Publican una herramienta para descifrar los discos secuestrados por el ransomware PETYA

 

El ransomware es el tipo de software malicioso que más quebraderos de cabeza está dando tanto a usuarios como a empresas en los últimos años. Cuando este malware infecta a los usuarios, lo primero que hace es cifrar todos los datos personales de los discos duros para, posteriormente, pedir el pago de un rescate por ellos o, de lo contrario, se perderán para siempre.

Cada poco tiempo aparecen nuevas variantes de este malware, cada una con una serie de características únicas de manera que se diferencie de los demás y, de paso, poder conseguir la mayor cantidad de dinero posible de las víctimas. Uno de los ransomware más recientes es PETYA, un ransomware que, en vez de cifrar todos los datos del disco duro individualmente se centra en cifrar el MBR del disco, dejando a la unidad completa bloqueada a la espera del pago del rescate.

Por suerte, no existe el software perfecto, y el ransomware, como cualquier otro programa, tiene fallos de seguridad que permiten a los investigadores de seguridad hacer uso de la ingeniería inversa para crear una herramienta con la que recuperar los datos sin tener que pagar a los piratas informáticos un rescate que, en la mayoría de los casos, no devuelve la clave de descifrado.

En este caso, un grupo de investigadores de seguridad ha descubierto cómo poder recuperar todos los datos de los discos duros secuestrados por PETYA sin tener que pagar el rescate, sin embargo, este es un proceso algo técnico, por lo que es probable que algunos usuarios tengan problemas al intentar reproducirlo.

Cómo recuperar los datos de un disco cifrado por el ransomware PETYA

Lo primero que debemos hacer es conectar el disco duro cifrado a otro ordenador, desde el cual vamos a trabajar. Una vez conectado, debemos extraer del mismo dos ficheros concretos:

• 512 bytes de verificación de datos del sector 55 (0x37) offset 0(0x0), convertido en base64.
• 8 bytes del sector 54 (0x36) offset 33(0x21) del disco, también convertido a base 64.

Para ayudarnos a obtener estos ficheros, podemos utilizar la siguiente herramienta creada por Bleeping Computer, la cual extraerá ambos ficheros codificados en base64 directamente sin tener que hacer nada más, ideal para los usuarios menos técnicos.

Una vez tenemos estos dos ficheros, simplemente accedemos a la siguiente página web y pegamos el contenido de los datos previamente extraídos (para ver el contenido simplemente debemos abrirlos con un editor de texto como el Bloc de notas o Sublime Text) y pulsamos sobre el botón “submit”.

Listo. La web tardará menos de un minuto en mostrarnos la clave correspondiente con la que podremos recuperar los datos del disco duro.

Lo único que nos queda por hacer es volver a conectar el disco duro al ordenador original, arrancarlo y cuando veamos la pantalla de bloqueo del ransomware, simplemente introducimos la clave generada en el paso anterior para comenzar el descifrado automático del disco, como vemos, sin haber pagado nada.

Fuente: redeszone

CREAR TROYANO EN SPY NET 2.6 Y HACERLO IN DETECTABLE CON CHROME CRYPTER 4.4

Hola gente como les va.... vuelvo después de mucho a publicar un nuevo articulo, hace unos días vi la película Hackers 2 y me motivo mucho a investigar sobre este tipo de cosas y me encontré con este troyanito muy efectivo y fácil de configurar.


Hablamos de Spy Net 2.6 

Este Troyano no necesita instalación solo es un ejecutable, obviamente los antivirus los detectaran como virus así que deben deshabilitar su antivirus temporalmente mientras hacen este job.

Empecemos:

1.- Abrimos el SpyNet y nos saldrá la siguiente ventana en la cual clikeamos en el boton START. les aparecera en otro idioma el cual pueden cambiar desde la el boton opciones/Seleccionar Idioma

2.- Luego como verán se habilito el botón Archivo le dan a Crear Servidor, se mostrara la siguiente ventana

Le dan a Nuevo y le ponen un Nombre a su server el que ustedes quieran luego de lan a siguiente, en este ejemplo el que cree es ServerGenius

3.- Ahora debemos detenernos aquí un momento para configurar nuestro no-ip que servirá para crearnos un dominio de nuestra ip  y hacerla stática ya que trabajaremos con puertos y con ips tambien por cuestiones de seguridad ok,  entramos a http://www.no-ip.com/ y nos registramos, si no saben registrarse en una web mejor ya no sigan con esto xD!

al registrarnos nos saldrá esto:

Le damos a Manage Host y se nos motrara la siguiente ventana

Agregamos un Nuevo Host en Add a Host y se nos mostrara esto, hostname ponemos el nombre de nuestro host y lo dejamos el resto como esta y vamos a create host:

Listo ya lo creamos ahora debemos bajarnos el cliente e instalarlo en nuestra pc, en panel izkierdo de la pagina tenemos la opción download client

Elegimos nuestro sistema operativo en este caso windows y lo descargamos

Ahora instalado nos mostrara el host que creamos y que esta corriendo

Listo el No-ip esta funcional ahora podemos seguir con la configuración de nuestro server.

4.-Ahora agregaremos nuestro DNS que sera el host no-ip que creamos y un puerto que deberia estar entre 2000 - 5000 en este caso es el 4662 como en la imagen

Ahora le ponemos una contraseña 

5.- Nos a la pestaña instalacion y la configuramos como en la imagen, la carpeta se creara en el directorio windows dentro de esta una carpeta MSN y el archivo se llamara Svchot.exe , habilitamos las key apra que arranke desde inicio de windows... todo para que la victima no sospeche

6.-Ahora nos dirigimos al apartado Crear Servidor el resto no lo toquen déjenlo como esta y lo configuramos como sale en la imagen, 

Se me olvidaba algo... recuerdan el puerto que le pusimos a nuestro dns? el 4662, lo recuerdan ya ok ahora debemos agregarlo en  opciones/ agregar puerto: agregar el miso puerto del DNS y le ponemos la contraseña que pusimos al server, ahora otro tema debemos abrir este mismo puerto en nuestro router ya que por ahy nos enviara la informacion que capture el troyanito este... bueno ese ya es otro tema y les dejo un link abajo de como hacerlo ok?

y listo ya tenemos creado nuestro server para poder infectar a otros usuarios y tomar el control de sus pcs xD.


Pero si piensas que todo termina aqui....pues noooooooo jaja esto recién empieza.. tenemos nuestro troyano pero casi todos los antivirus lo detectan y lo borrar ahora nuestro tenemos que hacerlo indetectable... como lo hacemos? hay mucho métodos ahora les presentare el de los crypters, usaremos un software para encryptar nuestro troyano y que los antivirus no lo cojan usaremos el Chrome Crypter 4.4, es simple se ejecuta nos pide nuestro server y nos arroja el troyano encryptado... espero tengan suerte amigos cualquier duda o consulta me la hacen llegar saludos.




Links: 


Descargar SpyNet 2.6
Descargar Crypter Chrome
Abrir Puertos en Router