No encuentro utilidad para desencriptar archivos encritados por Teslacript .VVV

Responder
Metathram
Mensajes: 1
Registrado: 29 Dic 2015, 18:12

No encuentro utilidad para desencriptar archivos encritados por Teslacript .VVV

Mensaje por Metathram » 29 Dic 2015, 18:26

Muy buenas a todos:



Soy nuevo en esto, he estado leyendo y probando aplicaciones puesto que mi ordenador ha sido infectado supuestamente por el virus Teslacrypt.



El virus ha modificado una cantidad ingente de archivos y los ha renombrado terminando estos con la extensión .vvv.



Ejemplo:



Antiguo Fichero -> Metathram.jpg

Fichero Modificado -> Metathram.jpg.vvv



He probado un programita creador por cisco y este me indica que no es posible encontrar el key.dat, he buscado el archivo en el equipo y le he metido todos los que he visto, pero me dice que no es correcto.



Tengo archivos infectados y archivos sanos para si es necesario comparar dichos archivos para recuperar los datos, pero lo que no encuentro es el programa en cuestión.



He encontrado dos archivos en la carpeta "Mis documentos" que se llaman... recover_file_biggbtbdi.txt y recover_file_lycisliuv.txt con una serie de numeros en su interior.



Bueno dejo la consulta a ver si alguien me pudiera lanzar un cable para solucionar mi problema.



Un saludo.

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: No encuentro utilidad para desencriptar archivos encritados por Teslacript .VVV

Mensaje por msc hotline sat » 30 Dic 2015, 09:56

La mayoría de ransomwares no pueden decodificarse con utilidades, aunque para algunas primeras versiones de cada uno, como fue el caso del TeslaCrypt, cabía aprovechar las utilidades que se hicieron al respecto, como la indicada de Talos de Cisco, que ya ha probado.



Lamentablemente la llave de encriptacion KEY.DAT la han "mejorado" imposibilitando la decodificación de los ficheros cifrados.



Es muy importante disponer de copia de seguridad al dia, en una unidad no compartida de la red, para que no sea tambien cifrada por el ransomware que esté afectando, como se indica en el "RECORDATORIO" al respecto:



http://www.satinfo.es/blog/2015/62372/





Sobre las versiones actuales del TESLACRYPT que añaden VVV , resulta ademas que el cifrado utilizado en versiones anteriores (AES256 simetrico, aunque decian que era RSA2048) , ahora es un RSA 4096 asimetrico, por lo que, nadie que sepamos, ha logrado decodificarlo, pero si alguien sabe algun metodo para ello, que lo indique, como respuesta de este Tema, para poder compartirlo.



http://www.satinfo.es/blog/2015/nueva-variante-de-teslacrypt-l-que-es-instalada-por-un-deownloader-nemucod/



[b]Es muy importante hacer caso a lo tantas veces repetido de que no debe ejecutarse ningun fichero anexado a un mail no solicitado, ni usar navegador Internet Explorer 8 (el del XP), por tener vulnerabilidades no parcheadas por Microsoft al considerarlo obsoleto, que permiten infectarse simplemente navegando en webs infectadas, pero lo recordamos aqui, para quien aun no lo sepa ...[/b]





Dejamos el Tema abierto para que, si alguien lo sabe, pueda dejarnos información al respecto, gracias.





saludos



ms, 29-12-2015

Responder

Volver a “Foro Virus - Cuentanos tu problema”