viernes, mayo 22, 2015

Cómo eliminar {algún} Ransomware: Ramsonware Response Kit

Desde hace ya algún tiempo ha estado proliferando el número de muestras distintas y campañas de Ransomwaremalware especializado en secuestrar los ficheros de la víctima cifrándolos y exigiendo dinero para conseguir las claves de descifrado. Los esfuerzos de los investigadores de seguridad de las casas de antimalware han estado trabajando duro para poder conseguir los algoritmos de cracking necesarios que permitieran a las víctimas recuperar sus documentos, fotos e información personal sin necesidad de aceptar la extorsión a la que son sometidos.

Figura 1: Ransomware Response Kit

No se han conseguido las "vacunas" o herramientas de recuperación de todos los Ransomware que se han desplegado, y por supuesto los cibercriminales cambiarán sus estrategias a corto y habrá que volver a jugar al gato y al ratón, pero al menos un hacker ha puesto todas las herramientas y soluciones que se conocen hoy en una herramienta que ha llamado Ransomware Response Kit y que puedes descargar desde la web.

Figura 2: Instrucciones de uso de Ransomware Rescue Kit

A día de hoy, las soluciones que existen para las distintas variantes de Ransomware son las de TeslaCrypt, Cryptolocker, CoinVault y FBIRansomware, con herramientas de diversas empresas y todas ellas están disponibles en este kit.

Figura 3: Herramientas de solución contenidas en Ransomware Rescue Kit

Si la versión de tu Ransomware no estuviera soportada por estas soluciones mira a ver si tuvieras activadas las Shadow Copies de tu equipo o los Puntos de Restauración del sistema que te permitan acceder a tus archivos en un estado anterior al de la infección... ¡y aplícate el cuento de fortificar tu Windows para el futuro y hacer backup!

Saludos Malignos!

10 comentarios:

Unknown dijo...

Gracias por la información!

Solnet dijo...

Támbien existe una herramienta que se llama CrytoPrevent que deshabilita que los programas instalados despues de Cryptoprevent no se puedan ejecutar desde AppData (que es desde se ejecutan la mayoria de Ransomwares). La pega es que tienes que deshacer los cambios con la misma herramienta cada vez que quieres instalar alguna aplicación, para volver a pasarla una vez instalada, pero en entornos corporativos donde los usuarios no van a usar ninguna aplicación que no les venga ya instalada es un buen método de prevención, aunque como siempre en estos casos, la mejor prevención es educar a los usuarios en el uso del equipo, correo e internet, ya que la mayor puerta de entrada de este tipo de virus es mediante adjuntos en correos electronicos.

Unknown dijo...

haora si que se han currado el virius no se puede descifrar la ultima version esperemos que los pillen i suelten las claves

Angel Corbacho dijo...


Hola Chema !
Una cosilla, ¿los puntos de restauración guardan también copias de nuestros documentos? Pensaba que solo resguardaban un estado concreto del sistema (software y configuraciones) al cual poder volver si fallaba algo. Es decir, si yo hago un borrado seguro de un archivo, cualquiera que busque en un punto de restauración anterior de mi PC ¿encontrará ese archivo?
Muchas gracias por todo !

grafer dijo...

Es la primera vez que comento en tu blog, aunque hace ya años que te leo, y en primer lugar quiero decirte que me encanta tu blog, bueno al grano, lo que queria decir: Es que no hace mucho fuí infectado con un ransomware,
y no tenia backup,y claro por supuesto un ligero escalofrío recorrio mi espalda, y fue tan agudo y duradero que me llego hasta los tobillos,
bueno antes de ponerme a darme cabezazos con la pared, por llevar meses sin hacer un backup, rezar a dios, y pactar con el diablo,
me puse a pensar, que esto era una aplicación, por lo cual logicamente tenia que tener un proceso, como todos sabemos los ransomware no te dejan hacer mucho mas, así pues pense en como acceder al administrador de tareas, con CTRL ALT SUPR no iva a entrar..., y pensé ¿y si desestabilizo el sistema?, vale buena idea ¿y como lo hago? con un ordenador medio decente es dificil....
como no tenia nada mejor que hacer en cuestion de 10 minutos habia tecleado CTRL ALT SUPR entorno a 10 milveces, juntando teclas de todo tipo del teclado, reproductor de musica, el clasifo ALT-F4 y bueno un sinfín de teclas.......
pasados esos 10 min consegui que el ordenador se desestabilizase,la aplicación (somos la policia nacional) se congeló, y bueno entre desvarios y no desvarios del pc se abrió una ventana del administrador de tareas (o 100000 vete a saber cuantas habia en 2 plano)
bueno pues con la paciencía de un budista clicke encima de la aplicacion(5min de espera)>ir al proceso(15mi de espera)> finalizar proceso (15min de espera), cierro explorer desde el administrador, y voy a servicios y anda mira que hay por aquí, un servicio con un nombre muy rarete que no me resulta familiar (¿sera este?), vamos a deshabilitarlo...., volvemos a abrir explorer desde el administrador de tareas, y el pc va bién, vale esta es la mia actualizo las bases antivirus y lo detectan en un analisis posterior, (borro el proceso residual manualmente) y por si acaso, (aunque esto lo hicé con la mentalidad de a por todas) restauro el sistema a hace 2 meses...., bueno con esto quiero decir que a veces el ransoware va de farol, no siempre te encripta el disco duro, aveces tan solo es una aplicación que no permite quedarse en 2º plano.
un saludo.

Anónimo dijo...

hola, alguna herramienta para rescatar los archivos? me piden 2 bitcoins pero por obvias razones no pagaremos, me tiene enfermo la perdida de informacion, se contaminó hasta la copia de seguridad, incluido borrado de shadow copy y restaurar sistema.

se les agradece.

Estefano dijo...

Lo esencial es no pagar a esta gente, ya que con la plata siguen estafando y propagando su malware. Es importante tener backups, y tambien las herramientas para revertir estos cambios. Un ejemplo seria programas de restauracion completa, como Rollback Rx, y programas anti-malware como el famosos MBAM.

Hormix dijo...

Hola a todos! Finalmente la solución para los archivos con extención .vvv llegó, yo acabo de recuperar años de imagenes!

TeslaDecoder es la solución publicada en enero:
http://download.bleepingcomputer.com/BloodDolly/TeslaDecoder.zip

Aca esta el thread:
http://www.bleepingcomputer.com/forums/t/576600/tesladecoder-released-to-decrypt-exx-ezz-ecc-files-encrypted-by-teslacrypt/

Yo seguí a pie de letras las instrucciones que te viene en el .zip y logre recuperar mis archivos.

Espero a ustedes también les sirva! Suerte y estén con dios!

Unknown dijo...

Si, si que se guardan también los archivos, panda recomienda de hecho un programa para acceder a ellos, te adjunto el link:http://www.pandasecurity.com/spain/support/card?id=1683 . Aún así el mejorado WannaCry borra esa parte del disco también. Por eso haz copia de seguridad y copia de la clave de licencia de tu Windows cada semana. Así si eres infectado a pesar de haber actualizado Windows, puedes resetear el disco con 0s desde la consola y reinstalar todo de nuevo. También te recomiendo Latch ARW, Chema lo explica en su blog. Es un poco coñazo usarlo, pero te puede salvar el culo en más de una ocasión ��

Unknown dijo...

A mi me cogio uno que me puso los ficheros .rote alguien tiene respuesta para esro

Entrada destacada

Tu Latch "Hack Your Innovation Contest": Haz un PoC & Hack por 1.000 €

El pasado Telefónica Innovation Day 2024 lanzamos oficialmente el " Tu Latch Hack Your Innovation Contest " en el que repartimos ...

Entradas populares