Eh, tú,
Estar en el saber!

35,000 infecciones ransomware por mes y todavía se cree que están protegidos?

Regístrese para recibir:

  • alertas
  • Noticias
  • libre de la forma de quitar las guías

de las nuevas amenazas en línea - directamente a su bandeja de entrada:


Buscar clave de descifrado de archivos cifrados por ransomware

fijar-su-malware-problema-sensorstechforumCripto-virus son una amenaza cada vez mayor que tiene como objetivo convertir su día al revés, por lo que se paga a los ciberdelincuentes para las llaves que fueron cifrados. Y lo que es peor es que los ciberdelincuentes mantienen en constante desarrollo de formas nuevas y más sofisticadas para aumentar la defensa de sus virus, la aplicación de las claves de cifrado combinados que viajan con seguridad a sus servidores. Sin embargo, todavía hay esos virus ransomware que envían información sin cifrar, lo que le permite, el usuario para olfatear el tráfico de su equipo y con la suerte de conseguir la clave de descifrado para sus archivos. Hemos diseñado para hacer un tutorial que es lo más simple posible para explicar teóricamente cómo se puede detectar su clave de descifrado por olfatear el tráfico de su web usando Wireshark.

Cómo funciona - Breve explicación

Tenga en cuenta que esta solución sólo es teórico, ya que diferentes virus ransomware realizan diferentes actividades en los ordenadores de los usuarios. Para aclarar mejor que, la mayoría de los virus ransomware utilizan algoritmo de cifrado - un lenguaje críptico reemplazar el código del idioma original de los archivos, haciéndolos inaccesibles. Los dos algoritmos de cifrado más utilizados son RSA y AES algoritmos de cifrado. Ambos son extremadamente fuerte e impenetrable. En el pasado, la mayoría de los creadores de malware utilizan un único sistema de cifrado de cifrado de una manera especial. La acción estándar para el virus ransomware estaba en la siguiente consecuencia:

  • El descenso que tiene la carga útil.
  • Modificar el Editor del Registro de Windows para ejecutarse en el arranque o después de que se hizo la acción específica.
  • Eliminar las copias de seguridad y realizar otras actividades.
  • Cifrado de los archivos.
  • Enviar la clave de descifrado en un archivo o como una comunicación directa con el mando y control (C&C) centro de los delincuentes cibernéticos.
  • El descenso Está nota de rescate y otros archivos de soporte que avisan al usuario de esta "complicación".

Sin embargo, ya que los investigadores de malware han unido sus recursos y poner mucho esfuerzo para detectar códigos en las llaves de defectos o descifrado de captura y desarrollar Decrypters gratuitas, los creadores de malware también han hecho bastantes mismos las mejoras. Una de estas mejoras es implementar un cifrado de dos vías, utilizando una combinación de RSA y AES algoritmos de cifrado.

En breve, No se limitaron a cifrar sus archivos con uno de los sistemas de cifrado, pero ahora también usan un segundo algoritmo de cifrado para cifrar la clave de descifrado en un archivo especial que se envía a sus servidores. Estos archivos son imposibles de descifrar, y los usuarios están desesperadamente buscando métodos alternativos para descifrarlos.

Para obtener más información sobre este método de cifrado, por favor visita:

Ransomware Cifrado Explicación - ¿Por qué es tan eficaz?

Otra táctica de los ciberdelincuente "desarrolladores" empezaron a utilizar es el llamado encadenamiento de bloques de cifrado. Este es un modo que explica brevemente, rompe el archivo si se intenta manipularla, hacer cualquier forma de recuperación completamente imposible.

Así, aquí es donde estamos. En este punto, incluso hay nuevos desarrollos en el mundo de ransomware, los cuales aún no se han revelado.

Es muy difícil para mantenerse por delante de ransomware, pero a pesar de todo, hemos decidido mostrar cómo utilizar Wireshark para su beneficio y es de esperar intercepción del tráfico HTTP en el momento correcto. Sin embargo, tener en cuenta que estas instrucciones son TEÓRICO, y hay una gran cantidad de factores que pueden impedir que trabajen en una situación real. Aún, es mejor que no intentarlo antes de pagar el rescate, derecho?

El uso de Wireshark para encontrar llaves de descifrado

Antes de descargar y utilizar Wireshark - una de las redes más ampliamente utilizado sniffers por ahí, usted debe tener ejecutable del software malicioso en espera e infectar su ordenador una vez más. Sin embargo, tener en cuenta que algunos virus ransomware realizan cifrado nueva cada vez que se reinicia un equipo, así, lo que también debe configurar Wireshark para ejecutarse automáticamente en el arranque. Vamos a empezar!

Paso 1: Descargar Wireshark en su ordenador haciendo clic en los botones siguientes( para su versión de Windows)

Descargar

Wireshark

Paso 2: Carrera, configurar y aprender a oler los paquetes con Wireshark. Para aprender cómo iniciar el análisis de los paquetes y comprobar dónde están sus paquetes guardan los datos, debe abrir Wireshark primero y luego elegir la interfaz de red activa para analizar paquetes. Para la mayoría de los usuarios, eso sería la interfaz con el tráfico de rebote hacia arriba y hacia abajo en él tiene razón. Debe elegir y haga clic dos veces rápidamente para comenzar a oler:

1-desencriptar archivos-Wireshark-sensorstechforum

Paso 3: sniffing de paquetes. Dado que los virus ransomware comunican a través de tráfico HTTP, usted debe filtrar todos los paquetes primero. Así es como los paquetes se ven inicialmente después de elegir su interfaz y rastrear el tráfico de ella:

2-ransomware-descifrado-keys-mixed-sensorstechforum

Para interceptar sólo el tráfico HTTP, debe escribir lo siguiente en la barra de filtro de presentación:

http.request - Para interceptar el tráfico solicitado

Una vez filtrada que debe tener este aspecto:

http-tráfico-sensorstechforum filtrada

También puede filtrar las direcciones IP de origen y destino desplazando hacia arriba y abajo y escoja una dirección de, luego a la derecha clic sobre ella y dirigen a la siguiente función:

Filtro-host-a-sensorstechforum

Paso 4: Configurar Wireshark para que se ejecute automáticamente. Hacer esto, primero, hay que ir a la línea de comandos del ordenador escribiendo cmd en su búsqueda de Windows y ejecutarlo. Desde allí, escriba el siguiente comando con el capital "-RE" ajuste para obtener la clave única para su interfaz. Las claves deben parecerse a la siguiente:

Wireshark-keys-sensorstechforum

Paso 5: Copiar la clave para su conexión activa y crear un documento de texto y escribir en ella el siguiente código:

→ Wireshark -i 13MD2812-7212-3F21-4723-923F9G239F823(<= Your copied key) –k

Puede modificar adicionalmente el comando mediante la adición de la -w letra y la creación de un nombre para el archivo que va a guardar en su ordenador, lo que permite analizar los paquetes. El resultado debe ser similar a éste:

Wireshark-sensorstechforum-archivo de texto

Paso 6: Guarde el documento de texto recién creado como un archivo .bat, yendo a Archivo> Guardar como ... y la elección de todos los archivos después de lo cual escribir .BAT como una extensión de archivo, como la imagen de abajo muestra. Asegúrese de que el nombre del archivo y la ubicación donde se guarda son fáciles de encontrar:

sensorstechforum-pic-Wireshark-save-as-todos los archivos

Paso 7: Pegar el archivo .bat en la carpeta de inicio de Windows. La ubicación original de la carpeta es:

→ C:\Usuarios nombre de usuario AppData Roaming Menú Microsoft Windows Inicio Programas Inicio,/p>

Para acceder facilmente, prensa Botón de windows + R combinación de teclas y en el tipo de caja Ventana - shell:puesta en marcha, como la imagen de abajo muestra y haga clic en OK:

shell-startup-palo-archivo-sensorstechforum
Wireshark-startup-sensorstechforum

Después de que su equipo se reinicia, si el virus ransomware cifra sus archivos después de lo cual genera una clave y lo envía a los delincuentes cibernéticos’ servidores, usted debería ser capaz de interceptar los paquetes de comunicación y analizarlos.

Paso 8: Cómo analizar el tráfico?

Para analizar el tráfico de un paquete dado, simplemente haga clic en él y, a continuación, haga clic en el siguiente para interceptar el tráfico:

intercepto-tráfico-sensorstechforum-ransomware

Después de hacer esto, Aparecerá una ventana con la información. Asegúrese de inspeccionar la información cuidadosamente y buscar palabras clave que regalan las claves de cifrado, como el cifrado, RSA, AES, etc. Tómese su tiempo y comprobar el tamaño de los paquetes, asegurarse de que son similares al tamaño de un archivo de clave.

intercepto-stream-sensorstechforum-interceptado

Olfateando ransomware descifrado Keys - Las cosas que usted necesita saber

Como se mencionó antes, este tutorial es totalmente teórica y en caso de que no puede hacer frente a ella, y conoce las claves, le recomendamos fuertemente para eliminar el ransomware que ha infectado e intentar restaurar sus archivos usando las instrucciones paso a paso por debajo. También, si se va a intentar este método, le recomendamos que pruebe que, en primer lugar en el equipo y ver el tráfico. Un ejemplo de cómo los investigadores han identificado el tráfico por ransomware es la investigación, realizada por expertos de la red PALOALTO en Locky ransomware, que también le recomendamos comprobar.

eliminar manualmente ransomware desde el ordenador

Nota! Sustancial notificación acerca de la El ransomware amenaza: La extracción manual de El ransomware requiere la interferencia con los archivos del sistema y los registros. Por lo tanto, que puede causar daño a su PC. Incluso si sus conocimientos de informática no son a nivel profesional, no te preocupes. Usted puede hacer la eliminación ti mismo en 5 acta, usando un herramienta de eliminación de software malicioso.

1. Arrancar el PC en modo seguro para aislar y eliminar archivos y objetos ransomware
2. Encontrar archivos maliciosos creados por ransomware en su PC
3. entradas de registro Fix creados por ransomware en su PC

eliminar automáticamente ransomware mediante la descarga de un programa anti-malware avanzado

1. Retire ransomware con la herramienta de SpyHunter Anti-Malware
2. Una copia de seguridad de datos para asegurarlo contra las infecciones y el cifrado de archivos por ransomware en el futuro
3. Restaurar archivos cifrados por ransomware
Opcional: Uso de las herramientas Alternativa Anti-Malware

Vencislav Krústev

Un administrador de red e investigador de malware de SensorsTechForum con pasión por el descubrimiento de nuevos cambios e innovaciones en seguridad cibernética. firme creyente en la educación básica de todos los usuarios respecto a la seguridad en línea.

Más Mensajes - Sitio web

  • WATERCHILD

    He tratado de seguir sus recomendaciones sobre Wireshark y de alguna manera llegar a encontrar varias líneas que contienen la siguiente descripción en “info”:

    “Hola servidor, Certificado, estado de los certificados, intercambio de claves del servidor, Hola servidor de hecho”
    “el intercambio de claves del cliente, Cambio Cipher Spec, mensaje cifrado del apretón de manos”
    Luego de datos de aplicación……

    Y esto sigue y sigue todo el tiempo entre un origen y un destino (siempre lo mismo).

    Puedo hacer un clic derecho en la línea de, a continuación, “seguir” y “TCP” : se abre una ventana con un diálogo, pero no sé si podía encontrar en ella una “clave” y no sé bien cómo reconocerlo. No se ve como un texto común, sino que incluye una mezcla entre las palabras, direcciones de red, símbolos…

    Vamos a suponer que es posible ang lo encuentro, ¿cómo, pues coul lo uso? No sabría cómo construir mi propia descifrador de trabajo.

    ¿Hay alguien aquí que sabe más acerca de todo esto y trató de la forma de Wireshark oler y tendría algún consejo para poder utilizar el software y llegar a descubrir mi “clave”?

    Gracias por tu tiempo

    • ¡Hola, consulte los siguientes filtros que se pueden utilizar en la caja del filtro en la parte superior de donde los paquetes son de su software Wireshark:

      1. ip.addr == 10.0.0.1 [Establece un filtro para cualquier paquete con 10.0.0.1, ya sea como la
      fuente o]

      2. ip.addr == 10.0.0.1 && ip.addr == 10.0.0.2 [conjuntos
      un filtro de conversación entre las dos direcciones IP definidas]

      3. http o dns [conjuntos
      un filtro para visualizar todos los HTTP y DNS]

      4. tcp.port == 4000
      [establece un filtro para cualquier paquete TCP con 4000 como una fuente o puerto dest]

      5. tcp.flags.reset == 1
      [muestra todos los reinicios de TCP]

      6. http.request
      [muestra todas las peticiones HTTP GET]

      7. tcp contiene
      tráfico [muestra todos los paquetes TCP que contienen la palabra "tráfico".
      Excelente cuando se busca en una cadena específica o ID de usuario]

      8. !(ARP o ICMP o
      dns) [enmascara arp, ICMP, dns, o lo que otros protocolos pueden ser
      ruido de fondo. Lo que le permite centrarse en el tráfico de interés]

      9. UDP contiene
      33:27:58 [establece un filtro para los valores HEX de 0x33 0x27 0x58 en cualquier
      compensar]

      10. tcp.analysis.retransmission
      [muestra todas las retransmisiones en la traza. Ayuda cuando el seguimiento de desaceleración
      rendimiento de las aplicaciones y la pérdida de paquetes]

      He extraído de esos filtros útiles:

      http://www.lovemytool.com/blog/2010/04/top-10-wireshark-filters-by-chris-greer.html

      También puede encontrar otras recomendaciones útiles que hay. También, tener en cuenta que usted debe centrarse en el tráfico POST cuando una infección se lleva a cabo. Si usted tiene la muestra de malware, tratar de infectar un ordenador de pruebas durante el seguimiento de los paquetes. Esto puede ayudarle a obtener una comprensión más profunda de cómo se comunica el software malicioso.

      Además de esto, cuando tú “Siga la corriente TCP” de un paquete dado, Wireshark tiene la llamada “SSL Dissector” que en algunos casos se puede utilizar para descifrar algunos de los datos allí y hacer sentido de ella. Ransomware está en constante evolución, Sin embargo, no puede también enviar directamente la clave de descifrado, pero en lugar de cargar un archivo .KEY a los delincuentes cibernéticos’ servidores de comando que también se cifra con un algoritmo fuerte. Así que si usted está usando Wireshark, primero asegúrese de que el virus no crea un archivo de este tipo y envía la información directamente a través de TCP o de otra forma.

  • WATERCHILD
  • Ariel Santos

    Se funciona con Cerber ransomware?

  • Calin
Compartir en Facebook Compartir
Cargando ...
Compartir en Twitter Pío
Cargando ...
Compartir en Google Plus Compartir
Cargando ...
Compartir en Linkedin Compartir
Cargando ...
Compartir en Digg Compartir
Compartir en Reddit Compartir
Cargando ...
Compartir en Stumbleupon Compartir
Cargando ...
Por favor espera...

Suscríbete a nuestro boletín

¿Quieres recibir un aviso cuando se publique nuestro artículo? Introduzca su dirección de correo electrónico y nombre para ser el primero en saber.