Autor Tema: CTB Locker, Archivos encriptados.  (Leído 15907 veces)

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado ernestoelunico

  • Trade Count: (0)
  • The Communiter-
  • *
  • Thank You
  • -Given: 13
  • -Receive: 75
  • Mensajes: 3060
  • Laa shay'a waqi'un Mutlaq bala kul'un mumkin
    • Cositas E-shop
Re:CTB Locker, Archivos encriptados.
« Respuesta #30 : enero 21, 2015, 08:17:00 pm »
Pues en nuestro caso la persona de la maquina infectada lo unico es que accedía páginas de música online. Si hay algun 0-day exploit con flash (que no sería el primero) y alguna de las páginas tenía algun flash malicioso ese podría haber sido el vector de entrada, porque no encontramos que estuviera haciendo nada particularmente diferente a su trabajo normal.

La otra razón es que el antivirus no estaba actualizado. Yo traté de infectar una máquina virtual con el ejecutable que encontramos que cifró el archivo pero siempre fallaba al ejecutarse, supongo que ha de depender de algúna vulnerabilidad de algun update o de algún programa o bliblioteca de terceros que tiene algún tipo de vulnerabilidad porque por más que traté no logré nisiquiera que se ejecutara el virus en la virtual.

Lo que si logré identificar es que el ransomware iba sobre un caballo de troya los otros antivirus lo detectan como malware-generico y no lo dejan funcionar, me imagino que hecho con alguna herramienta para construir ese tipo de ejecutables.

si me llama la atencion estos detalles porque si se ve interesante jugar en la virtual con este tipo de virus pero raro la ejecucion quizas lo que podria hacer es clonar un pc y montarla en una vitual para ver como va que sea igual a la infectado o lo mas parecidad cai en las oficnas todas andan igual y casi en todas las empresas no hay antivirus actulizados

Desconectado brother

  • Trade Count: (0)
  • Sv Full Member
  • *
  • Thank You
  • -Given: 23
  • -Receive: 13
  • Mensajes: 522
Re:CTB Locker, Archivos encriptados.
« Respuesta #31 : enero 21, 2015, 09:43:22 pm »
Pues en nuestro caso la persona de la maquina infectada lo unico es que accedía páginas de música online. Si hay algun 0-day exploit con flash (que no sería el primero) y alguna de las páginas tenía algun flash malicioso ese podría haber sido el vector de entrada, porque no encontramos que estuviera haciendo nada particularmente diferente a su trabajo normal.

La otra razón es que el antivirus no estaba actualizado. Yo traté de infectar una máquina virtual con el ejecutable que encontramos que cifró el archivo pero siempre fallaba al ejecutarse, supongo que ha de depender de algúna vulnerabilidad de algun update o de algún programa o bliblioteca de terceros que tiene algún tipo de vulnerabilidad porque por más que traté no logré nisiquiera que se ejecutara el virus en la virtual.

Lo que si logré identificar es que el ransomware iba sobre un caballo de troya los otros antivirus lo detectan como malware-generico y no lo dejan funcionar, me imagino que hecho con alguna herramienta para construir ese tipo de ejecutables.

si seguro el ejecutable ese no funciono en la otra por q faltaba el programa que lo instalo y no encontraba algo  :sad:

Desconectado ~

  • Trade Count: (0)
  • The Communiter-
  • *
  • Thank You
  • -Given: 0
  • -Receive: 156
  • Mensajes: 1412
    • Ciencia de Computación, OSes y Herramientas
Re:CTB Locker, Archivos encriptados.
« Respuesta #32 : enero 21, 2015, 10:23:28 pm »
Sería bueno tener aquí una copia del binario/ejecutable para ver si está comprimido (con UPX, etc.), y si se podría extraer cadenas, iconos, diálogos u otros recursos y saber si es realmente el ejecutable que se busca. También podría ser algún problema de configuración de comunicación y configuración para alcanzar el servidor remoto por TOR.

Puede que no corra por falta de una clave pública que corresponda con ese binario, o que falten otros recursos.

Lo malo es que no es de ayuda para quienes han perdido los archivos y sin la opción de pagar con la seguridad de que recuperen algo, si no se logra interceptar la clave privada al momento de generarse, y después entender cómo funciona la encriptación de curva elíptica, y la implementación, que es el tipo de encriptación que se supone que usa este virus.
Mi sitio web:
---- IP para archivo hosts (todos mis subdominios):
190.150.9.244 archefire.org

Desconectado dharzacs

  • Trade Count: (0)
  • Sv Jr.
  • **
  • Thank You
  • -Given: 0
  • -Receive: 0
  • Mensajes: 88
Re:CTB Locker, Archivos encriptados.
« Respuesta #33 : enero 23, 2015, 08:22:00 pm »
Sumandome a las dudas anteriores, si ya se detuvo el proceso de encriptacion, puede seguir propagandose a otras pc's??, y de ser asi podria ser via uSB o a traves de carpetas compartidas en red o por adjuntos en correos, será necesario formatear el disco por seguridad?????

Desconectado ~

  • Trade Count: (0)
  • The Communiter-
  • *
  • Thank You
  • -Given: 0
  • -Receive: 156
  • Mensajes: 1412
    • Ciencia de Computación, OSes y Herramientas
Re:CTB Locker, Archivos encriptados.
« Respuesta #34 : enero 25, 2015, 09:48:44 pm »
Sumandome a las dudas anteriores, si ya se detuvo el proceso de encriptacion, puede seguir propagandose a otras pc's??, y de ser asi podria ser via uSB o a traves de carpetas compartidas en red o por adjuntos en correos, será necesario formatear el disco por seguridad?????
En un caso tan peligroso como este, siempre sería mejor sacar todos los datos que se puedan salvar con el disco como esclavo en otra máquina y de ser posible desde Linux (aunque con Wine ahora hay ya muchos programas de Windows que pueden correr como si fueran nativos de Linux).

Y al final de todo el proceso, es mejor formatear. Hasta daños menores o un bajo rendimiento en correr programas requiere un formateo en casi todos los casos (Windows es muy cerrado y complejo como para determinar todos los problemas y daños que pueden darse y saber cómo resolverlos del todo).
« Última Modificación: enero 26, 2015, 10:15:19 am por ~ »
Mi sitio web:
---- IP para archivo hosts (todos mis subdominios):
190.150.9.244 archefire.org

Desconectado obser7er

  • Trade Count: (17)
  • The Communiter-
  • *
  • Thank You
  • -Given: 424
  • -Receive: 232
  • Mensajes: 4739
  • ferg(at)pcpimpz.com
    • PcPimpz Gamer Store - sucursal SVC
Re:CTB Locker, Archivos encriptados.
« Respuesta #35 : enero 25, 2015, 10:04:27 pm »
Es momento de actualizar el 'Flash player', para qué esperar:
http://helpx.adobe.com/security/products/flash-player/apsa15-01.html

Citar
Adobe Security Bulletin
Security Advisory for Adobe Flash Player
Release date: January 22, 2015

Last updated: January 24, 2015

Vulnerability identifier: APSA15-01

CVE number: CVE-2015-0311

Platform: All Platforms

Summary
A critical vulnerability (CVE-2015-0311) exists in Adobe Flash Player 16.0.0.287 and earlier versions for Windows and Macintosh.  Successful exploitation could cause a crash and potentially allow an attacker to take control of the affected system.  We are aware of reports that this vulnerability is being actively exploited in the wild via drive-by-download attacks against systems running Internet Explorer and Firefox on Windows 8.1 and below.

UPDATE (January 24): Users who have enabled auto-update for the Flash Player desktop runtime will be receiving version 16.0.0.296 beginning on January 24. This version includes a fix for CVE-2015-0311. Adobe expects to have an update available for manual download during the week of January 26, and we are working with our distribution partners to make the update available in Google Chrome and Internet Explorer 10 and 11. For more information on updating Flash Player please refer to this post. 

Affected software versions
Adobe Flash Player 16.0.0.287 and earlier versions for Windows and Macintosh
Adobe Flash Player 13.0.0.262 and earlier 13.x versions
Adobe Flash Player 11.2.202.438 and earlier versions for Linux
To verify the version of Adobe Flash Player installed on your system, access the About Flash Player page, or right-click on content running in Flash Player and select "About Adobe (or Macromedia) Flash Player" from the menu. If you use multiple browsers, perform the check for each browser you have installed on your system.

Severity ratings
Adobe categorizes this as a critical vulnerability.
Revisions
January 24, 2015: Updated to include Flash Player version delivered via auto-update.   

January 24, 2015: Updated to reflect reports that Windows 8.1 is also affected by CVE-2015-0311.
info: ferg(at)pcpimpz.com
Newegg|TigerDirect|Amazon|Directron|DELL-USATODO NUEVO Y SELLADO - Mandar a traer HW no es más barato pero es lo mejor!

Desconectado Vajin

  • Trade Count: (0)
  • The newbie
  • *
  • Thank You
  • -Given: 0
  • -Receive: 0
  • Mensajes: 1
Re:CTB Locker, Archivos encriptados.
« Respuesta #36 : enero 29, 2015, 02:38:38 am »

Desconectado eroslive

  • Trade Count: (4)
  • The Communiter-
  • *
  • Thank You
  • -Given: 181
  • -Receive: 56
  • Mensajes: 2852
Re:CTB Locker, Archivos encriptados.
« Respuesta #37 : enero 29, 2015, 06:27:55 am »
Les informations les plus utiles sur CTB-locker - http://www.bleepingcomputer.com/virus-removal/ctb-locker-ransomware-information
pas utiles - http://soft2secure.com/knowledgebase/ctb-locker
De los expertos del foro quien puede comprobar esto? me da curiosas que quien hizo el comentario parece que se registro solo para publicar esto

Desconectado erodri

  • Trade Count: (0)
  • Sv Member
  • ***
  • Thank You
  • -Given: 15
  • -Receive: 13
  • Mensajes: 253
Re:CTB Locker, Archivos encriptados.
« Respuesta #38 : enero 29, 2015, 07:31:32 am »
Justo ayer tuvimos problemas con este Cryptolocker es un virus secuestrador que infecta Windows XP, Vista, 7 y 8. Se disfraza a sí mismo como un archivo adjunto de tipo ZIP o PDF, aunque también se transmite por control remoto si un PC ha sido infectado previamente por un troyano de tipo “botnet”, que deja abierta la puerta para control remoto e infecciones externas.

Y use las herramientas señaladas en este link para Eliminar y recuperar los archivos encriptados, les comento que se rescataron con una fecha anterior respaldada por el Mismo Sistema Operativo

http://articulos.softonic.com/como-derrotar-a-cryptolocker-el-virus-que-secuestra-tus-documentos

Ayer solo lo logre resolver en una pc, ahora trabajare en la otra, ya que fueron dos usuarios descuidados que abrieron correos de desconocidos con archivos adjuntos.


http://www.bleepingcomputer.com/virus-removal/ctb-locker-ransomware-information   <---- De este link las herramientas otulizadas fueron cryptoprevent, shadow Explorer

tambien utilice Combofix que tambien se descarga de Bleeping Computer, Utilize el malwarebyte tambien

y la info es casi igual al link de arriba  :thumbsup:



 

Follow members gave a thank to your post:
« Última Modificación: enero 29, 2015, 07:36:24 am por erodri »

Desconectado ELITE

  • Trade Count: (0)
  • The Communiter-
  • *
  • Thank You
  • -Given: 0
  • -Receive: 164
  • Mensajes: 5774
  • NEMO ME IMPUNE LACESSIT
Re:CTB Locker, Archivos encriptados.
« Respuesta #39 : enero 29, 2015, 08:14:04 am »
Justo ayer tuvimos problemas con este Cryptolocker es un virus secuestrador que infecta Windows XP, Vista, 7 y 8. Se disfraza a sí mismo como un archivo adjunto de tipo ZIP o PDF, aunque también se transmite por control remoto si un PC ha sido infectado previamente por un troyano de tipo “botnet”, que deja abierta la puerta para control remoto e infecciones externas.

Y use las herramientas señaladas en este link para Eliminar y recuperar los archivos encriptados, les comento que se rescataron con una fecha anterior respaldada por el Mismo Sistema Operativo

http://articulos.softonic.com/como-derrotar-a-cryptolocker-el-virus-que-secuestra-tus-documentos

Ayer solo lo logre resolver en una pc, ahora trabajare en la otra, ya que fueron dos usuarios descuidados que abrieron correos de desconocidos con archivos adjuntos.


http://www.bleepingcomputer.com/virus-removal/ctb-locker-ransomware-information   <---- De este link las herramientas otulizadas fueron cryptoprevent, shadow Explorer

tambien utilice Combofix que tambien se descarga de Bleeping Computer, Utilize el malwarebyte tambien

y la info es casi igual al link de arriba  :thumbsup:


Que el OP pruebe y nos cuente  :shock:

Desconectado karlmessy

  • Trade Count: (0)
  • The newbie
  • *
  • Thank You
  • -Given: 0
  • -Receive: 0
  • Mensajes: 2
Re:CTB Locker, Archivos encriptados.
« Respuesta #40 : marzo 28, 2016, 02:22:50 am »
¿Está su equipo se infecta con el virus peligroso tales como CTB Locker entonces, hay que ir rápido para su solución de extracción .....

Para obtener más información, visite este varillaje- http://desinstalar.uninstallvirusmalware.com/recovertgdxr-pnghtmltxt-rsa4096-herramienta-de-eliminacion-de-desinstalar-recovertgdxr-pnghtmltxt-rsa4096

Desconectado tekun

  • -^- Elite Silver -^-
  • Trade Count: (1)
  • The Communiter-
  • *
  • Thank You
  • -Given: 53
  • -Receive: 101
  • Mensajes: 3205
  • Han convertido mi casa en cueva de mercaderes!!!!
    • www.tekun.es
Re:CTB Locker, Archivos encriptados.
« Respuesta #41 : marzo 28, 2016, 10:58:11 am »
AAAAhhhh los bots, siempre estarán con nosotros
lo difícil lo hago rápido, con lo imposible, casi siempre me tardo un poquito

Desconectado syrawilliams

  • Trade Count: (0)
  • The newbie
  • *
  • Thank You
  • -Given: 0
  • -Receive: 0
  • Mensajes: 1
Re:CTB Locker, Archivos encriptados.
« Respuesta #42 : marzo 29, 2016, 01:14:29 am »
Si usted está teniendo dificultad para eliminar CryptoLocker 2015 por completo del sistema entonces no hay necesidad de pánico. Hace unos días, también se enfrentó a la misma situación, pero me dieron la mejor solución en una página web. También puede seguir las instrucciones si desea evitar que su sistema de problemas no deseados de futuro.

Más información: http://eliminar.removemalwarevirus.com/guia-rapida-para-remocion-cryptolocker-2015

Desconectado karlmessy

  • Trade Count: (0)
  • The newbie
  • *
  • Thank You
  • -Given: 0
  • -Receive: 0
  • Mensajes: 2
CTB Locker, Archivos encriptados.
« Respuesta #43 : marzo 29, 2016, 02:05:57 am »
if you want to delete this type of threat easily and successfully from your infected PC then, you should visit this url- http://www.keepkingsportbeautiful.org/como-quitar-petya-ransomware-como-desinstalar-petya-ransomware


Desconectado Aguilera

  • Trade Count: (0)
  • The newbie
  • *
  • Thank You
  • -Given: 0
  • -Receive: 0
  • Mensajes: 2
Re:CTB Locker, Archivos encriptados.
« Respuesta #44 : marzo 03, 2017, 07:24:09 am »