Autor Tema: Peleando con un rasonware  (Leído 2920 veces)

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado sanson

  • Moderador Global
  • *
  • Mensajes: 8418
Peleando con un rasonware
« en: 30-03-2016, 00:52 (Miércoles) »
Bueno pues me ha tocado lidiar con este bicho.  

Esta mañana nada más llegar a la oficina , no había hecho más que enchufar el portátil y me llaman del despacho de al lado que algo falla en el pc .  SORPRESA , se ha producido un  error al leer la bd de un programa de los que utilizamos normalmente y el ordenador se ha bloqueado.   Al reiniciar, el escritorio aparece con fondo negro y dos archivos nuevos que se auto ejecutan en el arranque. Uno es un txt que indica:

" sus archivos han sido cifrados con RSA 4096" y unas indicaciones de como descargar desde servidores TOR un archivo y unas URL donde obtener la clave de cifrado.

El otro es un archivo de imagen con una captura del texto del txt .

Estos  archivos se llaman : +REcovER+hprip+.png y el otro +REcovERhprip+.txt   , REcovER+ryhuj+.png , +REcovER+ryhuj+.txt , +REcovER+vinrr+.png , +REcovER+vinrr+.TXT

Bien estos  archivos,  se han copiado a todas (todas) las carpetas de C: incluyendo las carpetas sincronizadas en la nube, Dropbox y driver.

Pues bien en todas las carpetas en las que se ha copiado esos archivos (que no son el virus en sí, estos son inofensivos) se han cifrado los archivos pdf, dbd, doc, xls   etc etc ....  realmente no se si están cifrados ya que no se les ha cambiado la extensión, ni el nombre , simplemente no se pueden abrir .  

Lógicamente es un rasonware , el problema es que no se cual exactamente , se que no es cryptolooker .

Mi pregunta es
 ¿ puedo saber como se ha infectado? ¿cuando?  ¿la ejecución de este tipo de malware  es instantánea o permanece oculto y se activa en un momento concreto?

Necesito saber esas cosas para poner barreras ya que la solución como siempre ante estos ataque es formatear y eso ya está echo .  El daño no ha sido mucho ya que las políticas de seguridad se han cumplido y las copias de respaldo estaba hechas del viernes .  

Hay dos cosas que me llaman la atención.  

1 el disco 1 tiene dos particiones c: y d:  y solo ha infectado c: , el disco 2 tiene otras 2 particiones y ha infectado e: pero no f:  se da la circunstancia que este disco dos es el antiguo disco primario del pc y por tanto contiene archivos de sistema en e: .  Esto me indica que el rasonware solo ha atacado al sistema operativo y no a las particiones de datos ( por suerte) y esto no es habitual ya que este tipo de malware  ataca todas las unidades que tienen letra asignada

2 los archivos que estaban en las carpetas sincronizadas con la nube también contienen esos archivos (el txt y el jpg) y el bicho automáticamente los ha subido a todas las carpetas remotas, con lo que esos archivos tampoco se podían abrir , pero si se podían abrir en línea.  Osea utilizando la apertura online de las herramientas de driver si que se abrían y estaban correctos .  

Esto junto con el NO cambio de extensión, ni el cambio de nombre me hace sospechar que quizá no estuvieran cifrados realmente y fuera un tipo de virus que imita el comportamiento de un rasonware , sin serlo.  


¿que os parece ?  

Si queréis más info y siempre que disponga de ella os la paso.  

Pero ya digo lo que más me importa es averiguar el como, ya que como sabéis.  Si preguntas al usuario del pc,¿ que ha hecho? dice que nada .

Revise los correos recibidos en el día de hoy y estaban limpios y esta es la forma de infección más comun de este tipo de virus (siempre que sea un rasonware )


Saludos



edito  : ya e puesto los nombres exactos de los archivos que copia


« Última modificación: 30-03-2016, 11:56 (Miércoles) por sanson »

Desconectado buite

  • Moderador Global
  • *
  • Mensajes: 1423
Re: Peleando con un rasonware
« Respuesta #1 en: 30-03-2016, 16:46 (Miércoles) »
Lo que me parece es que te has equivocado de sitio para publicar.

Si no haces nada todo seguirá igual. Si quieres que las cosas cambien tienes que cambiarlas tú

http://hazunmundomejor.genocidiodigital.com/

Desconectado buite

  • Moderador Global
  • *
  • Mensajes: 1423
Re: Peleando con un rasonware
« Respuesta #2 en: 30-03-2016, 16:49 (Miércoles) »
Aunque no lo especificas, entiendo que usais windows. Pues ahí lo envío.
Si no haces nada todo seguirá igual. Si quieres que las cosas cambien tienes que cambiarlas tú

http://hazunmundomejor.genocidiodigital.com/

Garcad

  • Visitante
Re: Peleando con un rasonware
« Respuesta #3 en: 30-03-2016, 18:57 (Miércoles) »
Se puede haber infectado de muchos modos, si no están desactivados.

En un adjunto de un email, abriendo una imagen, una web maliciosa, etc...

Si no puedes saber que procesos a abierto, que aplicaciones a usado, es muy complicado saber como se ha infectado.

Tienes la copia de los archivos generados???

Me gustaría analizarlos y ver de donde pueden venir.

Si el usuario, tiene acceso a Internet, correo electrónico externo a la red local, o acceso físico al pc por cualquier medio, puede haberse infectado.

Por lo que puedo deducir a podido ser un archivo adjunto dentro de otro archivo.

Para impedir que vuelva a suceder tienes que limitar los permisos a ese usuario en concreto, que no pueda instalar nada nuevo, que no tenga acceso al usb, lector de tarjetas, lector de cd, etc...

Editado: No es spam, ni publicidad.

En el foro de indetectables.net puedes conseguir información de los modos que se a infectado, ahi crean o modifican aplicaciones que hacen lo que le a pasado a ese pc.

En el foro de forospyware.com podrás conseguir información y ayuda para reparar el sistema, sin tener que formatear.

Salu2
« Última modificación: 30-03-2016, 19:04 (Miércoles) por Garcad »

Desconectado drvalium

  • Moderador Global
  • *
  • Mensajes: 17408
  • Misántropo
Re: Peleando con un rasonware
« Respuesta #4 en: 30-03-2016, 19:50 (Miércoles) »
hi

revisa el visor de sucesos de WIndows, hay verás cuando se ha instalado/activado.

descifrar lo cifrado no es posible, pero si no llegas a poder abrirlo quizás solo te ha dañado los permisos, auditorias, propietario, etc... ¿exactamente que te dice al tratar de abrirlos?

también podría ser un virus que imita ese comportamiento, revisa en el administrador de tareas y los servicios que tienes activos, quizas parando el apropiado todo vuelve a su cauce, ya me he topado con uno de estos una vez.

si quieres mándame esos archivos e infecto un windows virtual a ver si doy con una solución.


un saludo

Desconectado sanson

  • Moderador Global
  • *
  • Mensajes: 8418
Re: Peleando con un rasonware
« Respuesta #5 en: 30-03-2016, 21:15 (Miércoles) »
Hola

Ok .  

La cosa es que los procesos no los puede leer ya que impedía el acceso al administrador del sistema y borro los puntos de restauración y las copias anteriores de los archivos .  


No puede dedicar mucho tiempo ha realizar forensig  porque estamos en pleno trimestre y no podía haber ningún puesto parado.    

Al final el daño no ha sido tal porque teníamos copias de respaldo de todo y hoy ya ha quedado todo como estaba antes del ataque .  

Lo único que e conservado son los archivos de la nube , precisamente para que cuando esté todo más calmado pueda ver que era y que hacía.

Pasaros los archivos "cifrados" no puedo por la LOPD ya que son todos documentos de clientes. Lo que si os puedo pasar son esos que el virus creo y copio a todos los directorios, pero esos no tienen nada.

Hoy e vuelto a revisar todos los correos recibidos en los 4 últimos días y ninguno contenía  (a priori) ni archivos con doble extensión ni virus.

Hoy e cambiado las políticas de acceso y sobretodo los acceso por Red local a otros pcs .  Pero solo dentro de donde eres podido por que no los puedo capar demasiado ya que yo muchos días no estoy y tienen que ser autónomos.

Tampoco quiero instaurar políticas excesivamente represivas por que luego no es funcional.  Aún que ya e preparado algo para cuando se acabe con el trimestre impedir ejecuciones en data y dataapp  restringir permisos de las cuentas y demás.    Además ahora aparte de la copia de seguridad que ellos hagan en sus pcs semanalmente (como hasta ahora) añadiré una capa más, haciendo yo una quincenal en un disco duro externo que sólo usare yo .  Así si no se puede evitar la infección  al menos no habrá daño , como ha pasado esta vez.   Creo que lo pille a tiempo ya que las unidades más importantes no las infecto y eso es lo que nos ha salvado .

Saludos


Edito

Al abrirlos hace varias cosas .

Los pdf .  Dice no se han podido abrir por que el archivo esta dañado o no es un formato compatible

Los doc.  Los abre pero con codificación de caracteres raros.
Etc etc


Respecto a lo de repararlo.   E leído en todos sitios que hoy por hoy es imposible recuperar este tipo de ficheros.  Otra cosa es limpiarlo eso es relativamente sencillo pero una vez perdidos los datos mejor formatear y montar en limpio total habría que recuperar todo de todas formas

Garcad

  • Visitante

Desconectado sanson

  • Moderador Global
  • *
  • Mensajes: 8418
Re: Peleando con un rasonware
« Respuesta #7 en: 30-03-2016, 23:04 (Miércoles) »
Hola


Es curioso que el mayor distribuidor de adware de la historia escriba artículos como éste jejejjeje. 

Como dije antes el  mio no es cryptolooker.  Las copias sombras como ahí las llaman , se las cargo también, fue lo segundo que intente . 
 Ademas en un pc de casa si puedes intentar limpiar pero en el curro no te puedes permitir que se infecte la Red o los servidores más  sabiendo que los archivos NO se pueden recuperar debido al cifrado RSA pontente que tienen. 

Lo comenté con un par de colegas y los dos coincidieron .

_ vas a perder 4 días y al final vas a formatear , así que tira y pierde un día.

Y efectivamente así pensaba yo.  Todo esto sabiendo que no perdía ningún dato importante , estaba todo a salvo . 

Otra cosa sería que realmente tuviera que salvarlo si o si por no tener copias ahí quizá hasta hubiéramos tenido que pagar ¿ quien sabe? .


Saludos

Desconectado geminis_demon

  • Colaborador
  • *
  • Mensajes: 2382
  • Prácticas precisas precisan práctica
Re: Peleando con un rasonware
« Respuesta #8 en: 31-03-2016, 15:25 (Jueves) »
Yo me he topado con varios casos como este, y solo en una ocasion pude descifrar los archivos, utilizando esta herramienta. Pero no creo que sea el mismo ramsomware ya que dices que no te ha cambiado el nombre ni la extensión de los archivos.

En los casos en los que no era posible cescifrar los archivos, he podido recuperar gran parte de ellos utilizando DataRescuePC3, aunque sirve cualquier otra herramienta para recuperar archivos borrados, ya que lo que hacen estos ramsomware es crear una copia del archivo, cifrarla, y eliminar el archivo original. Aunque si tienes una copia de seguridad, pues aun mejor.

La luz cree que viaja más rápido que cualquier otra cosa, pero se equivoca; da lo mismo lo rápido que pueda viajar, porque al final, la luz descubre que la oscuridad ha llegado antes que ella, y la está esperando.

Desconectado sanson

  • Moderador Global
  • *
  • Mensajes: 8418
Re: Peleando con un rasonware
« Respuesta #9 en: 31-03-2016, 20:24 (Jueves) »
Hola

Curioso ese último dato de que lo que hace es borrar el original y hacer una copia cifrada.   Eso no lo sabía y eso cambia mucho la película, siendo así no están difícil recuperar .

Bueno teniendo en cuenta que borra y crea un monto de ellos quizá no sea tan sencillos de recuperar , por lo de sectores reescrito


Saludos

Desconectado drvalium

  • Moderador Global
  • *
  • Mensajes: 17408
  • Misántropo
Re: Peleando con un rasonware
« Respuesta #10 en: 31-03-2016, 22:13 (Jueves) »
Bueno teniendo en cuenta que borra y crea un monto de ellos quizá no sea tan sencillos de recuperar , por lo de sectores reescrito

Se pueden recuperar datos hasta de un disco formateado y reinstalado un sistema operativo encima.

GetdataBack es para mi el mejor recuperador de datos que hay.


saludos

Desconectado sanson

  • Moderador Global
  • *
  • Mensajes: 8418
Re: Peleando con un rasonware
« Respuesta #11 en: 31-03-2016, 22:17 (Jueves) »
Hola

Si,  pero cuanto más veces reescrivas los cluster  más difícil es recuperar .


Saludos

//FINAL Y MÁS DOS RESPUESTAS