viernes, mayo 22, 2015

Cómo eliminar {algún} Ransomware: Ramsonware Response Kit

Desde hace ya algún tiempo ha estado proliferando el número de muestras distintas y campañas de Ransomwaremalware especializado en secuestrar los ficheros de la víctima cifrándolos y exigiendo dinero para conseguir las claves de descifrado. Los esfuerzos de los investigadores de seguridad de las casas de antimalware han estado trabajando duro para poder conseguir los algoritmos de cracking necesarios que permitieran a las víctimas recuperar sus documentos, fotos e información personal sin necesidad de aceptar la extorsión a la que son sometidos.

Figura 1: Ransomware Response Kit

No se han conseguido las "vacunas" o herramientas de recuperación de todos los Ransomware que se han desplegado, y por supuesto los cibercriminales cambiarán sus estrategias a corto y habrá que volver a jugar al gato y al ratón, pero al menos un hacker ha puesto todas las herramientas y soluciones que se conocen hoy en una herramienta que ha llamado Ransomware Response Kit y que puedes descargar desde la web.

Figura 2: Instrucciones de uso de Ransomware Rescue Kit

A día de hoy, las soluciones que existen para las distintas variantes de Ransomware son las de TeslaCrypt, Cryptolocker, CoinVault y FBIRansomware, con herramientas de diversas empresas y todas ellas están disponibles en este kit.

Figura 3: Herramientas de solución contenidas en Ransomware Rescue Kit

Si la versión de tu Ransomware no estuviera soportada por estas soluciones mira a ver si tuvieras activadas las Shadow Copies de tu equipo o los Puntos de Restauración del sistema que te permitan acceder a tus archivos en un estado anterior al de la infección... ¡y aplícate el cuento de fortificar tu Windows para el futuro y hacer backup!

Saludos Malignos!

11 comentarios:

Jake Torra dijo...

Gracias por la información!

Solnet dijo...

Támbien existe una herramienta que se llama CrytoPrevent que deshabilita que los programas instalados despues de Cryptoprevent no se puedan ejecutar desde AppData (que es desde se ejecutan la mayoria de Ransomwares). La pega es que tienes que deshacer los cambios con la misma herramienta cada vez que quieres instalar alguna aplicación, para volver a pasarla una vez instalada, pero en entornos corporativos donde los usuarios no van a usar ninguna aplicación que no les venga ya instalada es un buen método de prevención, aunque como siempre en estos casos, la mejor prevención es educar a los usuarios en el uso del equipo, correo e internet, ya que la mayor puerta de entrada de este tipo de virus es mediante adjuntos en correos electronicos.

Antonio Marmol dijo...

haora si que se han currado el virius no se puede descifrar la ultima version esperemos que los pillen i suelten las claves

Angel Corbacho dijo...


Hola Chema !
Una cosilla, ¿los puntos de restauración guardan también copias de nuestros documentos? Pensaba que solo resguardaban un estado concreto del sistema (software y configuraciones) al cual poder volver si fallaba algo. Es decir, si yo hago un borrado seguro de un archivo, cualquiera que busque en un punto de restauración anterior de mi PC ¿encontrará ese archivo?
Muchas gracias por todo !

Efraím Perez dijo...

y si el Ramsonware,, desactiva los Share de GUINDOS...

no existe parche para la estupidez humana.

para clientes corporativos, .... intenta usar algo como snort junto a pfsense por ejemplo y tener los patrones de estos tipos bien actualizados,

Sikor forious dijo...

Es la primera vez que comento en tu blog, aunque hace ya años que te leo, y en primer lugar quiero decirte que me encanta tu blog, bueno al grano, lo que queria decir: Es que no hace mucho fuí infectado con un ransomware,
y no tenia backup,y claro por supuesto un ligero escalofrío recorrio mi espalda, y fue tan agudo y duradero que me llego hasta los tobillos,
bueno antes de ponerme a darme cabezazos con la pared, por llevar meses sin hacer un backup, rezar a dios, y pactar con el diablo,
me puse a pensar, que esto era una aplicación, por lo cual logicamente tenia que tener un proceso, como todos sabemos los ransomware no te dejan hacer mucho mas, así pues pense en como acceder al administrador de tareas, con CTRL ALT SUPR no iva a entrar..., y pensé ¿y si desestabilizo el sistema?, vale buena idea ¿y como lo hago? con un ordenador medio decente es dificil....
como no tenia nada mejor que hacer en cuestion de 10 minutos habia tecleado CTRL ALT SUPR entorno a 10 milveces, juntando teclas de todo tipo del teclado, reproductor de musica, el clasifo ALT-F4 y bueno un sinfín de teclas.......
pasados esos 10 min consegui que el ordenador se desestabilizase,la aplicación (somos la policia nacional) se congeló, y bueno entre desvarios y no desvarios del pc se abrió una ventana del administrador de tareas (o 100000 vete a saber cuantas habia en 2 plano)
bueno pues con la paciencía de un budista clicke encima de la aplicacion(5min de espera)>ir al proceso(15mi de espera)> finalizar proceso (15min de espera), cierro explorer desde el administrador, y voy a servicios y anda mira que hay por aquí, un servicio con un nombre muy rarete que no me resulta familiar (¿sera este?), vamos a deshabilitarlo...., volvemos a abrir explorer desde el administrador de tareas, y el pc va bién, vale esta es la mia actualizo las bases antivirus y lo detectan en un analisis posterior, (borro el proceso residual manualmente) y por si acaso, (aunque esto lo hicé con la mentalidad de a por todas) restauro el sistema a hace 2 meses...., bueno con esto quiero decir que a veces el ransoware va de farol, no siempre te encripta el disco duro, aveces tan solo es una aplicación que no permite quedarse en 2º plano.
un saludo.

Efraím Perez dijo...

sikor. eso esta muy bien para los malware salvapantallas de windows y primeros kits de pruebas de concepto que hicieron. pero el peligro es la encriptacion actual que te hace el bicho usando cosas como el super adoboo flashplayer y demas bujeros que windows tienen y tendran.
para quitar bichos tienes usbs live de varias distros de GNU/linux con diagnosticos , reparaciones de win y herramientas forenses (libres).
el tema esta en recuperar lo que un programa malicioso ha encriptado, el fallo es de raiz del sistema, tendrian que pensar en agregar mas capas tipo apparmor, pero poco a poco que si no las empresas antivirus y los vendedores de humo en seguridad no ganarian dinero con microsoft.

y digo yo... si se conocen patrones de Angler kit por que no se protege esas tramas desde los isp?? quien es el responsable a ultima instancia ?

es peliagudo y divertido.

saludos..
bee freeee.

Efraím Perez dijo...

y aqui tienes info del ultimo juguete v3.
https://www.hybrid-analysis.com/sample/32d154b4529f23b86d0803148bfc48b0147998cb07cfbd4e09672f8e055737c8?environmentId=2


https://isc.sans.edu/diary/Increase+in+CryptoWall+3.0+from+malicious+spam+and+Angler+exploit+kit/19785


y de la peña que se lo curra de verdad en proteger la red:

http://www.emergingthreats.net/

be freeee



Anónimo dijo...

hola, alguna herramienta para rescatar los archivos? me piden 2 bitcoins pero por obvias razones no pagaremos, me tiene enfermo la perdida de informacion, se contaminó hasta la copia de seguridad, incluido borrado de shadow copy y restaurar sistema.

se les agradece.

Estefano dijo...

Lo esencial es no pagar a esta gente, ya que con la plata siguen estafando y propagando su malware. Es importante tener backups, y tambien las herramientas para revertir estos cambios. Un ejemplo seria programas de restauracion completa, como Rollback Rx, y programas anti-malware como el famosos MBAM.

Hormix dijo...

Hola a todos! Finalmente la solución para los archivos con extención .vvv llegó, yo acabo de recuperar años de imagenes!

TeslaDecoder es la solución publicada en enero:
http://download.bleepingcomputer.com/BloodDolly/TeslaDecoder.zip

Aca esta el thread:
http://www.bleepingcomputer.com/forums/t/576600/tesladecoder-released-to-decrypt-exx-ezz-ecc-files-encrypted-by-teslacrypt/

Yo seguí a pie de letras las instrucciones que te viene en el .zip y logre recuperar mis archivos.

Espero a ustedes también les sirva! Suerte y estén con dios!

Entrada destacada

Navaja Negra: La CON de Albacete el 29 de Septiembre @navajanegra_ab @elevenpaths @0xWord

Es la sexta edición de esta CON que comenzó hace ya más de un lustro en la ciudad de Albacete , reúne el próximo 29 de Septiembre a una b...

Entradas populares