tag:blogger.com,1999:blog-5399811056563385935.post3111095415635696819..comments2023-09-21T14:48:16.670+02:00Comments on Security By Default: Atención: Infecciones masivas de CryptoLocker con e-mails de un falso 'Correos'Yago Jesushttp://www.blogger.com/profile/16830228750771246202noreply@blogger.comBlogger80125tag:blogger.com,1999:blog-5399811056563385935.post-5535719491988574812014-12-05T14:03:06.467+01:002014-12-05T14:03:06.467+01:00Si que está bien hecha la web :DSi que está bien hecha la web :DStaff Mejor-antivirusnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-27441871490965739752014-12-05T13:59:36.069+01:002014-12-05T13:59:36.069+01:00Sólo 3 soluciones para desencriptar: Shadow Copies...Sólo 3 soluciones para desencriptar: Shadow Copies en Windows 7 (XP no tiene).<br />2. Tratar de recuperar cosas con r-Studio en todas las capas que propone, si son cosas viejasalgo recupera.<br />3. Pagar, pero no sé si será efectivo. Si recupera gratis un archivo mandadle el más importante tipo MDB...<br /><br />Para que no salga en inicio sólo borrar de inicio yface.exe o algo así en C:\Windows, o eliminarlo directamente.Juannoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-91673318242653340622014-12-05T13:55:02.758+01:002014-12-05T13:55:02.758+01:00Hola Jesús, el hecho de apagar el equipo inmediata...Hola Jesús, el hecho de apagar el equipo inmediatamente es recomendable, porque este tipo de amenazas, normalmente, intentan merendarse las Shadow copies de Windows como paso previo. SaludosStaff Mejor-antivirusnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-12852963307470688972014-12-05T13:44:53.453+01:002014-12-05T13:44:53.453+01:00Creo que no recrea el fichero, lo 'pisa'Creo que no recrea el fichero, lo 'pisa'lratnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-8189132499816814462014-12-05T13:35:09.390+01:002014-12-05T13:35:09.390+01:00Curioso, cuando le paso alguna utilidad de archivo...Curioso, cuando le paso alguna utilidad de archivos borrados no me saca ningún resultado...Jacnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-29241596432641707712014-12-05T13:29:05.482+01:002014-12-05T13:29:05.482+01:00Ayer picó un usuario en mi empresa. Sólo afectó a ...Ayer picó un usuario en mi empresa. Sólo afectó a un ordenador pero no puedo recuperar los archivos. Cuando recupero desde el VSC la mayoría de los archivos están corruptos. Mi jefe quiere pagar pero yo me niego. A ver si aparece alguna solución...Jacnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-4607972758394949912014-12-05T13:27:36.071+01:002014-12-05T13:27:36.071+01:00La pagina a la que te enlazan te deja desencriptar...La pagina a la que te enlazan te deja desencriptar uno de prueba, lo he probado me lo ha desencriptado, asi que recuperarse se tienen que poder recuperar, el como ya no lo seCarlosnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-32556199743643813162014-12-05T13:12:39.631+01:002014-12-05T13:12:39.631+01:00Creo que esos ficheros encriptados son un FAKE, po...Creo que esos ficheros encriptados son un FAKE, porque por ejemplo, mi jefe a sido infectado con ese virus, y le he dicho que me envíe una versión encriptada y otra sin desencriptar, y el fichero enviado original (una imágen jpg), ocupa 8 MB, mientras que la versión desencriptada, ocupa 68KB, lo que constituye un 0.8% del tamaño del original.<br /><br />Para más INRI, un fichero encriptado siempre suele ocupar más que la versión sin encriptar, así que me resulta un poco raro. Lo que sí he visto es que los ficheros encriptados tienen todos un tamaño completamente diferente, pero no relacionado con el tamaño del fichero original.<br /><br />Así que creo que los ficheros no son recuperables.Peregring-lknoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-66200783786644237022014-12-05T12:42:36.799+01:002014-12-05T12:42:36.799+01:00Desde ayer yo estoy igual, con mail , suplantando ...Desde ayer yo estoy igual, con mail , suplantando la identidad de correos, he caído en la trampa y en cuestión de segundos todos los archivos del ordenador están encriptados. <br />Y sale un pantallazo que dice "ADVERTENCIA. Nos cifrar los archivos con Cryptolocker " y que pague. <br />Yo no cedo al chantaje, eso lo tengo claro. He llamado a la Policía y os estoy leyendo a ver si se puede hacer algo.Evanoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-78424204532457219522014-12-05T10:06:31.990+01:002014-12-05T10:06:31.990+01:00No paguéis!! Dicen que aunque se pague no te devue...No paguéis!! Dicen que aunque se pague no te devuelven los archivos. Esa no es la solución....Isabelnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-26107588523650746372014-12-05T08:37:00.351+01:002014-12-05T08:37:00.351+01:00Buenos días,
ayer me pasó lo mismo, me he quedado ...Buenos días,<br />ayer me pasó lo mismo, me he quedado sin mis documentos! He sido idiota y me he creído que era de Correos.<br />Ruego a quién sepa como puedo recuperar mis archivos. He intentado varios consejos sin éxito. También dicen que no sirve de nada pagar.<br />Muchas gracias por vuestra ayuda!!Isabelnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-6750503399838083482014-12-05T01:36:00.954+01:002014-12-05T01:36:00.954+01:00entiendo que es porque ha cifrado las unidades com...entiendo que es porque ha cifrado las unidades compartidas del server que tenía el usuario infectado?Abraham Pasamarnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-47022772377584559292014-12-05T01:16:20.463+01:002014-12-05T01:16:20.463+01:00En su página dejan descifrar uno de forma gratuita...En su página dejan descifrar uno de forma gratuita, lo he probado y si que funciona. Necesito confirmación de si alguien ha pagado y se lo ha solucionado.<br /><br />Estoy tan desesperado que me lo estoy planteando, tenemos toda la empresa bloqueada por el despiste de uno solo. Por favor ayuda.Alexnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-62644926354314968092014-12-05T01:08:54.182+01:002014-12-05T01:08:54.182+01:00Así es Yago, es normal que una empresa o usuario q...Así es Yago, es normal que una empresa o usuario que no pueda restaurar de una copia de seguridad opte por pagar. Especialmente una empresa que haya perdido información crítica y no pueda esperar. De momento, por lo que hemos podido analizar en INCIDE, la variante de Torrentlocker, además del cifrado XOR usa algo más (problemente AES) y genera un bitstream de 2MB diferente para cada fichero. Por esta razón, el Key Generator existente para Torrentlocker no funciona, ya que solo contempla XOR con bitstream único. Por si a alguien le interesa, nosotros también hemos publicado un pequeño análisis de la campaña del FALSO Cryptolocker: http://www.incide.es/Analisis_Falso_Cryptolocker_20141204.pdfAbraham Pasamarnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-31859694099592846132014-12-05T00:40:39.935+01:002014-12-05T00:40:39.935+01:00Es duro, sin duda, pero si tienes un negocio parad...Es duro, sin duda, pero si tienes un negocio parado, totalmente, sin actividad yo entiendo que la gente de el paso de pagar. No encuentro autoridad moral en mi como para criticarlo, y sin duda los delincuentes habrán ganado, pero nadie dijo que la vida sea justaYago Jesushttp://www.securitybydefault.comnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-1106377593398767842014-12-05T00:33:51.896+01:002014-12-05T00:33:51.896+01:00No doy crédito. Ni a lo que veo en los dos últimos...No doy crédito. Ni a lo que veo en los dos últimos updates de los bitcoin, ni a los delincuentes. ¿Nadie ha encontrado todavía una solución? No me esperaba el consejo de como pagar casi un BTC, bastante arruinado está ya este país. Espero que haya un aporte útil pronto. Se tienen que estar forrando, no paguéis gente afectada, investigad por dios! Despues de dedicar mas de 8 horas a un equipo infectado, sospecho que no es cryptolocker ni torrentlocker, no funciona ninguna herramienta de las que he visto para ese tipo de amenazas. Deberíamos atacar ese dominio maldito, aunque sea por venganza. Ya por curiosidad ¿Alguien a pagado esa pasta y confirma si funciona? Por supuesto, gracias por esta web y gracias por este post.Juannoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-22787113312711072392014-12-04T23:16:14.553+01:002014-12-04T23:16:14.553+01:00Ahi va un fichero cifrado uno sin cifrar, el ejecu...Ahi va un fichero cifrado uno sin cifrar, el ejecutable del virus <br /><br />https://mega.co.nz/#F!5FcHgRJR!3X-XmOfQ5zGCxBdgU8ifhwCarlosnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-26876372869565494722014-12-04T23:10:43.134+01:002014-12-04T23:10:43.134+01:00Seria bueno realizar algunas pruebas forenses para...Seria bueno realizar algunas pruebas forenses para tratar de recuperar la private key de la memoria RAM. <br /><br />He visto articulos interesantes como "Extracting RSA private keys and certificates from processmemory"<br />http://trapkit.de/research/sslkeyfinder/keyfinder_v1.0_20060205.pdf <br /><br />Volatility tambien ya incluye estas opciones, seria bueno hacer pruebas para al menos ver si hay manera de rescatar la información mientras no se apague el equipo.Ivan Floresnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-73423651532829643632014-12-04T22:53:40.890+01:002014-12-04T22:53:40.890+01:00No es necesario 'eliminar' previamente el ...No es necesario 'eliminar' previamente el archivo original ni crear otro. Puede perfectamente ser cifrado in situ, de modo que cualquier método para evitar la extensión *.encrypted solo enredará saber cual esté o no cifrado (si se ha diseñado así).Carlos C.noreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-33684159520559602302014-12-04T22:44:47.404+01:002014-12-04T22:44:47.404+01:00Sería adecuado poner en descarga un ejemplo de un ...Sería adecuado poner en descarga un ejemplo de un fichero cifrado y el mismo descifrado (si se puede obtener un par así)... para tratar de estudiarlos...Carlos C.noreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-15466634795216246322014-12-04T21:33:59.647+01:002014-12-04T21:33:59.647+01:00Por lo que más queráis, si dais con un desencripta...Por lo que más queráis, si dais con un desencriptador que funcione de aquí a poco por favor comentadlo por aquí :(Infectadonoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-68253815082027076612014-12-04T21:33:35.737+01:002014-12-04T21:33:35.737+01:00Yo tambien he probado a entrar en modo seguro y lo...Yo tambien he probado a entrar en modo seguro y lo que ya estaba encriptado sigo viendolo encriptado...Davidnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-47416064864406238092014-12-04T21:23:56.255+01:002014-12-04T21:23:56.255+01:00Administrador de recursos del servidor de archivos...Administrador de recursos del servidor de archivos.<br /><br />http://technet.microsoft.com/es-es/library/cc732074.aspx<br /><br />Así todo tengo la duda de si lo único que conseguiré es que no escriba el fichero, pero así todo pierda el original. No nos ha entrado nada desde entonces para saber que ocurrirá.dmontonnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-625098841298152972014-12-04T21:06:37.075+01:002014-12-04T21:06:37.075+01:00como ha ido la cosa??como ha ido la cosa??Pablonoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-23324409787764604662014-12-04T20:34:45.921+01:002014-12-04T20:34:45.921+01:00He probado esta opcion y no funciona :-(He probado esta opcion y no funciona :-(davidnoreply@blogger.com