Crackeado ramsonware

Me alegro que haya salido ya algo para frenar el avance del virus

Lo cierto es que este ransomware nunca le vi mucho futuro, y es precisamente por el como actúa.

Decir que cifra la tabla de asignación de ficheros maestra o MFT puede sonar muy rimbombante, pero no es más que un puñetero sector del disco que esencialmente lo que hace es listar los archivos en el disco duro. Tocar o borrar esa información, que esencialmente viene a ser lo mismo que corromperla o cifrarla, supone que el sistema de ficheros pierde toda referencia a la ubicación de los archivos.

El asunto es que, el ransomware al sólo tocar eso, todo esfuerzo por parte del cracker queda puesto en evidencia al poder extraer el disco, enchufarlo en otro ordenador y proceder a extraer los datos con un programa de recuperación. La acción del malware vendría a ser similar a haber reparticionado y formateado el disco por error. Se pierde el índice de archivos pero los archivos se pueden recuperar en su mayor parte, con un índice de recuperación de entre el 80% al 90%.

https://blog.kaspersky.com/petya-ransomware/11715/

2. Petya encrypts only the MFT leaving the files themselves untouched. Files still can be recovered (...) in hard drives recovery.

De todas formas, siempre es mejor tener estas soluciones. Siempre será mejor recuperar los datos íntegros que no andar rebuscando en plan cajón de sastre.

Por si interesa
- https://github.com/hasherezade/petya_recovery
- https://github.com/leo-stone/hack-petya

Y a mi me entro el mas joputa cifrando a diestro y siniestro sin importarle el tipo de archivo

Yo no se a que esperar los gobiernos a dedicar mas recursos para atrapar a estos hijos de su madre, que a fin de cuentas es una extorsión en toda regla

Elkri escribió:Y a mi me entro el mas joputa cifrando a diestro y siniestro sin importarle el tipo de archivo

Yo no se a que esperar los gobiernos a dedicar mas recursos para atrapar a estos hijos de su madre, que a fin de cuentas es una extorsión en toda regla

Desgraciadamente no es tan facil. Seguir el rastro del dinero bitcoin es muy complicado.

La idea seria que el sistema operativo ya implementara una medidas de seguridad mediante un parche (W7-W8) o de serie en w10 pero dudo que las implementen.

Como por ejemplo que en la instalacion se creen 2 cuentas una de administrador y otra del usuario normal.

alex120 escribió:

Elkri escribió:Y a mi me entro el mas joputa cifrando a diestro y siniestro sin importarle el tipo de archivo

Yo no se a que esperar los gobiernos a dedicar mas recursos para atrapar a estos hijos de su madre, que a fin de cuentas es una extorsión en toda regla

Desgraciadamente no es tan facil. Seguir el rastro del dinero bitcoin es muy complicado.

La idea seria que el sistema operativo ya implementara una medidas de seguridad mediante un parche (W7-W8) o de serie en w10 pero dudo que las implementen.

Como por ejemplo que en la instalacion se creen 2 cuentas una de administrador y otra del usuario normal.

Pero si mal no entendí, el virus te encripta los archivos y la clave que usa para generarlos se envía a un servidor para que luego cuando puedas el hacker dártela, y por ende ese servidor si es rastreable y a partir de el teóricamente si se podría buscar al hacker de marras no?

Elkri escribió:

alex120 escribió:

Elkri escribió:Y a mi me entro el mas joputa cifrando a diestro y siniestro sin importarle el tipo de archivo

Yo no se a que esperar los gobiernos a dedicar mas recursos para atrapar a estos hijos de su madre, que a fin de cuentas es una extorsión en toda regla

Desgraciadamente no es tan facil. Seguir el rastro del dinero bitcoin es muy complicado.

La idea seria que el sistema operativo ya implementara una medidas de seguridad mediante un parche (W7-W8) o de serie en w10 pero dudo que las implementen.

Como por ejemplo que en la instalacion se creen 2 cuentas una de administrador y otra del usuario normal.

Pero si mal no entendí, el virus te encripta los archivos y la clave que usa para generarlos se envía a un servidor para que luego cuando puedas el hacker dártela, y por ende ese servidor si es rastreable y a partir de el teóricamente si se podría buscar al hacker de marras no?

¿Si el hacker ha aprovechado un servidor vulnerable para tener acceso remoto a él? Supongo que esta gente que se mete en estas cosas se cubre un poco más las espaldas.

Elkri escribió:

alex120 escribió:

Elkri escribió:Y a mi me entro el mas joputa cifrando a diestro y siniestro sin importarle el tipo de archivo

Yo no se a que esperar los gobiernos a dedicar mas recursos para atrapar a estos hijos de su madre, que a fin de cuentas es una extorsión en toda regla

Desgraciadamente no es tan facil. Seguir el rastro del dinero bitcoin es muy complicado.

La idea seria que el sistema operativo ya implementara una medidas de seguridad mediante un parche (W7-W8) o de serie en w10 pero dudo que las implementen.

Como por ejemplo que en la instalacion se creen 2 cuentas una de administrador y otra del usuario normal.

Pero si mal no entendí, el virus te encripta los archivos y la clave que usa para generarlos se envía a un servidor para que luego cuando puedas el hacker dártela, y por ende ese servidor si es rastreable y a partir de el teóricamente si se podría buscar al hacker de marras no?

El servidor no es rasteable.


El virus se conecta a un server el cual genera un par claves RSA (una privada y una publica)

Despues el server envia la clave publica al ordenador infectado y empieza a cifrar. La clave privada (la de descifrar) no sale nunca del server, a no ser que pagues.

Pero aunque la clave nunca salga del servidor, hay comunicación entre tu pc y ese servidor por lo cual puedes saber que servidor es, y con una investigacion policial de por medio seria facil acceder a los registros de acceso de ese servidor. Vamos digo yo.

Vamos que no hablamos de un hacker entrado en el pc de 4 gatos, que las dimensiones de esta estafa es bestial y seguro que en algún momento bajan la guardia.

Y no que aqui estamos, dependiendo de usuarios que altruistamente se parten el coco para intentar sacar remedios contra estos virus.

Elkri escribió:Pero aunque la clave nunca salga del servidor, hay comunicación entre tu pc y ese servidor por lo cual puedes saber que servidor es, y con una investigacion policial de por medio seria facil acceder a los registros de acceso de ese servidor. Vamos digo yo.

Vamos que no hablamos de un hacker entrado en el pc de 4 gatos, que las dimensiones de esta estafa es bestial y seguro que en algún momento bajan la guardia.

Y no que aqui estamos, dependiendo de usuarios que altruistamente se parten el coco para intentar sacar remedios contra estos virus.

Suelen usar servidores comprometidos o salas de IRC. Y a estos sitios entran despues de dar mil saltos entre diferentes servidores comprometidos, vpn´s, thor, etc. Y todos en diferentes paises, a ser posible. No es facil rastrear algo así.

Y con este tipo de virus, una vez que lo has lanzado, si lo has hecho bien, no tienes ni porque entrar en ningun sitio, solo dejar que entre el dinero en tu cuenta de bitcoins.

Pero esta solución sólo es válida para el ransomware Petya, ¿no?
El resto de virus similares (Ransom32, Cryptowall, Cryptoworm, Cryptolocker...) ¿funcionan del mismo modo?

Neo Cortex escribió:Pero esta solución sólo es válida para el ransomware Petya, ¿no?
El resto de virus similares (Ransom32, Cryptowall, Cryptoworm, Cryptolocker...) ¿funcionan del mismo modo?

No. Esta solucion solo es valida para esta version. Esta version no encripta ficheros sino la tabla MFT.

Pues yo no se que hacen algunos para pillar toda la mierda de internet. Yo aún no me he infectado nunca ni con el de la policia ni con ningun rasonware

alex120 escribió: No. Esta solucion solo es valida para esta version. Esta version no encripta ficheros sino la tabla MFT.

Pues vaya
De todos modos, esperemos que sea un primer paso para lograr desencriptar el resto de ransomware.

-----

@Seifer10

Pues nada en especial; vamos, de hecho, creo que todos hacemos un uso bastante similar del ordenador.

Yo creo que me infecté en las páginas puente con presunta publicidad (ya sabes, esas que tienes que esperar una cuenta regresiva y que se abren varias simultáneas antes de acceder al DLC). Desde entonces he añadido a FireFox los complementos NoScript, uBlock Origin y HTTPS Everywhere para proteger más el equipo.

Lo que sí sé es que no cliqué sobre ningún fichero exe ni abrí ningún correo sospechoso en mi bandeja de entrada; y tampoco visito páginas especialmente peligrosas ni páginas porno.

Neo Cortex escribió:
@Seifer10

Pues nada en especial; vamos, de hecho, creo que todos hacemos un uso bastante similar del ordenador.

Yo creo que me infecté en las páginas puente con presunta publicidad (ya sabes, esas que tienes que esperar una cuenta regresiva y que se abren varias simultáneas antes de acceder al DLC). Desde entonces he añadido a FireFox los complementos NoScript, uBlock Origin y HTTPS Everywhere para proteger más el equipo.

Lo que sí sé es que no cliqué sobre ningún fichero exe ni abrí ningún correo sospechoso en mi bandeja de entrada; y tampoco visito páginas especialmente peligrosas ni páginas porno.

Si seguramente sea algo de la publicidad, yo desde luego siempre he estado usando ublock o adblock plus y como digo, nunca he tenido un virus de estos que jodan el sistema como el de la policia o los rasonware.
Lo decía porque me sorprende ver tanta gente afectada, y que a mi nunca me ha pasado aún y eso que le doy mucho uso a internet.

Bueno ahora que recuerdo el único virus así "jodido" que me ha entrado , fue un gusano llamado sasser, el cual cuando iniciabas windows, salía una cuenta atrás de 1 min diciendo que se apagaba el equipo, al cual se le daba al reloj hacia atrás y crecía el tiempo xD

Seifer10 escribió:Bueno ahora que recuerdo el único virus así "jodido" que me ha entrado , fue un gusano llamado sasser (...)

Sí, ése también me infectó a mí; de hecho, estaba de moda en su época. Y otro similar era el Blaster.

Mi equipo se vio afectado por varios "virus/gusanos/troyanos/malware/randomware/mierdas varias" debido, probablemente a que navegaba con IE sin ningún tipo de protección más que la de algún antivirus gratuito (Avast, Panda, Avira, AVG).

Por cierto, otro virus curioso era el de la doble tilde, que lo que hacía era afectar a la escritura y si ponías "camión", en pantalla aparecía "cami´´on". Que no acabo de entender cuál era su finalidad más allá de la de fastidiar.

Neo Cortex escribió:

Seifer10 escribió:Bueno ahora que recuerdo el único virus así "jodido" que me ha entrado , fue un gusano llamado sasser (...)

Sí, ése también me infectó a mí; de hecho, estaba de moda en su época. Y otro similar era el Blaster.

Mi equipo se vio afectado por varios "virus/gusanos/troyanos/malware/randomware/mierdas varias" debido, probablemente a que navegaba con IE sin ningún tipo de protección más que la de algún antivirus gratuito (Avast, Panda, Avira, AVG).

Por cierto, otro virus curioso era el de la doble tilde, que lo que hacía era afectar a la escritura y si ponías "camión", en pantalla aparecía "cami´´on". Que no acabo de entender cuál era su finalidad más allá de la de fastidiar.

LOL ese de la tilde no lo conocía, pero sí seguramente era para joder simplemente.

El del blaster era lo mas bestia que he visto. Era conectar el ordenador a internet sin nisiquiera abrir el navegador y ya estabas infectado.

Para evitar infecciones uso bitdefender, malwarebytes, bloqueador de publicidad y noscript en el navegador. Y lo más importante. Tener el sistema operativo actualizado al día. Que sin esto ultimo da igual todo lo anterior. Si te la quieren colar te la cuelan.
Un saludo.

morlaco06 escribió: Y lo más importante. Tener el sistema operativo actualizado al día.

Ya, pero los que seguimos con XP lo tenemos "un pelín" fastidiado

Neo Cortex escribió:

morlaco06 escribió: Y lo más importante. Tener el sistema operativo actualizado al día.

Ya, pero los que seguimos con XP lo tenemos "un pelín" fastidiado

Solo podría entender tener xp por algún motivo de la necesidad de algún programa que sólo funcione bajo xp. Si es por recursos de hardware limitado con una distro de lubuntu o algo similar va a ir mucho mejor.

Lo sigo usando por inercia; de hecho, el portátil (un HP Compaq Intel Celeron 560 @ 2.13Gz y 3GB de RAM) venía con Vista y se lo cambié por XP. Con Ubuntu no tengo ni idea de cómo funcionaría ni si soportaría los programas que uso habitualmente.

Neo Cortex escribió:@morlaco06
Lo sigo usando por incercia; de hecho, el portátil (un HP Compaq Intel Celeron 560 @ 2.13Gz y 3GB de RAM) venía con Vista y se lo cambié por XP. Con Ubuntu no tengo ni idea de cómo funcionaría ni si soportaría los programas que uso habitualmente.

Puedes hacer la prueba con una VM con Ubuntu + Wine para programas específicos de Windows que tengas que utilizar si o si.

Newton escribió: Puedes hacer la prueba con una VM con Ubuntu + Wine (...)

Sí, esa podría ser otra opción... siempre que supiera lo que es una VM

Neo Cortex escribió:

Newton escribió: Puedes hacer la prueba con una VM con Ubuntu + Wine (...)

Sí, esa podría ser otra opción... siempre que supiera lo que es una VM

Máquina Virtual

Pues sigo en las mismas. ¿Es como una partición que se hace en el disco duro para hacer pruebas?

EDIT: Gracias por el MP con la información

Newton escribió:Puedes hacer la prueba con una VM con Ubuntu + Wine para programas específicos de Windows que tengas que utilizar si o si.

Mejor le instalas un VM con algún windows no? Porque Wine no tiene las mismas vulnerabilidades que Windows.

Neo Cortex escribió:Pues sigo en las mismas. ¿Es como una partición que se hace en el disco duro para hacer pruebas?

Creo que te ha respondido, pero te doy otra explicación por si queda más claro:



Aquí puedes ver como un pc (con Linux) está arrancando una maquina virtual con Windows Vista. Una maquina virtual es la emulación de un pc, le tienes que instalar un SO, los programitas...

¿Cual es la gracia? Que si ejecutas un virus, solo afectaría a ese PC virtual, por tanto es una buena manera de ejecutar archivos dudosos.

La otra ventaja esque puedes guardarte el estado de la maquina virtual, de modo que cada vez que te metas tengas un SO limpio y nuevo para probar.

El programa más conocido para esto es el virtualbox:
https://www.virtualbox.org/wiki/Downloads

amchacon escribió: Porque Wine no tiene las mismas vulnerabilidades que Windows

Wine supongo que no tendrá nada que ver con WinUE, que fue el S.O. que instalé en sustitución del Vista que traía el portátil de fábrica; pero al final le acabé metiendo un XP SP3 porque la versión modificada me daba problemas por todas partes (concretamente los programas recomendados que se instalaban, como TuneUp Utilities).

¿Cual es la gracia? Que si ejecutas un virus, solo afectaría a ese PC virtual, por tanto es una buena manera de ejecutar archivos dudosos.

Sí, esa fue la primera utilidad que me vino a la cabeza para mantener a salvo el equipo.

Gracias por la explicación alternativa

Neo Cortex escribió:Wine supongo que no tendrá nada que ver con WinUE, que fue el S.O. que instalé en sustitución del Vista que traía el portátil de fábrica; pero al final le acabé metiendo un XP SP3 porque la versión modificada me daba problemas por todas partes (concretamente los programas recomendados que se instalaban, como TuneUp Utilities).

No, wine es un programa para ejecutar programas de Windows en Linux.

Neo Cortex escribió:

amchacon escribió: Porque Wine no tiene las mismas vulnerabilidades que Windows

Wine supongo que no tendrá nada que ver con WinUE, que fue el S.O. que instalé en sustitución del Vista que traía el portátil de fábrica; pero al final le acabé metiendo un XP SP3 porque la versión modificada me daba problemas por todas partes (concretamente los programas recomendados que se instalaban, como TuneUp Utilities).

¿Cual es la gracia? Que si ejecutas un virus, solo afectaría a ese PC virtual, por tanto es una buena manera de ejecutar archivos dudosos.

Sí, esa fue la primera utilidad que me vino a la cabeza para mantener a salvo el equipo.

Gracias por la explicación alternativa

Otra utilidad de las máquinas virtuales puede ser la portabilidad
Podrías copiar la imagen de la máquina virtual en un USB y arrancarlo en otro equipo - siempre y cuando tenga VirtualBox o un programa capaz de arrancar tu imagen del sistema virtualizado - sin tener que hacer demasiados malabares.