Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

[SOLUCIONADO] Un ransomware un poco especial

  • 3 Respuestas
  • 1231 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado SOFTEL

  • *
  • Underc0der
  • Mensajes: 1
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« en: Enero 23, 2015, 12:25:46 am »
Hola comunidad. Les comento mi situación...

Hace unos días un malware [CryptoWall 3.0] infectó varios equipos de mi red. Dicho malware encripta [RSA - 2048] tus archivos [*.doc, *.docx, *.xls, *.ppt, *.psd, *.pdf, *.eps, *.ai, *.cdr, *.jpg, etc.] y te pide dinero para recuperarlos.



Hasta el momento logré eliminar el virus pero, no logré recuperar los archivos. Intenté todo lo que encontré en internet, sin embargo, no lo conseguí.

Mas tarde me di cuenta que la web de pago del malware te permite decriptar un archivo gratis. Como RSA utiliza una clave pública deduje que para decriptar ese archivo debía utilizar dicha clave.



Teniendo en cuenta esto me dispuse a capturar el trafico de red mientras el archivo se subía y se decriptaba. Encontré 2 paquetes interesantes...





Ambos paquetes están encriptados en SSL... Aqui va mi duda ¿Como decripto el SSL? Y ya que estamos... ¿Que posibilidad hay de que en esos paquetes este la clave publica del RSA?

Saludos y gracias. Espero su respuesta
« Última modificación: Marzo 30, 2015, 10:53:32 am por Gabriela »

Desconectado Thereldor

  • *
  • Underc0der
  • Mensajes: 33
  • Actividad:
    0%
  • Reputación 0
  • Estudiando día con día
    • Ver Perfil
  • Skype: Thereldor
« Respuesta #1 en: Enero 28, 2015, 09:54:20 pm »
Prueba con el SSLstrip no tienes el una copia de seguridad del bicho para analizarlo mas a fondo.

Desconectado rollth

  • *
  • Underc0der
  • Mensajes: 876
  • Actividad:
    0%
  • Reputación 16
  • El conocimiento es libre.
    • Ver Perfil
    • Whateversec
    • Email
  • Twitter: @RoloMijan
« Respuesta #2 en: Enero 28, 2015, 10:39:03 pm »
Hola comunidad. Les comento mi situación...

Hace unos días un malware [CryptoWall 3.0] infectó varios equipos de mi red. Dicho malware encripta [RSA - 2048] tus archivos [*.doc, *.docx, *.xls, *.ppt, *.psd, *.pdf, *.eps, *.ai, *.cdr, *.jpg, etc.] y te pide dinero para recuperarlos.



Hasta el momento logré eliminar el virus pero, no logré recuperar los archivos. Intenté todo lo que encontré en internet, sin embargo, no lo conseguí.

Mas tarde me di cuenta que la web de pago del malware te permite decriptar un archivo gratis. Como RSA utiliza una clave pública deduje que para decriptar ese archivo debía utilizar dicha clave.



Teniendo en cuenta esto me dispuse a capturar el trafico de red mientras el archivo se subía y se decriptaba. Encontré 2 paquetes interesantes...





Ambos paquetes están encriptados en SSL... Aqui va mi duda ¿Como decripto el SSL? Y ya que estamos... ¿Que posibilidad hay de que en esos paquetes este la clave publica del RSA?

Saludos y gracias. Espero su respuesta


La probabilidad de que este ahi la clave es bastante baja , ya que imagino que lo descifrara a nivel server.

Desconectado fudmario

  • *
  • Cramel
  • *
  • Mensajes: 197
  • Actividad:
    0%
  • Reputación 13
    • Ver Perfil
    • fudmario - GitHub
  • Skype: fudmario
« Respuesta #3 en: Enero 31, 2015, 02:25:11 am »
Si aun lo tienes y quieres, puedes enviarme la muestra por MP o Skype, haber si se puede Solucionar,...


 

¿Te gustó el post? COMPARTILO!



[SOLUCIONADO] ¿Kali Linux o Kali Linux Ligth ?

Iniciado por worq

Respuestas: 2
Vistas: 12111
Último mensaje Noviembre 21, 2017, 12:28:54 pm
por Codig0Bit
[SOLUCIONADO] Multiuploader de imagenes con mysql, hosting de imagenes con mysql

Iniciado por graphixx

Respuestas: 4
Vistas: 2631
Último mensaje Marzo 26, 2013, 05:42:58 pm
por Xt3mP
[SOLUCIONADO] ¿Como publicar un software como software libre?

Iniciado por FuriosoJack

Respuestas: 2
Vistas: 2026
Último mensaje Mayo 23, 2017, 07:24:22 am
por HATI
[SOLUCIONADO] Linux Mint, errores, errores y mas errores...

Iniciado por n1sendev

Respuestas: 12
Vistas: 3916
Último mensaje Noviembre 22, 2017, 06:50:55 am
por RuidosoBSD
[SOLUCIONADO] Ayuda urgente con Virus "Virus.Win32Sality"

Iniciado por Napsters

Respuestas: 6
Vistas: 3999
Último mensaje Junio 11, 2012, 03:38:18 am
por Satyricon