This site uses cookies own and third. If you continue to browse consider to accept the use of cookies. OK More Info.

Ransomware comprime en RAR, y pide rescate por el password.

  • 13 Replies
  • 7943 Views

0 Members and 1 Guest are viewing this topic.

Offline NewDealerKids

  • *
  • Underc0der
  • Posts: 12
  • Actividad:
    0%
  • Country: 00
  • Reputación 0
  • Cometo errores pero no soy un traidor
    • View Profile
Aquí están las capturas de pantalla, el formato que encripta, es un rar... pero poco se, no hay mucha información en google.
------------> capturas de pantalla:







creo que es similar a ACCDFISA v2.0 pero no aparece el mensaje que sale avisando....

asi aparecen los archivos:
Code: You are not allowed to view links. Register or Login
nombredelarchivo.pdf (!! to decrypt email id 1193390317 to [email protected]
habrá posibilidad de desencriptarlos? puse un desencriptador de rar pero me dice que tardara 127 años.....

estos son los análisis
Code: You are not allowed to view links. Register or Login
https://www.hybrid-analysis.com/sample/c410308eae5b64205be451f9abc398e45d64498178b57b2c439e1e97b26b8176?environmentId=100

Espero respuesta, desde ya muchas gracias.. :'(
« Last Edit: June 22, 2017, 06:30:09 pm by Gabriela »
Es irrevocable el paso de átomos a bits.

Offline sadfud

  • *
  • Moderador
  • Posts: 214
  • Actividad:
    0%
  • Country: cl
  • Reputación 11
    • View Profile
    • Blog
que cutre xD

Luego hago una POC de como descifrarlo, que creo que se como se hace
Mi blog: You are not allowed to view links. Register or Login
Si necesitas ayuda, no dudes en mandar MP

Offline NewDealerKids

  • *
  • Underc0der
  • Posts: 12
  • Actividad:
    0%
  • Country: 00
  • Reputación 0
  • Cometo errores pero no soy un traidor
    • View Profile
dejo a continuación, un archivo original, sano y el mismo infectado
y el análisis de virus total, del malwarebytes

informes
Code: You are not allowed to view links. Register or Login
https://virustotal.com/es/file/da2ff7c5488114047e8f588612a53b2f6e86b2da3e06d28f2c1a19b7a68d8426/analysis/1498083050/
archivos
Code: You are not allowed to view links. Register or Login
https://www.transfernow.net/32eyn1v9tz9f?lng=es
« Last Edit: June 21, 2017, 10:06:45 pm by xyz »
Es irrevocable el paso de átomos a bits.

Offline Rad1us

  • *
  • Underc0der
  • Posts: 80
  • Actividad:
    0%
  • Country: 00
  • Reputación 2
    • View Profile
    • Email
Si no recuerdo mal, hay algunos programas que te abren rar y zip aunque tengan contraseña, ¿has probado eso? quizá te funcione
saludos

Offline Criss

  • *
  • Underc0der
  • Posts: 11
  • Actividad:
    0%
  • Reputación 0
  • @Hack your Future
    • View Profile
    • Email
Amigo, saludos.

Descargaste el directorio desde Internet?

La infección ocurrió al momento de extraer el archivo? y que tanto se logro expander el Ransomwaree (Hasta que parte del sistema logró Encriptar?

Offline Criss

  • *
  • Underc0der
  • Posts: 11
  • Actividad:
    0%
  • Reputación 0
  • @Hack your Future
    • View Profile
    • Email
Amigo, perdón. Quisiera saber si ¿detectáste como fuiste infectado?

Si conoces el origen de la carga del Rasonware, y si pudiste enmendar el problema.


Gracias, Saludos...
 ;)

Offline NewDealerKids

  • *
  • Underc0der
  • Posts: 12
  • Actividad:
    0%
  • Country: 00
  • Reputación 0
  • Cometo errores pero no soy un traidor
    • View Profile
You are not allowed to view links. Register or Login
Si no recuerdo mal, hay algunos programas que te abren rar y zip aunque tengan contraseña, ¿has probado eso? quizá te funcione
saludos

SI, probe,
passware Kit Forensic,  me dice que en 130 años lo saca...
Rar Password Unlocker, solo acepta rar, no exe.
Advanced RAR Repair 1.2

ninguno me dio solución  :(
Es irrevocable el paso de átomos a bits.

Offline NewDealerKids

  • *
  • Underc0der
  • Posts: 12
  • Actividad:
    0%
  • Country: 00
  • Reputación 0
  • Cometo errores pero no soy un traidor
    • View Profile
You are not allowed to view links. Register or Login
Amigo, perdón. Quisiera saber si ¿detectáste como fuiste infectado?

Si conoces el origen de la carga del Rasonware, y si pudiste enmendar el problema.


Gracias, Saludos...
 ;)



El problema surgió en una oficina, no tengo conocimientos de como se infecto....  respondiendo a tu otra pregunta, infecto todos los dbf, xls, pdf, doc. etc.   solo archivos que usan las aplicaciones.
Es irrevocable el paso de átomos a bits.

Online noxonsoftwares

  • *
  • Ex-Staff
  • *****
  • Posts: 364
  • Actividad:
    0%
  • Country: ar
  • Reputación 10
  • Ayudar es Crecer, Crecer es Mejorar
    • View Profile
    • NOXONSOFTWARES
interesante.....más aún porque utiliza winrar que es algo común se ahorra el encriptado de archivos colocando una contraseña jejeje...pero me llama la atención el que comprime todo haciendo un sfx. la pregunta sería:

porque un sfx y no .rar solamente ?

que pasa con los archivos originales, son eliminados, ocultos, en otro directorio?

si mal no recuerdo en el registro de Windows winrar guarda las rutas de los últimos archivos comprimidos (lo note cuando quería aprender a crackear una pass de .rar usando olly xD).

no se habría que ver la máquina infectada para ver los orígenes porque con ese sfx sólo se trataría de acertar la pass o tardar años en descifrarla....no tiene comentarios de ejecución ese sfx??

Offline Stiuvert

  • *
  • Ex-Staff
  • *****
  • Posts: 2650
  • Actividad:
    0%
  • Reputación 15
  • Twitter: @Stiuvert
    • View Profile
Windows almacena de forma temporal archivos que han sido eliminados o alterados, de esta forma podríamos recuperar perfectamente un archivo encriptado por Ransomware.

Para poder realizar este proceso de recuperación de archivos temporales necesitas tener la opción de restauración de sistema activo previamente, y con la ayuda de un software llamado Shadow Explorer puedes recuperar archivos y/o directorios fácilmente.

You are not allowed to view links. Register or Login

Nota: Lo he utilizado en una ocasión y pude recuperar toda la partición C , suerte!

Saludos

Offline M03's

  • *
  • Underc0der
  • Posts: 11
  • Actividad:
    0%
  • Reputación 0
    • View Profile
hola Prueba con esto

Opción 1 - quitar manualmente el virus [email protected]

Paso 1. Desinstalar Virus [email protected] programas relacionados y otro software no deseado que ha instalado recientemente.

1. Pulse “ de Windows clave” y “ R tecla” al mismo tiempo para abrir “ Ejecutar ventana”, a continuación, escriba “panel de control” en la ventana Ejecutar y haga clic en OK.


2. A continuación, seleccione la categoría de vista, y haga clic en Desinstalar un programa en virtud de los programas.


3. Haga clic en Instalado en para mostrar los últimos programas, desplazarse por la lista para encontrar y desinstalar [email protected] virus y otros programas no deseados instalados recientemente.



Paso 2 Deshacerse de valores del registro maliciosos y las claves asociadas con el virus [email protected]

1. Pulse “ de Windows clave” y “ R tecla” al mismo tiempo para abrir “ Ejecutar ” ventana, a continuación, escriba “ regedit ” en la ventana y haga clic en OK



2. Situar manualmente todos los registros maliciosos creados por el virus [email protected]:

¡¡Atención por favor!! Cualquier pequeño error cometido en el Registro va a arruinar su computadora !!

Para evitar daños a su sistema, nuestro laboratorio de recomendaciones:

>> Descargar SpyHunter herramienta Anti-malware - Uno de los mejor herramienta de eliminación de malware <<

Code: (dos) You are not allowed to view links. Register or Login
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ [email protected] Virus \ 7TT0-F49X-LPA01-3150QB
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ [email protected] Virus \ 9WG9-L33B-ZSH05-1418OI
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ Shell \ [email protected] Virus \ 0PH1-S39W-JGS29-6268LL
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run “[al azar] .exe”
HKEY_CURRENT_USER \ Software \ AppDataLow \ Software \ brbrcodes @ gmail. Virus com
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Uninstall \ [email protected] Virus
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ BrowserHelperObjects \ [números al azar]



Paso 3. Retire Microsoft Edge / Internet Explorer add-on, extensión de Chrome y relacionados con el virus [email protected] Firefox.

Google Chrome Usuario



Haga clic en el menú de Chrome en la barra de herramientas del navegador.
Haga clic en Herramientas.
Seleccione Extensiones .
Haga clic en el icono de papelera para eliminar la extensión del virus [email protected]
Asegúrese de eliminar todas las extensiones que no conoces o necesita.
Un diálogo de confirmación, haga clic en Eliminar .

usuario Firefox



Haga clic en el botón de menú  y selecciona Add-ons . La ficha Administrador de complementos se abrirá.
En la pestaña Administrador de complementos, seleccione el Extensiones panel.
Asegúrese de eliminar todas las extensiones que no conoces o necesita.
Haga clic en Deshabilitar o Retire el botón de virus [email protected]
Haga clic en Reiniciar ahora si aparece.

Internet Explorer usuario



Abrir el IE, haga clic en el botón Herramientas  y, a continuación, haga clic en Administrar complementos .
Haga clic en Barras de herramientas y extensiones en el lado izquierdo de la ventana., Y luego seleccione Virus [email protected]
Asegúrese de eliminar todo de BHO no sabe o necesidad.
Si el complemento se puede eliminar, verá la opción Quitar. Haga clic en Eliminar y, a continuación, en Cerrar. De lo contrario, haga clic en Desactivar botón.

Tomado de:
Code: You are not allowed to view links. Register or Login
http://helpcleaningvirus.com/remove-brbrcodesgmail-com-virus-effectively/
« Last Edit: June 23, 2017, 09:18:40 am by xyz »

Offline NewDealerKids

  • *
  • Underc0der
  • Posts: 12
  • Actividad:
    0%
  • Country: 00
  • Reputación 0
  • Cometo errores pero no soy un traidor
    • View Profile
Gracias por la respuesta, lo pude eliminar, y poner en cuarentena.. ahora me keda el tema de descomprimir los archivos rar, que me pide contraseña..
        igualmente agradecido por la respuesta
                        salu2
Es irrevocable el paso de átomos a bits.

Offline NewDealerKids

  • *
  • Underc0der
  • Posts: 12
  • Actividad:
    0%
  • Country: 00
  • Reputación 0
  • Cometo errores pero no soy un traidor
    • View Profile
You are not allowed to view links. Register or Login
Windows almacena de forma temporal archivos que han sido eliminados o alterados, de esta forma podríamos recuperar perfectamente un archivo encriptado por Ransomware.

Para poder realizar este proceso de recuperación de archivos temporales necesitas tener la opción de restauración de sistema activo previamente, y con la ayuda de un software llamado Shadow Explorer puedes recuperar archivos y/o directorios fácilmente.

You are not allowed to view links. Register or Login

Nota: Lo he utilizado en una ocasión y pude recuperar toda la partición C , suerte!

Saludos
No esta activa la restauracion :( , pero probare el hidem o similar.. el recova no funciono..
 gracias por la respuesta
Es irrevocable el paso de átomos a bits.

Offline Flamer

  • *
  • Underc0der
  • Posts: 32
  • Actividad:
    0%
  • Country: 00
  • Reputación 3
    • View Profile
    • http://elblogdeflamer.blogspot.mx/
olvídate de sacar la clave del rar

saludos Flamer y párese que me copiaron yo hice uno que comprimía todo en un rar
Mi Blog

You are not allowed to view links. Register or Login