Información sobre cryptolocker que busca un rescate por correo electrónico a cierta dirección de correo electrónico

1

Un amigo mío fue recientemente atacado por este nuevo cryptolocker de manera inusual. Anticipo mi pregunta: qué tipo de cryptolocker es , cuál podría ser el vector de ataque, y hay una cura disponible para recuperar archivos? Sé, y le expliqué a la fiesta, que el segundo es poco probable.

Mi amigo ejecutó un servidor con Win10 Enterprise. El día después de que la oficina cerró, el 13 de agosto, el malware atacó el sistema. Renombró a archivos de destino (he visto archivos PDF, XLSX por ahora) en .exe s agregando una extensión larga to get password email id [....] to [email protected] donde hay un número largo en lugar de texto entre corchetes.

La infección se propagó a MS OneDrive, donde todos los archivos se cifraron y se eliminaron sus originales (esperamos que simplemente se "destruyan", por lo que MS podría tener una copia de seguridad).

La máquina estaba desatendida en el momento de la infección. No tengo una computadora estéril en este momento, y no me atreveré a abrir los archivos exe en ninguna otra máquina hasta que no tenga en mis manos una. Es la mejor manera de infectar otra máquina.

Tengo dudas de que este cryptolocker sea capaz de penetrar en un servidor desatendido (el escritorio remoto estaba deshabilitado, no tengo registro de que haya sido bloqueado correctamente, supongamos que no) como lo hizo WannaCry. La infección no se propagó a las computadoras LAN que ejecutan Windows 10 cuando la oficina volvió a abrir y esas computadoras se volvieron a encender.

Todavía no tengo acceso a los datos cifrados. Acabo de recibir una llamada y pude ver cómo se veían los archivos de OneDrive, sin abrir ninguno.

Mi investigación (el enlace a VirusTotal no está disponible aquí en este momento) encontró que los archivos exe cifrados pueden ser simples archivos rar de SFX, a juzgar por el tipo de contenido. De modo que al menos hay crackers de contraseña rar conocidos, a pesar de que una fuerza bruta puede ser irrealista.

¿Alguna información sobre esta herramienta?

    
pregunta usr-local-ΕΨΗΕΛΩΝ 29.08.2017 - 10:25
fuente

1 respuesta

2
  

Mi amigo ejecutó un servidor con Win10 Enterprise.

Este es el primer error.

De todos modos, el ransomware podría ser ACCDFISA v2.0 o una variante de él, vea

enlace

Con ransomware, Bleepingcomputer tiene mucha información, q.v .:

enlace

Por lo general, es aconsejable no reiniciar el sistema operativo infectado nuevamente, pero (a) hacer una copia de seguridad de todos los archivos cifrados (y otros) en un destino de copia de seguridad separado, luego (b) iniciar un sistema Linux desde un USB o CD / DVD (Live System) luego explorar desde allí. De hecho, a menudo puedes hacer (a) desde (b).

Con (a) puede recuperar los datos más adelante cuando haya más información disponible (y posiblemente, una herramienta de recuperación) al respecto. Para (b) necesitas conocimientos técnicos.

Lo más fácil es reemplazar todos los discos duros infectados y luego restaurarles las copias de seguridad. Mire el disco duro infectado más tarde mientras su servidor ya está activo. Cierre todos los puertos del exterior que no sean necesarios (por ejemplo, deje solo TCP 80 y 443 abiertos) mediante un firewall.

PS: el vector de ataque podría ser un puerto RDP abierto, esto se observó en el pasado.

    
respondido por el Ned64 29.08.2017 - 10:35
fuente

Lea otras preguntas en las etiquetas