{"id":4883,"date":"2015-05-13T00:04:52","date_gmt":"2015-05-12T23:04:52","guid":{"rendered":"http:\/\/ciberseguridad.pre.metafrase.es\/?p=385"},"modified":"2015-05-13T00:04:52","modified_gmt":"2015-05-12T23:04:52","slug":"rescate-de-archivos-secuestrados-por-alphacrypt","status":"publish","type":"post","link":"https:\/\/www.metafrase.com\/blog\/rescate-de-archivos-secuestrados-por-alphacrypt\/","title":{"rendered":"Rescate de archivos secuestrados por AlphaCrypt"},"content":{"rendered":"<h2 style=\"text-align: justify\">AlphaCrypt, otra variedad m\u00e1s de <a href=\"http:\/\/es.wikipedia.org\/wiki\/Ransomware\" target=\"_blank\" rel=\"noopener\">Ransomware<\/a> -o malware que secuestra los datos de nuestros ordenador- ataca en Valladolid y nuestro socio, Nethive acude al rescate.<\/h2>\n<p style=\"text-align: justify\">Tal como anunci\u00e1bamos por segunda vez en pocos meses, hace escasos d\u00edas en nuestro blog, desafortunadamente, las amenazas <a href=\"http:\/\/sophosiberia.es\/ransomware-no-pagues-el-rescate\/\" target=\"_blank\" rel=\"noopener\">ransomware<\/a> est\u00e1n de moda. <a href=\"http:\/\/ciberseguridad.pre.metafrase.es\/falso-email-de-correos-propaga-cryptolocker\/\" target=\"_blank\" rel=\"noopener\">CryptoLocker est\u00e1 distribuy\u00e9ndose utilizando un supuesto email de Correos<\/a> a toda velocidad y diversas variantes de dicho malware se propagan por la red d\u00eda tras d\u00eda.<\/p>\n<p style=\"text-align: justify\">Nuestros socios de <a href=\"http:\/\/nethive.es\" target=\"_blank\" rel=\"noopener\">NETHIVE Soluciones Inform\u00e1ticas<\/a>, empresa dedicada al <a href=\"http:\/\/nethive.es\/mantenimiento-informatico-valladolid\/\" target=\"_blank\" rel=\"noopener\">mantenimiento inform\u00e1tico en Valladolid,<\/a> han conseguido recientemente <strong>mitigar los da\u00f1os causados por una variante de un <a href=\"http:\/\/sophosiberia.es\/ransomware-no-pagues-el-rescate\/\" target=\"_blank\" rel=\"noopener\">ransomware<\/a> <\/strong>que hab\u00eda da\u00f1ado la informaci\u00f3n de los equipos de una empresa local.<\/p>\n<p style=\"text-align: justify\">Para ello el equipo de Nethive, utilizando algunas de nuestras herramientas, como <strong>Sophos Boot CD<\/strong> y la soluci\u00f3n de seguridad<strong> <a href=\"https:\/\/www.metafrase.es\/soluciones-de-seguridad-informatica\/proteccion-sophos-endpoint\/\" target=\"_blank\" rel=\"noopener\">Sophos Endpoint Antivirus<\/a><\/strong>. ha realizado un excelente trabajo que quieren compartir con nosotros, logrando no s\u00f3lo desinfectar los equipos sino tambi\u00e9n recuperar los datos cifrados por el malware.<\/p>\n<p style=\"text-align: justify\">La amenaza en cuesti\u00f3n es una variante de <a href=\"http:\/\/en.wikipedia.org\/wiki\/TeslaCrypt\" target=\"_blank\" rel=\"noopener\">TeslaCrypt<\/a>, llamada <a href=\"http:\/\/www.redeszone.net\/2015\/05\/08\/alphacrypt-nuevo-malware-cifra-archivos\/\" target=\"_blank\" rel=\"noopener\"><em><strong>AlphaCrypt<\/strong><\/em><\/a> y se trata de un ransomware con las mismas caracter\u00edsticas que el anteriormente mencionado <a href=\"http:\/\/en.wikipedia.org\/wiki\/CryptoLocker\" target=\"_blank\" rel=\"noopener\">CryptoLocker<\/a>, pero que no comparte c\u00f3digo con este y se desarrolla independientemente. AlphaCrypt, infecta los equipos y se propaga por la red a la vez que <strong>cifra los ficheros con extensiones comunes del disco duro y cambia la extensi\u00f3n de dichos ficheros afectados a \u00ab.ezz\u00bb.<\/strong><\/p>\n<p style=\"text-align: justify\">Tirando del hilo de lo que se iba descubriendo en los equipos del cliente, los consultores de Nethive hallaron una <a href=\"http:\/\/blogs.cisco.com\/security\/talos\/teslacrypt\" target=\"_blank\" rel=\"noopener\">herramienta de desencriptaci\u00f3n<\/a> para revertir los efectos de dicho malware creada por  <a href=\"http:\/\/www.cisco.com\/c\/en\/us\/products\/security\/talos.html\" target=\"_blank\" rel=\"noopener\">TALOS<\/a>, que es el equipo de ciberseguridad de Cisco, y cuya eficacia hemos podido comprobar.<\/p>\n<h4 style=\"text-align: justify\"><\/h4>\n<p><!--more--><\/p>\n<h4 style=\"text-align: justify\">\u00bfCu\u00e1l es el primer paso?<\/h4>\n<p style=\"text-align: justify\">Como normal general, en caso de haber sido infectados con este o con cualquier otro malware, <strong>debemos en primer lugar desconectar los equipos afectados de la red para evitar su propagaci\u00f3n<\/strong>.<\/p>\n<h4 style=\"text-align: justify\">Desinfectando<\/h4>\n<p style=\"text-align: justify\">Una vez los equipos afectados est\u00e9n aislados de la red, poderemos limpiar la amenaza utilizando <a href=\"http:\/\/helpdesk.metafrase.es\/support\/solutions\/articles\/1000094197-limpieza-de-malware-usando-el-cd-de-desinfecci-n-sophos-bootable-antivirus-\" target=\"_blank\" rel=\"noopener\">Sophos Boot CD siguiendo nuestras instrucciones<\/a> con la opci\u00f3n de eliminaci\u00f3n. Sin embargo, aunque el equipo haya quedado desinfectado, a\u00fan tendremos los datos cifrados.<\/p>\n<p style=\"text-align: justify\">\n<h4 style=\"text-align: justify\">Hagamos una copia de seguridad<\/h4>\n<p style=\"text-align: justify\">Antes de intentar revertir el cifrado de los ficheros, <strong>recomendamos copiar la informaci\u00f3n en un disco duro externo y conectarlo a otro equipo o m\u00e1quina virtual<\/strong>. De esta forma nos protegeremos frente a la p\u00e9rdida definitiva de la informaci\u00f3n en el caso de que la herramienta de desencriptaci\u00f3n corrompiese los ficheros, cometi\u00e9semos alg\u00fan error, o bien el malware realizara contramedidas con peores consecuencias a\u00fan en caso de detectar intentos de rescate de los datos.<\/p>\n<p style=\"text-align: justify\">Lo ideal es, si los datos son muy cr\u00edticos, realizar una imagen del equipo del ordenador. Para ello podemos usar herramientas tipo Norton Ghost, o <a href=\"http:\/\/clonezilla.org\/\" target=\"_blank\" rel=\"noopener\">Clonezilla <\/a>por citar una soluci\u00f3n Open Source.<\/p>\n<p style=\"text-align: justify\">En este caso el equipo de <a href=\"https:\/\/plus.google.com\/+NETHIVESOLUCIONESINFORMATICASValladolid\" target=\"_blank\" rel=\"noopener\">Nethive<\/a> decidi\u00f3<strong> copiar tambi\u00e9n el fichero de clave de cifrado, generado por el malware<\/strong> que est\u00e1 ubicado en:<\/p>\n<pre style=\"text-align: justify\"> \"<em>%AppData%\/key.dat<\/em>\"<\/pre>\n<p style=\"text-align: justify\">Dicho archivo se va a utilizar a continuaci\u00f3n para revertir el cifrado y recuperar los archivos originales. Una vez tengamos los ficheros encriptados y el fichero de llaves en otro equipo diferente, procederemos a revertir el cifrado.<\/p>\n<h4 style=\"text-align: justify\">Descifrando los datos secuestrados<\/h4>\n<p style=\"text-align: justify\">Descargaremos la utilidad <a href=\"https:\/\/github.com\/vrtadmin\/TeslaDecrypt\/tree\/master\/Windows\" target=\"_blank\" rel=\"noopener\">TeslaDecrpyt<\/a> y la ejecutaremos desde una l\u00ednea de comandos con privilegios elevados:<\/p>\n<pre style=\"text-align: justify\">TeslaDecrypt.exe \/keyfile:\"key.dat\" \/dir:\"&lt;&lt;directorio con ficheros encriptados&gt;&gt;\"<\/pre>\n<p style=\"text-align: justify\">Este programa desencriptar\u00e1 recursivamente los ficheros contenidos en el directorio que le hemos pasado y eliminar\u00e1 la extensi\u00f3n que el malware les a\u00f1adi\u00f3. Un detalle importante: <strong>TeslaDecrypt buscar\u00e1 unicamente los ficheros con extensi\u00f3n \u00ab.ecc\u00bb<\/strong> provenientes del malware TeslaCrypt.<\/p>\n<h4 style=\"text-align: justify\">Renombrando la extensi\u00f3n de archivos cifrados<\/h4>\n<p style=\"text-align: justify\">En caso de habernos infectado con la variante AlphaCrypt, como en nuestro caso, <strong>deberemos primero cambiar la extensi\u00f3n de todos los ficheros encriptados a con extensi\u00f3n \u00ab.ezz\u00bb a \u00ab.ecc\u00bb<\/strong> y, posteriormente, ejecutar el proceso anteriormente descrito. Para realizar este proceso, podemos utilizar la utilidad \u00ab<a href=\"http:\/\/www.bulkrenameutility.co.uk\" target=\"_blank\" rel=\"noopener\">Bulk Rename Utility<\/a>\u00ab, disponible para descarga gratuita desde su sitio web.<\/p>\n<p style=\"text-align: justify\">Cuando la ejecuci\u00f3n de la utilidad <strong><em>TeslaDecrypt<\/em> <\/strong>termine, podemos comprobar si los ficheros han sido desencriptados correctamente.<\/p>\n<h4 style=\"text-align: justify\">Que esto no se repita<\/h4>\n<p style=\"text-align: justify\">Por \u00faltimo, para prevenirse de amenazas de esta tipolog\u00eda, como siempre, recalcamos la importancia de mantener el <strong>sistema operativo y las aplicaciones instaladas siempre actualizadas<\/strong> y contar con una <strong>soluci\u00f3n de seguridad integral como <a href=\"https:\/\/www.metafrase.es\/soluciones-de-seguridad-informatica\/proteccion-sophos-endpoint\/\" target=\"_blank\" rel=\"noopener\">Sophos Endpoint Antivirus<\/a><\/strong>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>AlphaCrypt, otra variedad m\u00e1s de Ransomware -o malware que secuestra los datos de nuestros ordenador- ataca en Valladolid y nuestro socio, Nethive acude al rescate. Tal como anunci\u00e1bamos por segunda vez en pocos meses, hace escasos d\u00edas en nuestro blog, desafortunadamente, las amenazas ransomware est\u00e1n de moda. CryptoLocker est\u00e1 distribuy\u00e9ndose utilizando un supuesto email de [&hellip;]<\/p>\n","protected":false},"author":12,"featured_media":392,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[2],"tags":[13,14,16],"class_list":["post-4883","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-blog","tag-antivirus","tag-cryptolocker","tag-ransomware"],"_links":{"self":[{"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/posts\/4883","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/users\/12"}],"replies":[{"embeddable":true,"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/comments?post=4883"}],"version-history":[{"count":0,"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/posts\/4883\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/"}],"wp:attachment":[{"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/media?parent=4883"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/categories?post=4883"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/tags?post=4883"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}