viernes, mayo 22, 2015

Cómo eliminar {algún} Ransomware: Ramsonware Response Kit

Desde hace ya algún tiempo ha estado proliferando el número de muestras distintas y campañas de Ransomwaremalware especializado en secuestrar los ficheros de la víctima cifrándolos y exigiendo dinero para conseguir las claves de descifrado. Los esfuerzos de los investigadores de seguridad de las casas de antimalware han estado trabajando duro para poder conseguir los algoritmos de cracking necesarios que permitieran a las víctimas recuperar sus documentos, fotos e información personal sin necesidad de aceptar la extorsión a la que son sometidos.

Figura 1: Ransomware Response Kit

No se han conseguido las "vacunas" o herramientas de recuperación de todos los Ransomware que se han desplegado, y por supuesto los cibercriminales cambiarán sus estrategias a corto y habrá que volver a jugar al gato y al ratón, pero al menos un hacker ha puesto todas las herramientas y soluciones que se conocen hoy en una herramienta que ha llamado Ransomware Response Kit y que puedes descargar desde la web.

Figura 2: Instrucciones de uso de Ransomware Rescue Kit

A día de hoy, las soluciones que existen para las distintas variantes de Ransomware son las de TeslaCrypt, Cryptolocker, CoinVault y FBIRansomware, con herramientas de diversas empresas y todas ellas están disponibles en este kit.

Figura 3: Herramientas de solución contenidas en Ransomware Rescue Kit

Si la versión de tu Ransomware no estuviera soportada por estas soluciones mira a ver si tuvieras activadas las Shadow Copies de tu equipo o los Puntos de Restauración del sistema que te permitan acceder a tus archivos en un estado anterior al de la infección... ¡y aplícate el cuento de fortificar tu Windows para el futuro y hacer backup!

Saludos Malignos!

18 comentarios:

Unknown dijo...

Gracias por la información!

Solnet dijo...

Támbien existe una herramienta que se llama CrytoPrevent que deshabilita que los programas instalados despues de Cryptoprevent no se puedan ejecutar desde AppData (que es desde se ejecutan la mayoria de Ransomwares). La pega es que tienes que deshacer los cambios con la misma herramienta cada vez que quieres instalar alguna aplicación, para volver a pasarla una vez instalada, pero en entornos corporativos donde los usuarios no van a usar ninguna aplicación que no les venga ya instalada es un buen método de prevención, aunque como siempre en estos casos, la mejor prevención es educar a los usuarios en el uso del equipo, correo e internet, ya que la mayor puerta de entrada de este tipo de virus es mediante adjuntos en correos electronicos.

Unknown dijo...

haora si que se han currado el virius no se puede descifrar la ultima version esperemos que los pillen i suelten las claves

Angel Corbacho dijo...


Hola Chema !
Una cosilla, ¿los puntos de restauración guardan también copias de nuestros documentos? Pensaba que solo resguardaban un estado concreto del sistema (software y configuraciones) al cual poder volver si fallaba algo. Es decir, si yo hago un borrado seguro de un archivo, cualquiera que busque en un punto de restauración anterior de mi PC ¿encontrará ese archivo?
Muchas gracias por todo !

Unknown dijo...

y si el Ramsonware,, desactiva los Share de GUINDOS...

no existe parche para la estupidez humana.

para clientes corporativos, .... intenta usar algo como snort junto a pfsense por ejemplo y tener los patrones de estos tipos bien actualizados,

grafer dijo...

Es la primera vez que comento en tu blog, aunque hace ya años que te leo, y en primer lugar quiero decirte que me encanta tu blog, bueno al grano, lo que queria decir: Es que no hace mucho fuí infectado con un ransomware,
y no tenia backup,y claro por supuesto un ligero escalofrío recorrio mi espalda, y fue tan agudo y duradero que me llego hasta los tobillos,
bueno antes de ponerme a darme cabezazos con la pared, por llevar meses sin hacer un backup, rezar a dios, y pactar con el diablo,
me puse a pensar, que esto era una aplicación, por lo cual logicamente tenia que tener un proceso, como todos sabemos los ransomware no te dejan hacer mucho mas, así pues pense en como acceder al administrador de tareas, con CTRL ALT SUPR no iva a entrar..., y pensé ¿y si desestabilizo el sistema?, vale buena idea ¿y como lo hago? con un ordenador medio decente es dificil....
como no tenia nada mejor que hacer en cuestion de 10 minutos habia tecleado CTRL ALT SUPR entorno a 10 milveces, juntando teclas de todo tipo del teclado, reproductor de musica, el clasifo ALT-F4 y bueno un sinfín de teclas.......
pasados esos 10 min consegui que el ordenador se desestabilizase,la aplicación (somos la policia nacional) se congeló, y bueno entre desvarios y no desvarios del pc se abrió una ventana del administrador de tareas (o 100000 vete a saber cuantas habia en 2 plano)
bueno pues con la paciencía de un budista clicke encima de la aplicacion(5min de espera)>ir al proceso(15mi de espera)> finalizar proceso (15min de espera), cierro explorer desde el administrador, y voy a servicios y anda mira que hay por aquí, un servicio con un nombre muy rarete que no me resulta familiar (¿sera este?), vamos a deshabilitarlo...., volvemos a abrir explorer desde el administrador de tareas, y el pc va bién, vale esta es la mia actualizo las bases antivirus y lo detectan en un analisis posterior, (borro el proceso residual manualmente) y por si acaso, (aunque esto lo hicé con la mentalidad de a por todas) restauro el sistema a hace 2 meses...., bueno con esto quiero decir que a veces el ransoware va de farol, no siempre te encripta el disco duro, aveces tan solo es una aplicación que no permite quedarse en 2º plano.
un saludo.

Unknown dijo...

sikor. eso esta muy bien para los malware salvapantallas de windows y primeros kits de pruebas de concepto que hicieron. pero el peligro es la encriptacion actual que te hace el bicho usando cosas como el super adoboo flashplayer y demas bujeros que windows tienen y tendran.
para quitar bichos tienes usbs live de varias distros de GNU/linux con diagnosticos , reparaciones de win y herramientas forenses (libres).
el tema esta en recuperar lo que un programa malicioso ha encriptado, el fallo es de raiz del sistema, tendrian que pensar en agregar mas capas tipo apparmor, pero poco a poco que si no las empresas antivirus y los vendedores de humo en seguridad no ganarian dinero con microsoft.

y digo yo... si se conocen patrones de Angler kit por que no se protege esas tramas desde los isp?? quien es el responsable a ultima instancia ?

es peliagudo y divertido.

saludos..
bee freeee.

Unknown dijo...

y aqui tienes info del ultimo juguete v3.
https://www.hybrid-analysis.com/sample/32d154b4529f23b86d0803148bfc48b0147998cb07cfbd4e09672f8e055737c8?environmentId=2


https://isc.sans.edu/diary/Increase+in+CryptoWall+3.0+from+malicious+spam+and+Angler+exploit+kit/19785


y de la peña que se lo curra de verdad en proteger la red:

http://www.emergingthreats.net/

be freeee



Anónimo dijo...

hola, alguna herramienta para rescatar los archivos? me piden 2 bitcoins pero por obvias razones no pagaremos, me tiene enfermo la perdida de informacion, se contaminó hasta la copia de seguridad, incluido borrado de shadow copy y restaurar sistema.

se les agradece.

Estefano dijo...

Lo esencial es no pagar a esta gente, ya que con la plata siguen estafando y propagando su malware. Es importante tener backups, y tambien las herramientas para revertir estos cambios. Un ejemplo seria programas de restauracion completa, como Rollback Rx, y programas anti-malware como el famosos MBAM.

Hormix dijo...

Hola a todos! Finalmente la solución para los archivos con extención .vvv llegó, yo acabo de recuperar años de imagenes!

TeslaDecoder es la solución publicada en enero:
http://download.bleepingcomputer.com/BloodDolly/TeslaDecoder.zip

Aca esta el thread:
http://www.bleepingcomputer.com/forums/t/576600/tesladecoder-released-to-decrypt-exx-ezz-ecc-files-encrypted-by-teslacrypt/

Yo seguí a pie de letras las instrucciones que te viene en el .zip y logre recuperar mis archivos.

Espero a ustedes también les sirva! Suerte y estén con dios!

Unknown dijo...

Retomando este tema de actualidad, os confirmo que siguiendo lo que en 2015 os aconseje, pfsense + snort + ruleset etpro de prooftpoint el ataque a mis sedes ha sido inefectivo, chema tomar nota que en 2015 ese fue mi consejo.


Be free...

Unknown dijo...

Retomando este tema de actualidad, os confirmo que siguiendo lo que en 2015 os aconseje, pfsense + snort + ruleset etpro de prooftpoint el ataque a mis sedes ha sido inefectivo, chema tomar nota que en 2015 ese fue mi consejo.


Be free...

Unknown dijo...

Y lo que os adverti que afectaria a los shares:
Y el patron para snort que lo detecta :

Una de las muestras de Wana Descrypt0r, aunque casi seguro que todas, elimina las copias de seguridad copias instantáneas del sistema (Shadow Copy) mediante la ejecución del comando: "vssadmin.exe Delete Shadows /All /Quiet"

cmd.exe /c vssadmin delete shadows /all /quiet & wmic shadowcopy delete & bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet



El ransomware cifra las extensiones de archivos:

.der, .pfx, .key, .crt, .csr, .p12, .pem, .odt, .ott, .sxw, .stw, .uot, .3ds, .max, .3dm, .ods, .ots, .sxc, .stc, .dif, .slk, .wb2, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, .ps1, .vbs, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .java, .jar, .class, .mp3, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mp4, .3gp, .mkv, .3g2, .flv, .wma, .mid, .m3u, .m4u, .djvu, .svg, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .tbk, .bz2, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .602, .hwp, .snt, .onetoc2, .dwg, .pdf, .wk1, .wks, .123, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, .doc
Reglas para IDS:

alert tcp $HOME_NET 445 -> any any (msg:"ET EXPLOIT Possible ETERNALBLUE MS17-010 Echo Response"; flow:from_server,established; content:"|00 00 00 31 ff|SMB|2b 00 00 00 00 98 07 c0|"; depth:16; fast_pattern; content:"|4a 6c 4a 6d 49 68 43 6c 42 73 72 00|"; distance:0; flowbits:isset,ETPRO.ETERNALBLUE; classtype:trojan-activity; sid:2024218; rev:2;)

Un abrazo.

Unknown dijo...

Amm, las medidas que tome fueron sencillas, Estaciones Linux alli donde se puede, Ofimatica y otras estaciones,
Pfsense + snort + reglas de proofpoint,
Inversion: 0 euros en sistemas operativos, muchas horas de trabajo y unos 500€ anuales de las reglas de snort.

Piensa en linux alli donde puedas implantarlo.
Un saludo

Unknown dijo...

Amm, que no se me olvide decirte, que,
Me ha pillado de vacaciones esta crisis de windows, y aun sigo de vacaciones gracias a tomar las medidas que aconseje en 2015,

Un abrazo.

Unknown dijo...

Si, si que se guardan también los archivos, panda recomienda de hecho un programa para acceder a ellos, te adjunto el link:http://www.pandasecurity.com/spain/support/card?id=1683 . Aún así el mejorado WannaCry borra esa parte del disco también. Por eso haz copia de seguridad y copia de la clave de licencia de tu Windows cada semana. Así si eres infectado a pesar de haber actualizado Windows, puedes resetear el disco con 0s desde la consola y reinstalar todo de nuevo. También te recomiendo Latch ARW, Chema lo explica en su blog. Es un poco coñazo usarlo, pero te puede salvar el culo en más de una ocasión ��

Unknown dijo...

A mi me cogio uno que me puso los ficheros .rote alguien tiene respuesta para esro

Entrada destacada

10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público

Cuando doy una charla a algún amigo, conocido, o a un grupo de personas que quieren conocer MyPublicInbox , siempre se acaban sorprendiendo ...

Entradas populares