamentamos no poder ayudarte más.

Damos el caso por CERRADO

Saludos,

Cerrado

Volver a “Virus - Archivo de Incidencias”