Recuperar Archivos encryptados con CryptoWall,CryptoLocker (ransomware)

22 diciembre, 2015

Inicio, Limpieza de virus

CRYPTOWALL 3.0

En Enero de 2015 los analistas de malware advierten de la aparición de una nueva versión de Cryptowall. El nivel de sofisticación de esta tercera versión ha aumentado potencialmente con la introducción de nuevas vías de comunicación con el C2. El uso de la red anónima I2P (Invisible Internet Project) en lugar de TOR supone el cambio más notable. I2P sigue un modelo similar a TOR, la red está compuesta por nodos entre los que fluye la comunicación, sin embargo I2P utiliza un esquema “inproxy”, a diferencia de TOR, cuyo modelo es “outproxy” ([Ref.-47). El modelo outproxy está enfocado a la navegación anónima por redes externas, como Internet. Por el contrario, un esquema inproxy sigue el modelo de “VPN puro”, donde ninguna entidad externa puede participar en la red sin antes unirse a ella, esta arquitectura es la tradicional de una darknet. Cryptowall 3.0 intenta acceder a múltiples recursos “.i2p”, también conocidos como “eepSites”, para comunicarse con el C2. Las URLs ubicadas en la red I2P con las que este ransomware intentará comunicarse son:

proxy1-1-1.i2p
proxy2-2-2.i2p
proxy3-3-3.i2p
proxy4-4-4.i2p
proxy5-5-5.i2p

Para lograr esta comunicación, Cryptowall incluye en su interior una lista de proxies que harán de pasarela con I2P:

91.121.12.127:4141
5.199.165.160:8080
94.247.28.26:2525
194.58.109.158:2525
195.29.106.157:4444
94.247.31.19:8080
194.58.109.137:3435
94.247.28.156:8081
209.148.85.151:8080

El binario irá progresivamente comprobando cada una de las direcciones proxy anteriores hasta encontrar una funcional. Será en ese momento cuando construirá una petición POST al servidor C2 comunicando la nueva infección. Algunos de los ficheros asociados con el ransomware se
crean en las siguientes rutas:

C:\<aleatorio>\<aleatorio>.exe
%AppData%\<aleatorio>.exe
%LocalAppData%\<aleatorio>.exe
%UserProfile%\Desktop\DECRYPT_INSTRUCTION.HTML (HELP_YOUR_FILES.HTML)

%UserProfile%\Desktop\DECRYPT_INSTRUCTION.txt (HELP_YOUR_FILES.txt)

DESINFECCIÓN / RECUPERACIÓN DE FICHEROS

Cabe destacar que CryptoWall crea una instancia de VSSADMIN.EXE para intentar eliminar todos los Volume Shadow Copies mediante la orden:
“C:\Windows\Sysnative\vssadmin.exe” Delete Shadows /All /Quiet
Además, deshabilitará la restauración del sistema de Windows modificando la entrada de registro
HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\SystemRestore

Por este motivo es recomendable apagar lo antes posible el equipo.

Una vez finalizada la infección, se abrirá una instancia de notepad.exe con las instrucciones (HOW_DECRYPT.TXT,HELP_YOUR_FILES.txt) a seguir para recuperar los ficheros afectados.

Para las primeras versiones de CryptoDefense (mes de Abril de 2014 y anteriores) existe la posibilidad de recuperar los ficheros cifrados, debido a cierto error por parte de los atacantes a la hora de generar el par de claves de cifrado/descifrado. A diferencia de CryptoLocker, CryptoDefense genera el par de claves RSA 2048 en el propio equipo de la víctima utilizando la CryptoApi de Windows antes de enviarlo en texto plano al servidor de control. Sin embargo, los atacantes desconocían que utilizando este método la clave de descifrado era almacenada en el equipo del usuario. Este hecho es descrito por Fabian Wosar de Emisoft, empresa que dio a conocer este hecho y que, a raíz del mismo desarrolló una herramienta para recuperar y poder descifrar los ficheros afectados. Si el usuario se ha visto comprometido por esta variante de CryptoDefense se recomienda seguir
los siguientes pasos:

  • Descargar la herramienta Decrypt_CryptoDefense.zip
  • Extraer el contenido del zip. Dicho zip contiene una herramienta denominada CryptoOffense.exe, cuyo objetivo es extraer la clave de descifrado a un fichero denominado secret.key. Esta herramienta debe utilizarse para llevar a cabo el proceso de recuperación desde otro equipo. Si durante dicho proceso se recibe el mensaje “File could not be decrypter properly. Skipping … “ posiblemente la clave de descifrado haya sido sobrescrita lo que hace imposible descodificar los archivos.
  • La otra herramienta dentro del “.zip” es decrypt_cryptodefense.exe, cuyo objetivo es llevar a cabo el proceso de descifrado y recuperación de los ficheros. Esta herramienta es la que debe de utilizarse desde el propio equipo infectado solo si tiene el secret.key.
  • Tras pulsar el botón “Decrypt”, la herramienta irá recorriendo recursivamente cada uno de los directorios descifrando cada fichero afectado a partir de la clave recuperada.

En el caso que no tenemos el secret.key es necesario disponer de un disco duro externo para evitar sobrescribir los archivos que de algún modo vamos a recuperar

RECUPERACIÓN DE FICHEROS

Para recuperar una gran parte de los archivos (no recuperará ni nombres de archivos ni estructura de directorios solo el contenido de los archivos pero versiones anteriores) utilizaremos la herramienta photorec diseñada por cgisecurity. Descarga PhotoRec

herramienta de recuperación de archivos

      Herramienta de recuperación de archivos

Seleccionamos la partición y pulsamos el bóton Browse para elegir el destino que recomendamos que sea el disco duro externo (vacio). Dependiendo de la capacidad del disco y de la información almacenada la herramienta puede tardar hasta 5 horas – 6 horas.

La herramienta crea varios directorios donde guardara los archivos con <nombres en hexadecimal>.<extensión>

Después de terminar quedará el trabajo de organizar todos estos archivos en varias carpetas por ejemplo (imagenes – .jpg,.png | documentos – .doc,.docx | excel – .xls,.xlsx | presentaciones – .ppt,.pptx | etc) y luego reclasificar en una estructura de carpetas) No todos los archivos recuperados se abrirán pero si la mayoria.

Espero que este manual os ayude recuperar gran parte de la información que tenéis en el ordenador.

Por cualquier duda, ayuda o información póngase en contacto con nosotros. Intentaremos contestar lo antes posible.

, , , ,

5 Responses to “Recuperar Archivos encryptados con CryptoWall,CryptoLocker (ransomware)”

  1. roberto Says:

    Gracias, he podido recuperar casi toda la información que necesitaba

    Reply

  2. Willy Reynolds Says:

    Buen post! Muchas gracias tengo un par de clientes con ese problema.! Vengo desde taringa.net

    Reply

  3. Jesus Says:

    recupere JPG y parecía que recupere office pero al abrirlos solo se ven cuadritos y rallas y puntos, alguien lo pudo solucionar? gracias

    Reply

    • syscomputers Says:

      La recomendación es de recuperar estos archivos en un disco duro externo. Si has podido recuperar los jpg también se pueden recuperar los documentos de office. Solución para descodificar estos archivos no hay excepto el caso que puedes recuperar la clave de encryptación o pagar. Es muy importante que en estos tipos de casos no trabajar con el ordenador e iniciar lo antes posible el proceso de recuperación.

      Reply

  4. Ramiro Says:

    En una parte dice:”Esta herramienta debe utilizarse para llevar a cabo el proceso de recuperación desde otro equipo.”. ¿Cómo hago esto?, ¿ejecuto la aplicación en otra máquina, y automaticamente busca la secret key, en la máquina infectada?,¿O cómo hago para ejecutar? Porque lo ejecute, y me apareció una ventana Ms-DOS, con un mensaje:

    “User container doesn´t contain any RSA keys. Please make sure to run the tool on the same machine using the same user account that caused the encryption.
    Press any key to close the application …” , por lo que creo que no lo ejecute debidamente.

    Reply

Leave a Reply

Verificación Humana * Límite de tiempo se agote. Por favor, recargar el CAPTCHA por favor.