Ransomware es lo mejor!

HELP_YOUR_FILES2
Ransomware es un termino relativamente reciente y muchos, por suerte aun no saben de que se trata
En el caso de ser victima de un típico virus de PC generalmente puteamos un poco, hacemos backup de los archivos mas importantes y “descongelamos la heladera” (reinstalamos el Windows).
Aqui en cambio estamos en frente de un problema mucho mas grande, ya que este tipo de amenazas cifran el contenido de la computadora, pidiendo rescate para volver a recuperar nuestros archivos.
En esta nota encontraran una descripción detallada de la ultima version de Cryptowall, que aun no hay con que darle.
Hay que pagar o olvidarnos de los archivos.

Ante una infección:
Primero no toquen el disco! No instalen, ni borren nada y hagan backup para poder analizar lo ocurrido sobre el, dejando los archivos originales en paz.
Determinen que version de Cryptowall es, si los nombres de los archivos en su disco se ponen así de feos:

encrypted-files

Seguramente agarraron a la version fea del virus, la cuatro. La mala noticia es que no existe método para descifrar los datos, ni seguramente exista dentro de mucho tiempo ya que se usa una llave de 2048bits. Es un cifrado fuertissimo y llevaría años romperlo por fuerza bruta. Lo que si podemos hacer, es salvar un archivo a nuestra elección siempre que no supere 1mb de tamaño.
Poco? A un cliente lo salvo, pero el problema es que necesitamos saber su nombre actual. Ya que como vimos, los nombres de los archivos se codificaron al igual que el contenido.

Pasos para descifrar un archivo

Buscamos el nombre del archivo en el disco con $find -name *nuestroarchivo*
Si tenemos suerte, al menos encontramos el link a el:
./Documents and Settings/USER/Recent/nuestroarchivo.lnk

Luego empleamos la herramienta lnkanalyser:
$wine lnkanalyser.exe -i ./Documents and Settings/USER/Recent/nuestroarchivo.lnk

Entre otros datos, vamos a obtener:


Lnk Metadata
—————
Working Path: C:\Documents and Settings\USER\My Documents
Target Metadata
—————
Created Timestamp: 2/25/2015 2:01:14 PM
Accessed Timestamp: 1/14/2016 11:57:37 AM
Written Timestamp: 1/14/2016 11:57:37 AM
File Size: 378880
TrackerDataBlock
—————-
BirthObjectId: 83EF2D281FDDE441952C071FC6A2CDE8

Ahora sabemos su ubicación y tamaño! En mi caso el File Size fue de 378880 bytes, cuando luego de pasarle el virus por encima, creció hasta 379228 bytes.
Como verán, existe overhead por cifrado, pero no es tan grande y podemos determinar que archivo es. Por suerte no tuve muchos de tamaño similar y rápidamente identifique el que buscaba. Ojo que tendremos una sola oportunidad!
Lo ideal es que tengan algo superior a Vista, así pueden machear el BirthObjectId dentro del disco y encontrar el file. No lo pude probar, ya que el cliente uso winXP (si, aun hay gente que lo usa).
Una vez que tenemos el archivo listo, vamos a la web del criminal y lo subimos

HELP_YOUR_FILES4

Me toco la web: 3wzn5p2yiumh7akj.maverickpaypartners.com y si, ya los denuncie en todas partes.
Ingresamos el “código de victima”, buscamos el archivo encontrado y cruzando los dedos lo subimos. Una vez mas les digo: “Es un solo archivo, tengan cuidado y no suban la foto de su mascota!”. Tras unos segundos tenemos el archivo .doc o lo que sea que hayan perdido en el lugar. Así los que hacen este virus nos muestran que es posible recuperar los datos. A lo mejor con eso solo ya estamos, de lo contrario…

Otras herramientas útiles

– Con undbx podemos abrir los archivos de correo y ver su contenido. Si mandaron por mail algo importante, tengan en cuenta que la version actual del virus no lo toca y tenemos todo intacto esperándonos (en las versiones futuras los .dbx seguramente también se cifren)
Malwarebytes nos permite deshacernos del virus. Aunque claro, no recupera los archivos cifrados
– En DrWeb podemos subir el ejemplo de archivos cifrados junto con el screen de amenaza, para luego rezar a que nos respondan que si lograron abrirlos. Es raro que pase según ellos mismos dicen y en mi caso la respuesta tras unas semanas de espera fue:

Hello,
A case of “CryptoWall 4.0”
Unfortunately, decryption is not feasible.
We are unable to decrypt files enciphered by this malware.

– Pueden probar estos binarios, si agarraron una version anterior a la 4 de Cryptowall:

te263decrypt.exe
te225decrypt.exe
te102decrypt.exe
te94decrypt.exe

Aclaro que no me descifraron nada, porque yo tenia la 4. Las versiones en este caso no son mejores o peores, sino que son para diferentes virus cifradores
Herramienta para para mitigar los efectos de Coinvault de Kaspersky
– Diria que el mejor FAQ sobre Cryptowall hasta ahora (salvo la parte de recomendación de pagar, que no me cierra)
– Si borramos algún archivo importante anteriormente a la infección, no fue cifrado y podemos probar recuperarlo con ntfsundelete

Nota final y recomendaciones
Este tipo de amenazas son de lo mejor, ya que: “Nada cuesta mas que la información“. Realmente funcionan bien por lo visto, ya que en las transacciones de bitcoins se ve que la gente paga. Claro, eviten a toda costa hacerlo ya que esta gente no es de fiar. Quien les garantiza que los datos realmente se van a recuperar? El criminal que los cifro?!
Lo mejor que pueden hacer para evitar este tipo de cosas es tener un backup que solo se accede en modo lectura.
Evitaría confiar en herramientas como cryptoprevent. Sus datos valen mas que estos binarios que nadie sabe si funcionan realmente. Concluyendo: si hasta ahora zafamos, es porque no se puede prever todo en desarrollo de software, eso aplica para los virus también, que durante un tiempo tuvieron bugs, permitiendo salvar los datos. Estos tiempos lamentablemente parecen haber terminado.
Saludos y espero nadie nunca tenga que seguir estas instrucciones 🙂

Deja un comentario

Para proteger el blog de SPAM, le pedimos que complete la tarea:WordPress CAPTCHA