Hola,
Hace un mes fui infectado por una variante del virus de la policía, que además de aparecer el típico mensaje para pagar una multa de 100€, me encriptó todos los archivos office, videos e imágenes. He utilizado bastantes herramientas para limpiar el PC y parece que el virus está completamente eliminado (Panda, Malwarebytes, iSafe, Adaware, Spybot, Kaspersky, Ccleaner, etc). El problema son todos los archivos encriptados, pues siguen encriptados y todas las herramientas que he utilizado para desencritarlos han fallado (pandaunransom.exe , RannohDecryptor de kaspersky, DeBlock, etc.). Algunos necesitaban los key files utilizados por el virus (que no se encuentran en mi PC) y otros simplemente no desencriptan ningún archivo.
Los archivos encriptados no son copias, son los originales y tienen el mismo nombre y la misma extensión que tenían originalmente. La única diferencia es que pesan algo más (pocos KB mas) y que al abrirlos aparece el mensaje de “File is encrypted”, y a continuación dice que debes abrir el programa dirtydecrypt para desencriptarlo. Éste programa forma parte del virus y ya ha sido también completamente eliminado. Por eso todas las herramientas que he encontrado no funcionan, ya que en versiones anteriores del virus los archivos encriptados manteníen el mismo tamaño. Ahora el tamaño es algo distinto y estos programas ya no pueden compararlos como antes (comparaban el archivo original con el encriptado).
Alguien conoce algún modo de desencriptar los archivos encriptados por dirtydecryt (documentos Office, videos e imágenes)?
Gracias
Julio
Desencriptar archivos encriptados por el virus de la policia (TERMINADO)
-
julioperez
- Mensajes: 2
- Registrado: 19 Ago 2013, 05:04
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: Desencriptar archivos encriptados por el virus de la policia
Pues lo que indica de "Los archivos encriptados no son copias, son los originales y tienen el mismo nombre y la misma extensión que tenían originalmente." cambia lo conocido, ya que acostumbran a cambiar la extension de los ficheros codificadaos.
Y si ademas le dicen que el programa utilizado para la codificacion es el "DirtyDecrypt.exe", no lo conocemos, pero puede ver mas informacion al respecto en:
http://www.google.es/search?sourceid=navclient&aq=hts&oq=&hl=es&ie=UTF-8&rlz=1T4GGLL_esES349ES350&q=dirtydecrypt
Nosotros tambien buscaremos alguna posibilidad de decodificacion, y, si lo encontramos, se lo diremos, pero recuerde lo que hemos dicho tantas veces de que es necesario disponer de copia de seguridad de los datos, es la primera regla de la informática ...
saludos
ms, 20-8-2013
Y si ademas le dicen que el programa utilizado para la codificacion es el "DirtyDecrypt.exe", no lo conocemos, pero puede ver mas informacion al respecto en:
Nosotros tambien buscaremos alguna posibilidad de decodificacion, y, si lo encontramos, se lo diremos, pero recuerde lo que hemos dicho tantas veces de que es necesario disponer de copia de seguridad de los datos, es la primera regla de la informática ...
saludos
ms, 20-8-2013
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
julioperez
- Mensajes: 2
- Registrado: 19 Ago 2013, 05:04
Re: Desencriptar archivos encriptados por el virus de la policia
Hola, gracias por la respuesta. He contactado con Panda y parece que de momento es imposible, les paso su respuesta con la explicación:
Lamentablemente no es posible recuperar los archivos encriptados por DirtyDecrypt debido al método de encriptación que utiliza.
Hemos redactado un documento en el que analizamos el funcionamento de este ransomware e indicamos las causas por las que no es posible recuperar los archivos encriptados el cual adjunto:
Análisis - Dirty Decrypt
Este ransomware, además de desactivar una serie de características de seguridad de nuestro sistema, como el centro de seguridad o el cortafuegos, cifra todos los archivos que tengan las siguientes extensiones:
.jpg,.jpeg,.png,.avi,.mpeg,.mpg,.wmv,.pdf,.doc,.rtf,.docx,.docm,.xls,.xlsx,.xlsm,.rar,.zip,.7z
Recibe su nombre del componente que nos permite descifrar los archivos cifrados (siempre que tengamos una clave proporcionada por el creador o controlador del malware), tal como nos muestra el mensaje que aparece en pantalla cuando iniciamos el sistema o abrimos alguno de los archivos cifrados por el mismo.
File is encrypted
This file can be decrypted using the program DirtyDecrypt.exe
Press CTRL + ALT + D to run DirtyDecrypt.exe
Al ejecutar el malware por primera vez, este lanza una serie de hilos sincronizados con diferentes funciones. Mientras el hilo principal se encarga de desactivar funciones de seguridad y recorrer todos los archivos del sistema, los hilos secundarios se encargan de comprobar la extensión de los archivos suministrados por el hilo principal, y en caso de que la extensión sea alguna de las mencionadas anteriormente, los cifran. Al usar varios hilos para el cifrado, este se realiza más rápido.
Durante las primeras fases de la ejecución del DirtyDecrypt se crean en el sistema un par de claves RSA1024, una pública y otra privada. Las dos se exportan a unos contenedores (blob) usando la función CryptExportKey de la CryptoAPI de Windows, y el que contiene la clave privada se cifra con otra llave pública, contenida en un recurso del DirtyDecrypt (ver cuadro). Evidentemente la clave privada asociada a esta última clave pública solo está en posesión del controlador del malware.
06 02 00 00-00 A4 00 00-52 53 41 31-00 04 00 00 ♠☻ ñ RSA1 ♦
01 00 01 00-3B 45 6C CF-A9 FB 55 3E-63 C9 7E C1 ☺ ☺ ;El¤®¹U>c╔~┴
1C 8D D2 31-A6 C4 B0 33-41 BC A4 2F-D5 C5 03 50 ∟ìÊ1ª─░3A╝ñ/ı┼♥P
74 91 8C 5B-3E C7 47 0E-CA FF 1E 5B-36 6C 27 83 tæî[>ÃG♫╩ ▲[6l'â
F6 4C 29 24-F3 37 67 18-91 BB 6B CF-21 55 EC A1 ÷L)$¾7g↑æ╗k¤!Uýí
6E 92 5A 02-2D 81 75 F2-58 5E 2B BF-17 25 5F 8E nÆZ☻-üu‗X^+┐↨%_Ä
1C A6 DE 39-AB 93 B5 D4-88 04 02 3B-EA BD 0B E3 ∟ªÌ9½ôÁÈê♦☻;Û¢♂Ò
35 9A 0F 33-A2 C6 17 B1-40 9F F6 BC-34 1A 09 16 5Ü☼3óã↨▒@ƒ÷╝4→○▬
13 2E 87 A6-D7 23 75 37-B5 8D 3B 54-7B 6C 69 6C ‼.çªÎ#u7Áì;T{lil
23 C4 FD B0-
Posteriormente se cifran los archivos usando la clave pública generada en el paso anterior, y se guarda la clave privada, ya cifrada, dentro de cada uno de los archivos cifrados. De este modo no existe posibilidad alguna de que se pierda.
Tras analizar este mecanismo podemos decir que nos resulta imposible recuperar dichos archivos cifrados, ya que:
• Todas las operaciones relacionadas con importación y exportación de certificados, generación de claves y cifrado se realizan usando la CryptoAPI de Windows, que a día de hoy se ha demostrado una implementación perfectamente segura.
• Las operaciones de cifrado se basan en RSA 1024, algoritmo de cifrado cuya robustez, en estos momentos, resiste cualquier ataque criptográfico conocido.
• Los archivos originales se sobrescriben con los datos cifrados, con lo que si no tenemos una copia de seguridad tampoco es posible usar métodos de recuperación de archivos borrados.
Lamentablemente no es posible recuperar los archivos encriptados por DirtyDecrypt debido al método de encriptación que utiliza.
Hemos redactado un documento en el que analizamos el funcionamento de este ransomware e indicamos las causas por las que no es posible recuperar los archivos encriptados el cual adjunto:
Análisis - Dirty Decrypt
Este ransomware, además de desactivar una serie de características de seguridad de nuestro sistema, como el centro de seguridad o el cortafuegos, cifra todos los archivos que tengan las siguientes extensiones:
.jpg,.jpeg,.png,.avi,.mpeg,.mpg,.wmv,.pdf,.doc,.rtf,.docx,.docm,.xls,.xlsx,.xlsm,.rar,.zip,.7z
Recibe su nombre del componente que nos permite descifrar los archivos cifrados (siempre que tengamos una clave proporcionada por el creador o controlador del malware), tal como nos muestra el mensaje que aparece en pantalla cuando iniciamos el sistema o abrimos alguno de los archivos cifrados por el mismo.
File is encrypted
This file can be decrypted using the program DirtyDecrypt.exe
Press CTRL + ALT + D to run DirtyDecrypt.exe
Al ejecutar el malware por primera vez, este lanza una serie de hilos sincronizados con diferentes funciones. Mientras el hilo principal se encarga de desactivar funciones de seguridad y recorrer todos los archivos del sistema, los hilos secundarios se encargan de comprobar la extensión de los archivos suministrados por el hilo principal, y en caso de que la extensión sea alguna de las mencionadas anteriormente, los cifran. Al usar varios hilos para el cifrado, este se realiza más rápido.
Durante las primeras fases de la ejecución del DirtyDecrypt se crean en el sistema un par de claves RSA1024, una pública y otra privada. Las dos se exportan a unos contenedores (blob) usando la función CryptExportKey de la CryptoAPI de Windows, y el que contiene la clave privada se cifra con otra llave pública, contenida en un recurso del DirtyDecrypt (ver cuadro). Evidentemente la clave privada asociada a esta última clave pública solo está en posesión del controlador del malware.
06 02 00 00-00 A4 00 00-52 53 41 31-00 04 00 00 ♠☻ ñ RSA1 ♦
01 00 01 00-3B 45 6C CF-A9 FB 55 3E-63 C9 7E C1 ☺ ☺ ;El¤®¹U>c╔~┴
1C 8D D2 31-A6 C4 B0 33-41 BC A4 2F-D5 C5 03 50 ∟ìÊ1ª─░3A╝ñ/ı┼♥P
74 91 8C 5B-3E C7 47 0E-CA FF 1E 5B-36 6C 27 83 tæî[>ÃG♫╩ ▲[6l'â
F6 4C 29 24-F3 37 67 18-91 BB 6B CF-21 55 EC A1 ÷L)$¾7g↑æ╗k¤!Uýí
6E 92 5A 02-2D 81 75 F2-58 5E 2B BF-17 25 5F 8E nÆZ☻-üu‗X^+┐↨%_Ä
1C A6 DE 39-AB 93 B5 D4-88 04 02 3B-EA BD 0B E3 ∟ªÌ9½ôÁÈê♦☻;Û¢♂Ò
35 9A 0F 33-A2 C6 17 B1-40 9F F6 BC-34 1A 09 16 5Ü☼3óã↨▒@ƒ÷╝4→○▬
13 2E 87 A6-D7 23 75 37-B5 8D 3B 54-7B 6C 69 6C ‼.çªÎ#u7Áì;T{lil
23 C4 FD B0-
Posteriormente se cifran los archivos usando la clave pública generada en el paso anterior, y se guarda la clave privada, ya cifrada, dentro de cada uno de los archivos cifrados. De este modo no existe posibilidad alguna de que se pierda.
Tras analizar este mecanismo podemos decir que nos resulta imposible recuperar dichos archivos cifrados, ya que:
• Todas las operaciones relacionadas con importación y exportación de certificados, generación de claves y cifrado se realizan usando la CryptoAPI de Windows, que a día de hoy se ha demostrado una implementación perfectamente segura.
• Las operaciones de cifrado se basan en RSA 1024, algoritmo de cifrado cuya robustez, en estos momentos, resiste cualquier ataque criptográfico conocido.
• Los archivos originales se sobrescriben con los datos cifrados, con lo que si no tenemos una copia de seguridad tampoco es posible usar métodos de recuperación de archivos borrados.
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: Desencriptar archivos encriptados por el virus de la policia
Pues vemos que viene a ser parecida a la codificacion que hacía el ransomware que añadía .DONE a los ficheros cifrados, como indicabamos en
https://foros.zonavirus.com/viewtopic.php?f=5&t=45030&p=198495&hilit=+clave+privada+#p198495
Lamentablemente solo quien tiene las dos claves (publica y privada) puede, con la ayuda de alguna utilidad como la indicada de DirtyDecrypt, recuperar los ficheros cifrados, salvo que se disponga de copia de seguridad, como debería ser ...
No aconsejamos que recurra al pago del rescate, pero si no tiene copia de seguridad y son ficheros de mucha importancia, no conocemos otra posibilidad.
Lamentamos que haya sido afectado por uno de estos ransomware pero aproveche la experiencia para, en el futuro, disponer de copia de seguridad ya que lo mismo puede volver a sucederle y esperamos que para entonces ya haya tomado las precauciones indicadas.
Y dando por terminado el Tema, procedemos a cerrarlo
saludos
ms, 23-8-2013
Lamentablemente solo quien tiene las dos claves (publica y privada) puede, con la ayuda de alguna utilidad como la indicada de DirtyDecrypt, recuperar los ficheros cifrados, salvo que se disponga de copia de seguridad, como debería ser ...
No aconsejamos que recurra al pago del rescate, pero si no tiene copia de seguridad y son ficheros de mucha importancia, no conocemos otra posibilidad.
Lamentamos que haya sido afectado por uno de estos ransomware pero aproveche la experiencia para, en el futuro, disponer de copia de seguridad ya que lo mismo puede volver a sucederle y esperamos que para entonces ya haya tomado las precauciones indicadas.
Y dando por terminado el Tema, procedemos a cerrarlo
saludos
ms, 23-8-2013
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online