NOTA IMPORTANTE: El delito informático está severamente castigado por la ley. Esta página no promueve el delito informático, es divulgativa y muestra los mecanismos que utilizan los cibercriminales para poder identificar el ataque si has sido victima de uno de ellos. En el caso de que hayas sido victima de un ataque te recomendamos que busques recursos legales en la sección Cibercrime Law o en la página del Instituto Nacional de Ciberseguridad: https://www.incibe.es/

Blog

Recuperación de archivos afectados por el codificador de virus

¡Hola, comunidad de bytes nulos! Esta es mi primera publicación (soy un recién llegado) así que espero que esta publicación no sea irrelevante.

Entonces, recientemente comencé a trabajar para el Departamento de TI de mi universidad, solucionando varios problemas, desde pequeños problemas de conectividad a Internet hasta cosas más avanzadas, como la protección de datos, la eliminación de malware, etc. Todo salió bien hasta que uno de mis profesores llamó por un problema con lo que describió en ese momento como un “codificador de virus”. Ni siquiera he oído hablar de tal cosa así que, al día siguiente, reviso su computadora.

Hago un descubrimiento serio ya que todos los datos relacionados con nuestra facultad han sido encriptados (documentos .doc, .pdf, .xls, .zip) con una extensión extraña. El formato final fue “original__file__name.id-9814822542av666@weekendwarrior55.com.

El atacante cambió la imagen de fondo, así como implementó un script de PowerPoint para ejecutar al inicio que contiene la imagen, de una pantalla tipo BSOD con todos los detalles sobre el descifrado de los datos. Afirmó que los archivos son irrecuperables después de 72 horas, y que si mi profesor los quiere de vuelta, debe comunicarse con el atacante por correo electrónico para organizar un pago a cambio de la clave de cifrado.

Sin realmente hacer un gran problema con el descifrado, procedí a ejecutar Windows en modo seguro con funciones de red, instalé MalwareBytes, HitmanPro y Spy Hunter, y los ejecuté todos en ese orden en particular. Por supuesto, eliminé el virus de la existencia, solo para encontrar una trampa más adelante.

Luego, comencé a publicar estas preguntas sobre el descifrado real en los foros de valores de Internet: Kaspersky y BleepingComputer respectivamente. Ambos luchan con este cifrado y no quiero apresurarlos, pero empiezo a perder la paciencia. Este problema ya tiene un par de semanas. Hablé con un moderador de seguridad en Kaspersky y de hecho me dieron una herramienta que recuperó un pase, pero desafortunadamente los llamados archivos “descifrados” aún no se pueden leer. También encontré el truco de eliminar el virus por completo: habría sido mucho más útil si se hubieran enviado componentes activos a Kaspersky Labs para realizar ingeniería inversa del cifrado.

Después de muchos intentos de forzar la contraseña utilizando una utilidad llamada RakhniDecryptor desarrollada por Kaspersky sin resultado, pensé que arrancar mi antigua distribución de Kali 1.0 ayudaría.

Después de toda esta historia, puede que te preguntes, ¿qué hace este tipo después de todo? Necesito ayuda desesperadamente para descifrar estos archivos. Necesito descifrar la clave de cifrado y restaurarlos a su estado inicial. No quiero hackear Facebook o Yahoo, no quiero dañar a otros, usar mi conocimiento en ámbitos maliciosos como otros aspirantes a hackers … Solo quiero hackear (crackear) un cifrado que puso un ciberdelincuente un trabajo de 20 años de un profesor universitario. No creo que haya un propósito más de “sombrero blanco” por ahí.

Lamento si este último fragmento pareció ácido, pero tienes que entender que pierdo la fe en que estos archivos se recuperarán alguna vez. Si tuvieron la paciencia para leer esto, gracias y espero que ustedes en Null-Byte puedan ayudarme.

Vik

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar