hacker ha encriptado mi servidor (SOLUCIONADO)

Cerrado
javilavado
Novato
Novato
Mensajes: 1
Registrado: 11 Mar 2013, 18:20

hacker ha encriptado mi servidor (SOLUCIONADO)

Mensaje por javilavado » 11 Mar 2013, 18:30

buenas por la zona de malaga, un maldito hacker está atacando los w2003 server, ha encriptado con winrar mis archivos y pide 5000 dolares usa, como puedo hacer para desencriptar los archivos, da un correo, spainsec1@gmail.com, gracias

crios69
Novato
Novato
Mensajes: 1
Registrado: 12 Mar 2013, 11:03

Re: hacker ha encriptado mi servidor

Mensaje por crios69 » 12 Mar 2013, 11:09

buenas....



tengo un win2003ser infectado y esperando una solucion a la encriptacion.

si alguien conoce la solucion, se agradeceria que la publicase.

(antichild porn spam protection) con el mail spainsec2@gmail.com



me he puesto en contacto con kaspersky y ESET nod32 y estan buscado soluciones

en cuanto las conozca las publicare.



Un saludo

javivi25
Novato
Novato
Mensajes: 1
Registrado: 12 Mar 2013, 11:54

Re: hacker ha encriptado mi servidor

Mensaje por javivi25 » 12 Mar 2013, 11:59

Yo también tengo un servidor infectado.

La cosa pinta mal, al parecer es un ataque masivo y se están centrando en España.

El virus quitarse se puede quitar con varias herramientas como el Karspersky Rescue disk, dejo link https://support.kaspersky.com/4162

Ojo quita el Virus pero no su estropicio.

Pero por lo que parece la des encriptación hasta el día de hoy no es posible. Por lo menos eso pone en varios links de webs.

Esperemos que alguien encuentre una solución.

tolili
Novato
Novato
Mensajes: 1
Registrado: 16 Mar 2012, 19:30

Re: hacker ha encriptado mi servidor

Mensaje por tolili » 19 Mar 2013, 10:29

No se si te servirá pero por probar no pasa nada , yo los winrar que no puedo abrir porque tienen clave utilizo Advanced RAR.exe esto abre los archivos con clave .

Avatar de Usuario
msc hotline sat
Administrador
Administrador
Mensajes: 90781
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: hacker ha encriptado mi servidor

Mensaje por msc hotline sat » 19 Mar 2013, 13:10

Lo del Advanced RAR cabe descartarlo, para romper una contraseña como esta que se indica que ha utilizado :

aesT322Sy(mZt0%ci912SQKYzFPZYeDen6eTD6CU&x0(P1827KlJukMHz

puede tardar siglos con dicho método que utiliza fuerza bruta, pero no es viable con contraseñas tan duras !

Mejor recurrir a la solución indicada en nuestra noticia al respecto

http://www.zonavirus.com/noticias/2013/ ... ection.asp

:wink:

saludos

ms, 19-3-2013

pericof11
Novato
Novato
Mensajes: 1
Registrado: 21 Mar 2013, 18:19

Re: hacker ha encriptado mi servidor

Mensaje por pericof11 » 21 Mar 2013, 18:21

He encontrado una posible solución al problema.

Trabajo en una empresa de backup remoto de Huesca y, aunque no es mi cometido le desencriptar archivos ya que lo que hacemos es guardar la información de nuestros clientes para evitar que les pasen estas cosas, he indagado en el tema porque algún conocido ha sufrido el ataque, no tenía copias con nosotros y quería ayudarle.



La cosa es que esta variación, por lo que veo, es un poco diferente a las anteriores. Muchas empresas de antivirus (panda, kaspersky) tienen herramientas para descifrar el famoso virus. Te piden un archivo original (en claro) y el mismo encriptado. Comparando los dos con una operación matemática te sacan la clave de cifrado.



Para esta última versión no sirve este sistema (o a mí no me ha servido) porque te pide la clave a la hora de abrir el archivo. Os cuento lo que he hecho.



Tras buscar por muchos foros y páginas en Internet he encontrado la página del “DrWeb”, dejo enlace: https://vms.drweb.com/sendvirus/?lng=en

En dicha página me han pedido lo siguiente:



1- Fichero codificado y fichero original (yo los mandé en un rar). En este punto nos pide que le pongamos también la opción que deseamos (marcar opción "petición de cura") y en las observaciones comentarle el correo al cual nos pide el archivo cifrado que enviemos el dinero para que nos den la clave. En este caso es "spainsec1@gmail.com" (Sale en el nombre del fichero). Tras esto nos contestarán en un correo con el número de la incidencia y otro posterior (varias horas con el paso 2 que explico a continuación).



2- Acceso al sistema operativo infectado y ejecución de los siguientes comandos:



- dir C:\/s/a>"%userprofile%\dirc.log" (Genera un log informativo de los directorios del sistema)

- explorer.exe /select,"%userprofile%\dirc.log" (Busca, encuentra y marca el log en cuestión)



- Envío del log por medio de correo electrónico a la dirección "vms@drweb.com".



Tras todos estos pasos, si hay suerte y todo está correcto, nos enviarán unas claves de restauración únicamente válidas para nuestro sistema infectado. Cada sistema infecado tiene su propia clave.



Me han comentado que si no tienes acceso al Sistema Operativo infectado para ejecutar este comando es prácticamente imposible recuperar la información y si se puede recuperar, será un proceso muy lento (en tiempo) y costoso (en €).



Espero que os sirva la información. A mí me ha permitido desencriptar los archivos.



Cualquier duda que tengáis podéis contactar conmigo en la dirección de correo electrónico “seycob@seycob.es”.



Un saludo.



Javier

Avatar de Usuario
msc hotline sat
Administrador
Administrador
Mensajes: 90781
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: hacker ha encriptado mi servidor

Mensaje por msc hotline sat » 22 Mar 2013, 10:02

Garcias pericof11, pero esto ya lo deciamos en nuestro anterior post, que indicamos la solucion de DrWeb segun nuestra noticia

http://www.zonavirus.com/noticias/2013/ ... ection.asp

Así que mira antes lo que ya se dice para no repetirlo y no perder el tiempo con la repeticion !

Y dando por terminado el Tema, procedemos a cerrarlo

saludos

ms, 22-3-2013

Cerrado

Volver a “Foro Spyware”