[SOLUCIONADO] Un ransomware un poco especial

Iniciado por SOFTEL, Enero 23, 2015, 12:25:46 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Enero 23, 2015, 12:25:46 AM Ultima modificación: Marzo 30, 2015, 10:53:32 AM por Gabriela
Hola comunidad. Les comento mi situación...

Hace unos días un malware [CryptoWall 3.0] infectó varios equipos de mi red. Dicho malware encripta [RSA - 2048] tus archivos [*.doc, *.docx, *.xls, *.ppt, *.psd, *.pdf, *.eps, *.ai, *.cdr, *.jpg, etc.] y te pide dinero para recuperarlos.



Hasta el momento logré eliminar el virus pero, no logré recuperar los archivos. Intenté todo lo que encontré en internet, sin embargo, no lo conseguí.

Mas tarde me di cuenta que la web de pago del malware te permite decriptar un archivo gratis. Como RSA utiliza una clave pública deduje que para decriptar ese archivo debía utilizar dicha clave.



Teniendo en cuenta esto me dispuse a capturar el trafico de red mientras el archivo se subía y se decriptaba. Encontré 2 paquetes interesantes...





Ambos paquetes están encriptados en SSL... Aqui va mi duda ¿Como decripto el SSL? Y ya que estamos... ¿Que posibilidad hay de que en esos paquetes este la clave publica del RSA?

Saludos y gracias. Espero su respuesta
Enero 28, 2015, 09:54:20 PM #1
Prueba con el SSLstrip no tienes el una copia de seguridad del bicho para analizarlo mas a fondo.
Enero 28, 2015, 10:39:03 PM #2
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Hola comunidad. Les comento mi situación...

Hace unos días un malware [CryptoWall 3.0] infectó varios equipos de mi red. Dicho malware encripta [RSA - 2048] tus archivos [*.doc, *.docx, *.xls, *.ppt, *.psd, *.pdf, *.eps, *.ai, *.cdr, *.jpg, etc.] y te pide dinero para recuperarlos.



Hasta el momento logré eliminar el virus pero, no logré recuperar los archivos. Intenté todo lo que encontré en internet, sin embargo, no lo conseguí.

Mas tarde me di cuenta que la web de pago del malware te permite decriptar un archivo gratis. Como RSA utiliza una clave pública deduje que para decriptar ese archivo debía utilizar dicha clave.



Teniendo en cuenta esto me dispuse a capturar el trafico de red mientras el archivo se subía y se decriptaba. Encontré 2 paquetes interesantes...





Ambos paquetes están encriptados en SSL... Aqui va mi duda ¿Como decripto el SSL? Y ya que estamos... ¿Que posibilidad hay de que en esos paquetes este la clave publica del RSA?

Saludos y gracias. Espero su respuesta

La probabilidad de que este ahi la clave es bastante baja , ya que imagino que lo descifrara a nivel server.
RollthBuen hacker mejor No tienes permitido ver los links. Registrarse o Entrar a mi cuenta/No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Enero 31, 2015, 02:25:11 AM #3
Si aun lo tienes y quieres, puedes enviarme la muestra por MP o Skype, haber si se puede Solucionar,...


Imprimir
Ir Arriba Páginas1
Acciones del Usuario