Board Stats

  • stats Total de Usuarios: 21007
  • stats Total de Mensajes: 104463
  • stats Total de Temas: 10046
  • stats Total de Categorías: 15
  • stats Total de Foros: 73
  • stats Máx. usuarios conectados (simultáneamente): 818

Ultimo registro





Autor Tema: Ransomware - recopilatorio herramientas eliminar-descrifrar archivos infectados  (Leído 16844 veces)

0 Usuarios y 1 Visitante están viendo este tema.

Conectado maripuri

  • Master
  • Usuario
  • ******
  • Mensajes: 21982
  • Mari
    • WirelessWindows
Re:Ransomware - recopilatorio herramientas eliminar-descrifrar archivos infectados
« Respuesta #50 en: Diciembre 05, 2016, 20:43:49 pm »


http://s25.postimg.org/mh24b5e0f/mari_2016_12_05_at_20_39_37.jpg
Ransomware - recopilatorio herramientas eliminar-descrifrar archivos infectados



Dado que Emisoft cuenta con una amplia colección de decrypters pienso que conviene tenerlos a mano..  en esta página están todos y si además cuentan con guias de usuario o información técnica proporcionan los enlaces a ellas o a los hilos de soporte..

Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.


Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
 
Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
No preguntes sobre temas del foro por privado, participa en el.

Conectado maripuri

  • Master
  • Usuario
  • ******
  • Mensajes: 21982
  • Mari
    • WirelessWindows
Re:Ransomware - recopilatorio herramientas eliminar-descrifrar archivos infectados
« Respuesta #51 en: Diciembre 20, 2016, 22:15:42 pm »


RansomFree by Cybereason


https://s3-us-west-1.amazonaws.com/cybereasonbucket/wp-content/uploads/2016/12/15203057/Alert-window.png
Ransomware - recopilatorio herramientas eliminar-descrifrar archivos infectados



La firma de seguridad Cybereason (Boston) ha presentado el pasado día 15 RansomFree, herramienta gratuíta que protege en tiempo real contra ataques Ransomware. Cybereason dice haber desarrollado un enfoque único para detectar comportamientos sospechosos y detener estos antes de que el ramsomware cifre los archivos lo que permite advertir al usuario y hacer que este detenga el ataque con un solo clic..

Citar
Introducing RansomFree
Cybereason has developed a unique behavioral approach to stop ransomware in its tracks. Since we’ve identified the typical pattern of behavior, we know how and where ransomware will start encrypting files. We built this knowledge into RansomFree: a free, anti-ransomware software that detects and blocks ransomware.
By targeting the common behavior of ransomware, Cybereason RansomFree protects against 99 percent of ransomware strains. RansomFree detects ransomware, suspends the activity, displays a popup that warns users that their files are at risk and lets the user stop the attack with one click.


<a href="http://www.youtube.com/watch?v=nr1w2mrOpto" target="_blank">http://www.youtube.com/watch?v=nr1w2mrOpto</a>
Demo: Cybereason RansomFree blocks ransomware from encrypting files


Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
   /  Cybereason Blog
Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
   (descarga)   /  Cybereason
Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
   /  The Hacker News





RansomWhere?  de Patrick Wardle (Objective-See) para MAC OS X


https://objective-see.com/images/RW/install.png
Ransomware - recopilatorio herramientas eliminar-descrifrar archivos infectados



Citar
RansomWhere? is a utility with a simple goal; generically thwart OS X ransomware. It does so by identifying a commonality of essentially all ransomware; the creation of encrypted files. Generally speaking, ransomware encrypts personal files on your computer, then demands payment (the ransom) in order for you to decrypt your files. If you fail to pay up, and don't have backups of your files, they may be lost forever - that sucks!

El funcionamiento de esta herramienta consiste en identificar un comportamiento parecido al ransomware detectando procesos no confiables, detener el proceso sospechoso y alertar al usuario. Al parecer esta es la única herramienta de detección de ransomware para usuarios de MAC OS X


Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
   /  Objective-See
Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
   /  Objective-See Blog
Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
    /   
Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.

Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
   /  The Hacker News

Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
 
Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
No preguntes sobre temas del foro por privado, participa en el.

Conectado maripuri

  • Master
  • Usuario
  • ******
  • Mensajes: 21982
  • Mari
    • WirelessWindows


Listado de herramientas de descifrado de ransomware publicado en heimdalsecurity (por Andra Zaharia)

Código: [Seleccionar]
.777 ransomware decrypting tool
7even-HONE$T decrypting tool
.8lock8 ransomware decrypting tool + explanations
7ev3n decrypting tool
Agent.iih decrypting tool (decrypted by the Rakhni Decryptor)
Alma decrypting tool
Al-Namrood decrypting tool
Alpha decrypting tool
AlphaLocker decrypting tool
Apocalypse decrypting tool
ApocalypseVM decrypting tool + alternative
Aura decrypting tool (decrypted by the Rakhni Decryptor)
AutoIt decrypting tool (decrypted by the Rannoh Decryptor)
Autolocky decrypting tool
Badblock decrypting tool + alternative 1
Bart decrypting tool
BitCryptor decrypting tool
BitStak decrypting tool
Chimera decrypting tool + alternative 1 + alternative 2
CoinVault decrypting tool
Cryaki decrypting tool (decrypted by the Rannoh Decryptor)
Crybola decrypting tool (decrypted by the Rannoh Decryptor)
CrypBoss decrypting tool
Crypren decrypting tool
Crypt38 decrypting tool
Crypt888 (see also Mircop) decrypting tool
CryptInfinite decrypting tool
CryptoDefense decrypting tool
CryptoHost (a.k.a. Manamecrypt) decrypting tool
Cryptokluchen decrypting tool (decrypted by the Rakhni Decryptor)
CryptoTorLocker decrypting tool
CryptXXX decrypting tool
CrySIS decrypting tool (decrypted by the Rakhni Decryptor – additional details)
CTB-Locker Web decrypting tool
CuteRansomware decrypting tool
DeCrypt Protect decrypting tool
Democry decrypting tool (decrypted by the Rakhni Decryptor)
DMA Locker decrypting tool + DMA2 Locker decoding tool
Fabiansomware decrypting tool
FenixLocker – decrypting tool
Fury decrypting tool (decrypted by the Rannoh Decryptor)
GhostCrypt decrypting tool
Globe / Purge decrypting tool + alternative
Gomasom decrypting tool
Harasom decrypting tool
HydraCrypt decrypting tool
Jigsaw/CryptoHit decrypting tool + alternative
KeRanger decrypting tool
KeyBTC decrypting tool
KimcilWare decrypting tool
Lamer decrypting tool (decrypted by the Rakhni Decryptor)
LeChiffre decrypting tool + alternative
Legion decrypting tool
Linux.Encoder decrypting tool
Lock Screen ransomware decrypting tool
Locker decrypting tool
Lortok decrypting tool (decrypted by the Rakhni Decryptor)
MarsJoke decryption tool
Manamecrypt decrypting tool (a.k.a. CryptoHost)
Mircop decrypting tool + alternative
Nanolocker decrypting tool
Nemucod decrypting tool + alternative
NMoreira ransomware decryption tool
ODCODC decrypting tool
Operation Global III Ransomware decrypting tool
Ozozalocker ranomware decryptor
PClock decrypting tool
Petya decrypting tool
Philadelphia decrypting tool
PizzaCrypts decrypting tool
Pletor decrypting tool (decrypted by the Rakhni Decryptor)
Pompous decrypting tool
PowerWare / PoshCoder decrypting tool
Radamant decrypting tool
Rakhni decrypting tool
Rannoh decrypting tool
Rector decrypting tool
Rotor decrypting tool (decrypted by the Rakhni Decryptor)
Scraper decrypting tool
Shade / Troldesh decrypting tool + alternative
SNSLocker decrypting tool
Stampado decrypting tool + alternative
SZFlocker decrypting tool
TeleCrypt decrypting tool (additional details)
TeslaCrypt decrypting tool + alternative 1 + alternative 2
TorrentLocker decrypting tool
Umbrecrypt decrypting tool
Wildfire decrypting tool + alternative
XORBAT decrypting tool
XORIST decrypting tool + alternative

Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.




http://s25.postimg.org/y4pqmgi0f/Rannoh_Decryptor.png
Ransomware - recopilatorio herramientas eliminar-descrifrar archivos infectados



Otra buena noticia es que
Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
de Kaspersky lab. (actualizado el 20-12-2016) puede descifrar ya archivos secuestrados por el ransomware CryptXXX v3



0WZ4uLFTHEE


Les toca el turno a las Smart TV que parece ser que no se libran..   Darren Cauthon comparte un vídeo del proceso para desbrikear una Smart TV de LG con Google TV después de seguir las instrucciones que le proporcionaron:

Citar
Plug in;  press settings + CH Dwn together, release; Select "wipe data," then "Yes." Wait for "complete;" Power cycle.

..algo así como "enchufar" > pulsar configuración + CH Dwn a la vez > liberar > seleccionar "wipe data" > indicar SI > esperar por "completo".

Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
vía
Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.


Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
 
Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
No preguntes sobre temas del foro por privado, participa en el.

Conectado maripuri

  • Master
  • Usuario
  • ******
  • Mensajes: 21982
  • Mari
    • WirelessWindows

Ransomware Tracker


http://s25.postimg.org/v416bmvqn/sshot_2017_02_08_19_00_18.jpg
Ransomware - recopilatorio herramientas eliminar-descrifrar archivos infectados



Es un recurso online para rastear, mitigar y bloquear tráfico malicioso ransomware..   es una interesante iniciativa.

Citar
Ransomware Tracker rastrea y monitorea el estado de los nombres de dominio, direcciones IP y URLs que están asociados con Ransomware, tales como servidores Botnet C & C, sitios de distribución y sitios de pago. Mediante el uso de los datos proporcionados por Ransomware Tracker, proveedores de servicios de alojamiento e Internet (ISPs), así como los CERT / CSIRT nacionales, las agencias policiales (LEA) y los investigadores de seguridad pueden recibir una visión general sobre la infraestructura utilizada por Ransomware y si están activamente Utilizado por el malhechor para cometer fraude.

Ransomware Tracker proporciona una breve guía para usuarios domésticos y empresas sobre cómo evitar ser víctima de Ransomware. La regla de oro está realizando copias de seguridad con frecuencia y nunca paga ningún rescate. Pagar rescates financiará la operación de los ciberdelincuentes de los malvados y la infraestructura que están utilizando para cometer más fraude, así como motivar a los atacantes para que sigan llevando a cabo sus ataques.

Ransomware Tracker ofrece varias listas de bloqueo. Estas listas de bloqueo permiten a las empresas bloquear el tráfico malicioso hacia la infraestructura de Ransomware conocida en el borde de la red, por ejemplo, bloqueándolas en el firewall corporativo, proxy web o en el servidor DNS local. Como los datos proporcionados por Ransomware Tracker se ofrecen gratuitamente (incluidas las listas de bloqueo), los vendedores de antivirus y los proveedores de soluciones de seguridad también pueden implementar listas de bloqueo de Ransomware Tracker dentro de sus productos.

Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.






Tres nuevas herramientas de descifrado de AVAST para descifrar los archivos HiddenTear, Jigsaw y Stampado


http://s25.postimg.org/zefu780tr/sshot_2017_02_02_17_46_05.jpg
Ransomware - recopilatorio herramientas eliminar-descrifrar archivos infectados



Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
Avast (blog)
Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
Avast





CryptoSearch


http://s25.postimg.org/f8cc8c567/2017_01_15_1325.png
Ransomware - recopilatorio herramientas eliminar-descrifrar archivos infectados



CryptoSearch (beta) es un programa creado para ayudar a encontrar qué archivos han sido cifrados por un ransomware en  particular y permitir al usuario copiar o mover estos archivos a otra ubicación para archivarlos (con esperanzas de un futuro descifrado).

Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
descarga
Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
  /  bleepingcomputer

Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
 
Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
No preguntes sobre temas del foro por privado, participa en el.

Conectado maripuri

  • Master
  • Usuario
  • ******
  • Mensajes: 21982
  • Mari
    • WirelessWindows


MarsJoke decrypter FREE incluído ahora en RannohDecryptor tool de Kaspersky Lab puede recuperar los archivos cifrados por MarsJoke Ransomware (conocido también como JokeFromMars o Polyglot)


http://support.kaspersky.com/images/viruses_10556_0113-214761.png
Ransomware - recopilatorio herramientas eliminar-descrifrar archivos infectados



Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
  /  Kaspersky Lab
Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
  /  Kaspersky Lab





Trend Micro Ransomware File Decryptor


https://esupport.trendmicro.com/media/13658483/AntiRansomware.png
Ransomware - recopilatorio herramientas eliminar-descrifrar archivos infectados



Familias de Ransomware soportadas:


http://s25.postimg.org/m0ud96ey7/sshot_2017_03_01_18_46_28.jpg
Ransomware - recopilatorio herramientas eliminar-descrifrar archivos infectados

http://s25.postimg.org/7ix616nn3/sshot_2017_03_01_18_46_52.jpg
Ransomware - recopilatorio herramientas eliminar-descrifrar archivos infectados



Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.






Avast publica herramienta de descifrado para versiones sin conexión del Ransomware CryptoMix:


https://blog.avast.com/hs-fs/hubfs/Ransomware/CryptoMix%20decryptor%20tool%20Feb%202017/01.png?t=1488388922238&width=680&height=587&name=01.png
Ransomware - recopilatorio herramientas eliminar-descrifrar archivos infectados



Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
  / Avast
Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
  / Avast

Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
 
Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
No preguntes sobre temas del foro por privado, participa en el.

Conectado maripuri

  • Master
  • Usuario
  • ******
  • Mensajes: 21982
  • Mari
    • WirelessWindows


Master decryption keys para todas las variantes del Ransomware Dharma publicadas en pastebin


http://s25.postimg.org/exlkqtbn3/sshot_2017_03_13_18_49_33.jpg
Ransomware - recopilatorio herramientas eliminar-descrifrar archivos infectados



Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
del usuario gektar
Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.

Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
(actualizado)






Check Point ofrece dos soluciones de descifrado para dos nuevas familias de Ramnsomware:

DeriaLock, el Ransomware que muta en cuestión de horas

Citar
How to retrieve your files?
Please use the below decryption tool with caution.
The decryptor is effective for the current version of the ransomware. As security companies and hackers are in an eternal cat and mouse chase, there is a chance that the attackers will remediate their vulnerabilities which allowed us to decrypt the files. Therefore, Check Point does not take responsibility for unsuccessful attempts to decrypt files using this tool.
Before initiating the decryption process we recommend backing up your hard-disk.
Make sure you are familiar with the specific procedure for how to reach to your safe mode during rebooting.
If you fail to get into safe mode ALL YOUR FILES WILL BE DELETED.
 
User manual:
After reading and familiarizing yourself with the cautions –
Restart the computer into safe-mode
Go to C:\users\%user name%\appdata\roaming\microsoft\windows\start menu\programs\startup\
Look for either LOGON.exe or SystemLock.exe and delete them.
(the ‘Date Modified’ of them would be the infection date)
Restart the computer again
Download and execute the decryptor *
Click the “I PAY GET MY FILES BACK NOW!” button.


PHP Ransomware

Citar
How to decrypt your files?
 Even though the encryption seems irreparable at first, we were able to develop a decryptor which allows victims of the PHP ransomware to restore their original files without difficulty.
Download the decryptor to the infected device*
Execute the decryptor – once it starts running it will look for affected files and revert them to their original form


Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
  /  Check Point
Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
  /  Check Point
Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
  /  Check Point

Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
 
Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
No preguntes sobre temas del foro por privado, participa en el.

Desconectado mandarache

  • Usuario
  • *
  • Mensajes: 609
Gracias Maripuri por tu dedicación , hace un año un amigo me trajo un ordenador encriptado , en su día no se pudo recuperar totalmente , hice una imagen completa del sistema 240gb , la guardé y le reinstalé sistema a fábrica , era de marca.
Pues hoy , más o menos un año después he podido recuperar la información de la copia guardada gracias a tu constancia en la recopilación del ransomware.
Nunca pagar , guardar información y esperar a que algún día se pueda desencriptar , nunca pagar.

Un saludo.
“Hay geometría en la vibración de las cuerdas , hay música en los espacios que separan las esferas “

Pitágoras  569 a.C – 475 a.C

Conectado maripuri

  • Master
  • Usuario
  • ******
  • Mensajes: 21982
  • Mari
    • WirelessWindows
Cita de: mandarache
Pues hoy , más o menos un año después he podido recuperar la información de la copia guardada gracias a tu constancia en la recopilación del ransomware.
Me alegro de que el hilo sea útil..      ;)

Actualmente hay una buena comunidad de desarrolladores que están haciendo un gran trabajo facilitando herramientas gratuítas, a ver si entre tod@s podemos aunar aqui una buena base de datos. 

De hecho hace poco kumek0 me comentaba sobre la idea de montar una ISO con un recopilatorio, como le dije tengo menos que poco tiempo pero prometo que voy a buscar un rato para reunir todo lo que se ha publicado en en este hilo hasta el momento y dejarlo disponible como descarga única (a modo All-in-One) para todos los usuarios del foro. 

Continuando con el tema..




http://i1-news.softpedia-static.com/images/news2/vindows-ransomware-uses-fake-microsoft-support-engineers-to-steal-your-money-510583-2.jpg
Ransomware - recopilatorio herramientas eliminar-descrifrar archivos infectados



“Vindows” Ransomware

El vídeo parece ya no estar disponible, entiendo que Malwarebytes habrá incorporado la detección a Malwaerbytes 3.0 y por ello tampoco dí con las herramientas originales en sus sitio, en cambio desde Softpedia las podemos obtener de forma independiente:

Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
   &   
Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
  via Softpedia

Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
 
Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
No preguntes sobre temas del foro por privado, participa en el.

Conectado maripuri

  • Master
  • Usuario
  • ******
  • Mensajes: 21982
  • Mari
    • WirelessWindows



http://s25.postimg.org/i2o9hfhnz/proyecto1p1final.png
Ransomware - recopilatorio herramientas eliminar-descrifrar archivos infectados


lampiweb ramsomware response kit







NO vamos a abrir un nuevo tema para algo que trata de lo mismo, lo que si haré será agregar al comienzo este post de presentación sobre "lampiweb ramsomware response kit", un fichero ISO con una gran cantidad de herramientas y decrypters para tratar infecciones ransomware. 

La ISO tiene un tamaño en disco de unos 562 MB, extraidos los archivos consta de 171 ficheros y 5 subcarpetas por lo que hemos decidido dividir la ISO en varias partes para así hacer mas liviana la descarga a quien no cuente con buen ancho de banda.


http://s25.postimg.org/oyi6yxkbz/sshot_2017_03_25_16_09_09.jpg
Ransomware - recopilatorio herramientas eliminar-descrifrar archivos infectados


lampiweb_RRK_1.0.ISO


Con el tiempo y la colaboración de tod@s iremos actualizando las herramientas que incluye la ISO (que no son pocas) agregando otras nuevas y así actualizar la descarga..  esto NO se hará cada semana ni mes, sino cuando sea significativo. Probablemente exista algun duplicado debido a la catalogación de las distintas fuentes.. en la siguiente compilación serán eliminadas y todo se ubicará en una única carpeta (omitieremos las existentes derivadas de sitios como NO more ransom, etc).

Creemos que tanto el pack como el hilo recopilatorio de herramientas pueda ser útil para tod@s..   esperamos vuestra colaboración para mantenerlo actualizado y así preparar nuevas compilaciones de nuestro "lampiweb ramsomware response kit!.

att. maripuri



Descripción:

Recopilación de herramientas y decrypters para ramsomware's conocidos.


Disclaimer:

Estas herramientas han sido descargadas tal cual se encuentran en la red y mas tarde recopiladas en una ISO con el propósito de disponer de un kit de emergencia útil caso de enfrentarse a una infección por ramsomware.

El objetivo es disponer de una gran variedad de herramientas actualizadas y listas para ser utilizadas en cualquier momento.

lampiweb.com no se responsabiliza en ningún caso de posibles pérdidas de información resultante del uso de las mismas..  nuestra recomendación antes de realizar ninguna acción con ellas es realizar copias de seguridad de los
discos o ficheros infectados con las que montar un escenario de prueba antes de realizarlo en el original así como informarse acerca del uso de los distintos decrypters que esta ISO incluye.


Agradecimientos:

Reconocimiento público a todos los desarrolladores por su valioso trabajo..  gracias a su esfuerzo desinteresado podemos contar hoy con todas estas herramientas gratuitas.  Gracias.


versión de la compilación:

ver 1.0


descarga desde la Tienda:



Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.




pass de la ISO:

Código: [Seleccionar]
lampiweb.com


hash de archivos:

lampiweb_RRK_1.0.zip

CRC32: 01beb2d9
MD5: 9c2932127bb20cd0cf9bc54ab6573216
SHA-1: 24d92d8092ae7bec835d4ae50a6220bee5001120


lampiweb_RRK_1.0.z01

CRC32: 5969a701
MD5: a7e85b2891f5c7af2dc4c88ef1dc0b17
SHA-1: 734ff75ea9d601a5f7f0712f37113dbe0a848306


lampiweb_RRK_1.0.z02

CRC32: 032ae9f1
MD5: 37b334879e1ccd981a51281df488c94f
SHA-1: b845a72636af228075fe7d607cc9ba8bc257199d


lampiweb_RRK_1.0.z03

CRC32: 63e30bf8
MD5: b0373d939c14c1d7da578e7f1570ed02
SHA-1: b297e1811e609cee45dc4144763aba0de58ea382


lampiweb_RRK_1.0.z04

CRC32: 45143b83
MD5: 590ce2a16057dc58cfba1570bbd9333e
SHA-1: 1a2d70cb8a1cc63882547a68f2bd8a045b5b7725


lampiweb_RRK_1.0.z05

CRC32: b88f9fa7
MD5: bc8645ca7b0f5ba033becd5e199a0fbc
SHA-1: b02a6b9fbc5b7bcaa3ab743728c570e1237c37ce


lampiweb_RRK_1.0.ISO

CRC32: f6bf2583
MD5: c7e5d9c5cf1756f1ca4176527a256fbf
SHA-1: 4407e18bfb665a4587e134f1c35ab23db9147232






Have ..a nice day!  lampiweb.com team


http://s25.postimg.org/7jnt1qqsr/Vp_Tzzzz_AE4.jpg
Ransomware - recopilatorio herramientas eliminar-descrifrar archivos infectados



Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.

Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.

Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.


« Última modificación: Marzo 25, 2017, 20:57:44 pm por maripuri »
Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
 
Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
No preguntes sobre temas del foro por privado, participa en el.

Conectado maripuri

  • Master
  • Usuario
  • ******
  • Mensajes: 21982
  • Mari
    • WirelessWindows

http://s25.postimg.org/hm6ba5gz3/Bart_Ransomware_Decryption_Bitdefender.png
Ransomware - recopilatorio herramientas eliminar-descrifrar archivos infectados



Bitdefender labs ha publicado la única herramienta de descifrado conocida (a día de hoy) para recuperar los datos perdidos por Bart Ransomware. Al parecer es funcional para todas las muestras de este ransomware que cifra los datos con extenisones".bart.zip," ".bart," and ".perl".


Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
  (descarga)
Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
  /  archivo de ayuda en PDF
Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
   /  Bitdefender labs.



Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
 
Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
No preguntes sobre temas del foro por privado, participa en el.

Conectado maripuri

  • Master
  • Usuario
  • ******
  • Mensajes: 21982
  • Mari
    • WirelessWindows


RensenWare


http://s25.postimg.org/5r0m6d1rj/rensenware.png
Ransomware - recopilatorio herramientas eliminar-descrifrar archivos infectados



Si, lees bien..  RensenWare es un nuevo ramsomare descubierto por MalwareHunterTeam que contrario a pedir un rescate monetario (como es habitual en estas infecciones) una puntación muy elevada (casi imposible) en un juego hentai

Citar
This screen tells the victim that their files have been encrypted and that they must score over .2 billion in the Lunatic level of a Touhou Project game called TH12 ~ Undefined Fantastic Object. If they do not reach that score or close the ransomware, their files will be lost forever

Al parecer fue creado como una "broma" que al propio autor del ramsomare se le escapó de las manos e incluso llegó a ser infectado por el. El autor pidió disculpas y liberó una herramienta.

Citar
Actualización 4/6/17 4:05 PM: Como se predijo, este ransomware parece ser una broma. Según un tweet de Shinjo Park, el desarrollador de ransomware se infectó.

Actualización 4/7/17: El desarrollador de RensenWare llegó a BleepingComputer y MalwareHunterTeam para decirnos que el programa estaba destinado a ser una broma. También lanzaron una herramienta que obligaría a TH12 a obtener la puntuación necesaria para descifrar los archivos.

Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
  / twitter
Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
  /  bleepingcomputer
Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.

Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
 
Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
No preguntes sobre temas del foro por privado, participa en el.

Conectado maripuri

  • Master
  • Usuario
  • ******
  • Mensajes: 21982
  • Mari
    • WirelessWindows


Emsisoft Decrypter for Cry9


http://s25.postimg.org/rse31gshb/sshot_2017_04_28_18_10_07.jpg
Ransomware - recopilatorio herramientas eliminar-descrifrar archivos infectados



El investigador Fabian Wosar publica un decrypter para el ransomware Cry9 considerado como el sucesor de la familia de ransomware CryptON.


Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
   /  blog Emisoft
Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
  (Guia)
Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.






Windows Defender Advanced Threat Protection - Ransomware response playbook


http://s25.postimg.org/4fg1iycdr/sshot_2017_04_28_18_26_49.jpg
Ransomware - recopilatorio herramientas eliminar-descrifrar archivos infectados



Citar
‎Este documento proporciona una visión general de cómo los clientes empresariales pueden aprovechar protección de amenaza de avanzada Windows Defender (Windows Defender ATP) para detectar, investigar y mitigar las amenazas de ransomware en sus redes (..)‎


Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
   / descarga (Microsoft)

Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
 
Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
No preguntes sobre temas del foro por privado, participa en el.

Conectado maripuri

  • Master
  • Usuario
  • ******
  • Mensajes: 21982
  • Mari
    • WirelessWindows

Ransomware Xpan


http://s25.postimg.org/9xrh93i27/C_Maf0_Xc_AMr1gl.jpg
Ransomware - recopilatorio herramientas eliminar-descrifrar archivos infectados



Investigadores de Kaspersky Lab logran mediante ingeniería inversa romper el cifrado de la nueva versión de Xpan y ofrecen soporte a las víctimas de este Ransomware.

Citar
Business Threat Alert: Xpan ransomware victims – we can help!
The Kaspersky Lab Global and Analysis Team has analyzed a new version of a previously known Xpan ransomware, and has discovered a decryption method to help victims unlock their files.


Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
  via @Securelist
Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
  /  Securelist
Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
  /  Kaspersky Lab

Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
 
Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
No preguntes sobre temas del foro por privado, participa en el.

Conectado maripuri

  • Master
  • Usuario
  • ******
  • Mensajes: 21982
  • Mari
    • WirelessWindows

Nuevo decrypter para descifrar los archivos encriptados por el ransomware Cry128


http://s25.postimg.org/dw6b8yd67/mari_2017_05_03_at_17_21_44.jpg
Ransomware - recopilatorio herramientas eliminar-descrifrar archivos infectados



El investigador de malware y Emsisoft CTO Fabian Wosar publicó una herramienta gratuíta con la que descifrar los archivos para la cepa mas reciente del ransomware CryptON, Cry128.  Cry128 se basa en una versión modificada de AES que trabaja en bloques de 128 bytes y con llaves de 1024 bits en modo ECB.


Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
  & 
Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
  / Emsisoft




Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
 
Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
No preguntes sobre temas del foro por privado, participa en el.

Conectado maripuri

  • Master
  • Usuario
  • ******
  • Mensajes: 21982
  • Mari
    • WirelessWindows


Fabian Wosar & Emsisoft liberan una herramienta gratuíta para desencriptar archivos cifrados resultados de infección por Amnesia,  un tipo de Ransomware basado en Delphi que dio sus primeras señales de actividad el pasado 26 de Abril.


http://s25.postimg.org/klnf2ks33/mari_2017_05_10_at_18_07_18.jpg
Ransomware - recopilatorio herramientas eliminar-descrifrar archivos infectados



Citar
Amnesia is a ransomware written in the Delphi programming language that encrypts your files using the AES-256 encryption algorithm. Encrypted files get renamed to *.amnesia and a ransom note is called "HOW TO RECOVER ENCRYPTED FILES.TXT" and asks you to contact "s1an1er111@protonmail.com". It can be found on your Desktop.


http://s25.postimg.org/7g7wwgy7j/sshot_2017_05_10_18_01_32.jpg
Ransomware - recopilatorio herramientas eliminar-descrifrar archivos infectados



Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.

Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.

Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.


Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
 
Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
No preguntes sobre temas del foro por privado, participa en el.

Conectado maripuri

  • Master
  • Usuario
  • ******
  • Mensajes: 21982
  • Mari
    • WirelessWindows


Ayer surgia la noticia de un
Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
que poco a poco vio como se propagaba hasta sus filiales en sudamérica, otros paises hasta catalogarse como una amenaza a nivel global. El ramsomware identificado es WannaCrypt.

Microsoft conocía la vulneravilidad que los atacantes utilizaron al menos desde marzo y fue parcheada poco después, solo los equipos que no instalaron el parche pueden verese afectados..  los parches se descargan automáticamente de forma predeteminada vía Windows Update.

Microsoft publica hoy un artículo y de manera extraordinaria parches para sistemas anteriores como Windows XP que no reciben soporte actualmente.

Todos estos parches se pueden obtener vía el catálogo de actualizaciones de Microsoft

Las vulnerabilidades están identificadas como MS17-010, CVE-2017-0146 y CV-2017-0147


http://s25.postimg.org/xieja8nxr/sshot_2017_05_13_17_38_04.jpg
Ransomware - recopilatorio herramientas eliminar-descrifrar archivos infectados



Customer Guidance for WannaCrypt attacks


Citar
Microsoft solution available to protect additional products
Today many of our customers around the world and the critical systems they depend on were victims of malicious “WannaCrypt” software. Seeing businesses and individuals affected by cyberattacks, such as the ones reported today, was painful. Microsoft worked throughout the day to ensure we understood the attack and were taking all possible actions to protect our customers. This blog spells out the steps every individual and business should take to stay protected. Additionally, we are taking the highly unusual step of providing a security update for all customers to protect Windows platforms that are in custom support only, including Windows XP, Windows 8, and Windows Server 2003. Customers running Windows 10 were not targeted by the attack today.

Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
  /  Technet
Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.


Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
 
Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
No preguntes sobre temas del foro por privado, participa en el.

Conectado maripuri

  • Master
  • Usuario
  • ******
  • Mensajes: 21982
  • Mari
    • WirelessWindows

http://s25.postimg.org/iw0jpa88f/mari_2017_05_15_at_18_09_41.jpg
Ransomware - recopilatorio herramientas eliminar-descrifrar archivos infectados



El pasado viernes (12/05/17) comenzaba el que apenas 3 días después ya se considera como el mayor ataque ramsomare de la historia:  WannaCrypt, un malware que utiliza una herramienta (EternalBlue) creada y posteriormente robada a la NSA.

Por el momento se ha logrado mitigar gran parte del ataque gracias al investigador
Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
qeu descubrió accidentalmente un "kill-switch" (un interruptor de apagado de emergencia) el código del malware.

Pero como era de esperar ya se han recogido muestras del malware modificado con el "kill-switch" modiificado e incluso sin el como descubre
Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
/ Matthieu Suiche


http://s25.postimg.org/s52pzeh4f/mari_2017_05_15_at_18_29_44.jpg
Ransomware - recopilatorio herramientas eliminar-descrifrar archivos infectados



He estado atenta a las novedades con el propósito de inlcuír alguna herramienta o parche en el hilo para posteriomente agregarlas a la versión 2.0 de nuestro "lampiweb ramsomware response kit".  Por el momento he preparado un paquete de "emergencia" con todos los parches publicados por Microsoft que notifiqué el sabado aquí (respuesta anterior a esta) para disponer de ellos "offline" de forma inmediata.

He agregado también las siguientes herramientas (las únicas que conozco a día de hoy):

Vaccinator (MinervaLabsResearch)


<a href="http://www.youtube.com/watch?v=L41T_LiEM0s" target="_blank">http://www.youtube.com/watch?v=L41T_LiEM0s</a>


NoMoreCry Tool  (CCN-CERT)
TrustlookWannaCryToolkit (Trustlook WannaCry Ransomware Scanner + WannaCry Vaccine Tool)



http://s25.postimg.org/fb4o623ov/sshot_2017_05_15_17_56_59.jpg
Ransomware - recopilatorio herramientas eliminar-descrifrar archivos infectados


WannaCry protection tools

Citar
WannaCry protection tools

Recopilación de herramientas y parches de emergencia publicados en
la red para mitigar los efectos del ramsomare WannaCry (12/05/17).

changelog:

15/05/17

-paquete de emergencia "WannaCry protection tools"
-agregado a lampiweb ramsomare response kit 2.0 (en construcción)

pass:  lampiweb.com


Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
  -  versión inicial / lampiweb.com

Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.

Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.

Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.

Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
 
Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
No preguntes sobre temas del foro por privado, participa en el.

Conectado maripuri

  • Master
  • Usuario
  • ******
  • Mensajes: 21982
  • Mari
    • WirelessWindows

Actualizamos el paquete WannaCry protection tools con una nueva herramienta: 

WannaSmile, "Una herramienta sencilla para protegerse de WannaCry Ransomware creada por Indrajeet Bhuyan e Hrishikesh Barman.


http://s25.postimg.org/8095txnan/sshot_2017_05_16_11_43_01.jpg
Ransomware - recopilatorio herramientas eliminar-descrifrar archivos infectados



Citar
WannaCry Ransomware is spreading like wild fire. It uses vulnerability in Microsoft's SMB ( which is turned on by default ).
On 13th may 2017 , security researcher going with the handle @malwaretech and Darien Huss found a 'kill-switch' which paused the ransomware. Basically the ransomware opens a unregistered domain and if fail to open then the system is infected. So @malwaretech registered the domain which stopped the ransomware.
Soon Cyber criminals around the world DDOSed it to take it down so that the ransomware can continue affecting.
Also the 'kill-switch' won't work if :
System is not connected to internet
If the 'kill-switch' domain is down
If it is blocked by the isp or firewall
The solution
WannaSmile is a simple program which can solve the problem
It can do the following :
It will disable SMB in your system ( which is enabled by default )
( OnlineFix ) It will edit your host file and add google's IP to the 'kill-switch' ( which means even if the site goes down you wont be affected )
( OfflineFix ) It will create a lightweight local web server and add localhost to 'Kill-switch'

changelog:

Código: [Seleccionar]
16/05/17

-agregado WannaSmile - A simple tool to protect yourself from
WannaCry Ransomware (Indrajeet Bhuyan & Hrishikesh Barman)
-zip file (antes .rar)

hash del zip

CRC32: 8964C88B
MD5: 0A5AF24EC7B60DB5B404161159015945
SHA-1: B6D084E58566279E63301C8E4A8CA77BEF0F250B


pass:

Código: [Seleccionar]
lampiweb.com
Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
  (updated)
Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
  /  hackatrick
Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.


Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
 
Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
No preguntes sobre temas del foro por privado, participa en el.

Conectado maripuri

  • Master
  • Usuario
  • ******
  • Mensajes: 21982
  • Mari
    • WirelessWindows

Yago-Jesus ha actualizado Anti Ransom a la versión V3.02 debido a un bug en Windows 10 que genera un crash..  esta versión únicamente es para correr bajo Windows 10 Creators Update.


http://s25.postimg.org/wik3k60bz/sshot_2017_05_18_09_42_38.jpg
Ransomware - recopilatorio herramientas eliminar-descrifrar archivos infectados



Código: [Seleccionar]
Fixed bug in WIndows 10 'Creators' that makes AR crash
This release **** IS ONLY **** for Windows 10 Creators


Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
  /  github


Por otra parte ayer comentaba en
Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
la manera de deshabilitar el protocolo SMBv1 de Microsoft en Windows 10 debido a que se han encotrando mas ataques aparte de WannaCry que utiizan está vulnerabilidad.

Por ello y ya que cabe en el tema dejo enlace a un artículo de Microsoft donde se explica como deshabilttar ese protocolo en todas las versiones de Windows.

Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.


Recordad que el protocolo afectado es SMBv1

NO están afectados SMBv2 y SMBv3 (al menos que se tenga constancia)

Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
 
Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
No preguntes sobre temas del foro por privado, participa en el.

Conectado maripuri

  • Master
  • Usuario
  • ******
  • Mensajes: 21982
  • Mari
    • WirelessWindows


Wannakey + Wanafork

El investigador francés Adrien Guinet ha publicado una herramienta en Github (Wannakey) con la que es posible recuperar los números primos de la clave privada RSA utilizados por Wanacry. La herramienta solo ha sido probada bajo Windows XP y únicamente es funcional si el PC no fue reiniciado después de la infección dado que se extraen de la memoria del sistema obteniendo estos a partir del proceso wcry.exe

Si se encuentran números primos válidos en la memoria se generará un fichero priv.key con el que se puede usar Wanafork para descifrar los archivos.

Citar
Introduction
This software allows to recover the prime numbers of the RSA private key that are used by Wanacry.
It does so by searching for them in the wcry.exe process. This is the process that generates the RSA private key. The main issue is that the CryptDestroyKey and CryptReleaseContext does not erase the prime numbers from memory before freeing the associated memory.
This is not really a mistake from the ransomware authors, as they properly use the Windows Crypto API. Indeed, for what I've tested, under Windows 10, CryptReleaseContext does cleanup the memory (and so this recovery technique won't work). It can work under Windows XP because, in this version, CryptReleaseContext does not do the cleanup. Moreover, MSDN states this, for this function : "After this function is called, the released CSP handle is no longer valid. This function does not destroy key containers or key pairs.". So, it seems that there are no clean and cross-platform ways under Windows to clean this memory.
If you are lucky (that is the associated memory hasn't been reallocated and erased), these prime numbers might still be in memory.
That's what this software tries to achieve.

Citar
Usage
You can use the binary in the bin/ folder. You first need to find the PID of the wcry.exe process using the Task Manager, and locate the 00000000.pky file.
Once you've got this, launch using cmd.exe:
> search_primes.exe PID path\to\00000000.pky
If a valid prime is found in memory, the priv.key file will be generated in the current directory.
You can then use
Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
to decrypt your files!
WARNING: wanafork does not work directly for now directly under Windows XP. This should be fixed soon (hopefully)!

Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
  /  aguinet - github
Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
  /  odzhan - github



-------------------o0o-----------------------



Telefónica WannaCry File Restorer



<a href="http://www.youtube.com/watch?v=c6z85-5hy5c" target="_blank">http://www.youtube.com/watch?v=c6z85-5hy5c</a>



Ayer (jueves 18) Chema Alonso publicaba en el blog de
Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
Telefónica WannaCry File Restorer, un script para PowerShell con el que poder recuperar y restaurar los archivos y extensiones de los ficheros afectados por el ransomware WannaCry.

Citar
Script que detecta ficheros temporales creados por el ransomware Wannacry y permite restaurar el contenido de los mismos. Estos archivos temporales son el paso intermedio utilizado por Wannacry para cifrarlos. La herramienta restaura los ficheros que aun no fueron cifrados.

Citar
¿cuándo podemos encontrar este tipo de archivos? Por desgracia, no siempre. Cuando Wannacry cifra un archivo, el archivo temporal correspondiente es eliminado, por lo que se habría perdido. Si un usuario ha apagado o hibernado el equipo en un momento determinado de la ejecución o el cifrado del malware se habrá detenido el proceso, por lo que todos los ficheros que estuvieran en temporales, con extensión WNCRYT que no hubieran sido cifrados y posteriormente, eliminados, éstos serían recuperables. Dichos archivos temporales, se mantienen en %userprofile%\appdata\local\temp o $RECYCLE, dependiendo de los casos explicados anteriormente, siendo los mismos archivos que la víctima tenía, pero con otra extensión.

Los 'malignos' también podéis seguir otro artículo adicional en el blog personal de Chema, "Un informático en el lado del mal".



Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
  / Github
Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
  /  ElevenPaths
Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
  / Chema Alonso - Un informático en el lado del mal



Actualizamos pues estas herramientas al paquete de emergencia "WannaCry protection tools" y para el próx. Lampiweb RRK 2.0


http://s25.postimg.org/rlkb4a2i7/sshot_2017_05_19_21_05_29.jpg
Ransomware - recopilatorio herramientas eliminar-descrifrar archivos infectados



changelog:


Citar
19/05/17

-agregadas herramientas wannakey + wanafork
-agregada herramienta Telefónica WannaCry File Restorer
-agregado changelog.txt


pass: 

Código: [Seleccionar]
lampiweb.com

hash:

CRC32: C1635E9E
MD5: CB784DE28779F089512A621323FC299B
SHA-1: C64EEB5993B54E3F254A21E4761D7AE595AE6329


Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.


Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
 
Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
No preguntes sobre temas del foro por privado, participa en el.

Conectado maripuri

  • Master
  • Usuario
  • ******
  • Mensajes: 21982
  • Mari
    • WirelessWindows



https://media.giphy.com/media/xUPGcEF8QskrMj2Z8Y/giphy.gif
Ransomware - recopilatorio herramientas eliminar-descrifrar archivos infectados



WanaKiwi


Nueva herramienta desarrollada por el investigador Benjamin Delpy (gentilkiwi) compatible con los sistemas operativos desde Wiindows XP a Windows 7.   Esta herramienta también busca los números primos en la memoria antes de que se vuelva a sobreescribir por lo que es desaconsejable reiniciar el dispositivo tras la infecció dado que reduce al mínimo las posiblilidades de éxito.

Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
  /  Matt Suiche
Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
  /  Benjamin Delpy
Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
  /  github





http://s25.postimg.org/zbvon5u7j/alert6442_Fig1_1.png
Ransomware - recopilatorio herramientas eliminar-descrifrar archivos infectados



ESETEternalBlueChecker

Citar
May 19, 2017
Today, IT security firm ESET® released a useful free tool to help combat the recent ransomware, WannaCry (WannaCryptor).
ESET’s EternalBlue Vulnerability Checker can be used to determine whether your Windows machine is patched against EternalBlue, the exploit behind the WannaCry ransomware epidemic that is still being used to spread cryptocurrency mining software and other malware.

La firma de seguridad ESET ha publicado una herramienta (gratuíta) con la que determinar si un equipo Windows está parcheado contra EternalBlue (una de las dos herramientas utiilzadas por el ransomware WannaCry y que también está siendo utilizada por otros malwwares y programas maliciosos)

Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.

Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
  (instrucciones de uso)
Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
  / descarga directa desde ESET




------------------o0o------------------



Actualizamos el paquete de emergencia "WannaCry protection tools"


http://s25.postimg.org/do6qcpttb/sshot_2017_05_20_20_09_25.jpg
Ransomware - recopilatorio herramientas eliminar-descrifrar archivos infectados



changelog:


Citar
20/05/17

-agregado ESETEternalBlueChecker
-agregada herramienta WanaKiwi (XP to Windows 7)


pass: 

Código: [Seleccionar]
lampiweb.com

hash:

CRC32: 16B07274
MD5: AA154E0E2602B955D3F3A07381F9CD6A
SHA-1: 2440C8F7F0F0CCD3F96E15B5EC8649D1035B92AB



Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.


Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
 
Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
No preguntes sobre temas del foro por privado, participa en el.

Desconectado granlar

  • Usuario
  • *
  • Mensajes: 74
Citar
La firma de seguridad ESET ha publicado una herramienta (gratuíta) con la que determinar si un equipo Windows está parcheado contra EternalBlue

Gracias Maripuri, la he ejecutado y me dice que mi w10 está a salvo, está actualizado  :P
Poco puede hacer una gota de agua, pero muchas forman un océano.

Un saludo
    GranLar

Conectado maripuri

  • Master
  • Usuario
  • ******
  • Mensajes: 21982
  • Mari
    • WirelessWindows

Citar
la he ejecutado y me dice que mi w10 está a salvo, está actualizado  :P
Muy bien..  si no se manipula Windows 10 está protegido por los parches que Microsoft lanzó a tiempo...  igual que otros sistemas salvo que se les haya deshabiltado las actualizaciones. 


Continuamos:


Ransomware BitKangoroo


http://s25.postimg.org/eofwyavxr/bitkangaroo.jpg
Ransomware - recopilatorio herramientas eliminar-descrifrar archivos infectados



BitKangarooDecrypter es una herramienta creada por Michael Gillespie que descifra los archivos cifrados por el Ransomware BitKangoroo. BitKangarooDecrypter actualmente puede descifrar los archivos que tienen la extensión .bitkangoroo añadida a ellos.


BitKangarooDecrypter


http://s25.postimg.org/lg6c15kxb/decryption_completed.jpg
Ransomware - recopilatorio herramientas eliminar-descrifrar archivos infectados



Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
  Lawrence Abrams  /  bleepingcomputer

Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
  Michael Gillespie  /  bleepingcomputer




NSATool es una herramienta creada por la empresa china
Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
que escanena el PC en busca de vulnerabilidades como EternalChampion, EternalRomance, EternalSynergy y entre otras..  si el equipo es vulnerable la aplicación lo comunica y puede parchearlo.

Citar
To protect users against the WannaCry Ransomware and other incoming cyber attacks, 360 Total Security has developed a NSA Cyber Weapons Defense Tool. This tool can assess if a computer is immune to exploits derived by NSA Cyber Weapons. When vulnerabilities are found, users can apply all the security updates necessary to defend against cyber attacks.
360’s NSA Cyber Weapons Defense Tool is designed to run without Internet connection. Therefore, you can patch the vulnerabilities without worrying the potential infection through the Internet.

La aplicación está pensada para facilitar la instalación de los parches de Microsoft concernientes a estas vulnerabilidades e instalarlos de forma OFFLINE, es decir el PC no necesita en ningún caso estar conectado a la red ni para buscar las vulnerabilidades durante el scan ni para instalar los parches dado que la aplicación los lleva embebidos en el ejecutable (de ahí el peso de la misma)

Aquí un ejemplo sobre una máquina virtual con Windows 7 PRO x32 sin actualizaciones ni parches..


http://s25.postimg.org/cz6tq8g8f/sshot_2017_05_22_13_38_26.jpg
Ransomware - recopilatorio herramientas eliminar-descrifrar archivos infectados



http://s25.postimg.org/je5umwmy7/NSATool_360totalsecurity.gif
Ransomware - recopilatorio herramientas eliminar-descrifrar archivos infectados



http://s25.postimg.org/8336yjg33/sshot_2017_05_22_13_49_34.jpg
Ransomware - recopilatorio herramientas eliminar-descrifrar archivos infectados



Como véis en este caso concreto lo que ha hecho es instalar KB4012212 en el sistema (es necesario reiniciar) para parchearlo.  Cómoda y muy simple de usar para los mas neófitos en el asunto.

Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
   /  360totalsecurity blog

Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
   /  360totalsecurity blog


Por otra parte ha publicado un artículo sobre el ataque del ransomware WannaCry y una herramienta específica:

ransomrecovery

Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
   /  360totalsecurity blog

Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
   /  360totalsecurity blog

Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
   /  360totalsecurity blog




Actualizamos el paquete de emergencia "WannaCry protection tools"


http://s25.postimg.org/9kt8nua7j/sshot_2017_05_22_19_24_31.jpg
Ransomware - recopilatorio herramientas eliminar-descrifrar archivos infectados



changelog:


Citar
22/05/17

-agregada NSATool
-agregado RansomRecovery


pass: 

Código: [Seleccionar]
lampiweb.com

hash:

CRC32: 5F669577
MD5: DE54E4F6648E4E6E3542333EE7E2F12A
SHA-1: D5EC614C24C399E78283487402EDCBB9F6264477


Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.


Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
 
Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
No preguntes sobre temas del foro por privado, participa en el.

Conectado maripuri

  • Master
  • Usuario
  • ******
  • Mensajes: 21982
  • Mari
    • WirelessWindows



http://s25.postimg.org/8xceyq0q7/mari_2017_05_25_at_20_45_10.jpg
Ransomware - recopilatorio herramientas eliminar-descrifrar archivos infectados


BTCWare ransomware


Nuevamente Michael Gillespie nos ofrece un nuevo decrypter gratuíto, en esta ocasión para descifrar los archivos cifrados por el ramsomware BTCWare


BTCWareDecrypter


http://s25.postimg.org/z4dluoizz/sshot_2017_05_25_20_37_20.jpg
Ransomware - recopilatorio herramientas eliminar-descrifrar archivos infectados



Citar
BTCWareDecrypter is a ransomware decryptor created by Michael Gillespie that decrypts files encrypted by the BTCWare ransomware. Using this decryptor, victims can recover their files for free without having to pay a ransom.
​BTCWareDecrypter can currently decrypt files encrypted by BTCWare that have the following extensions:
.[< email address >].btcware
.[< email address >].cryptobyte
.[< email address >].cryptowin
.[<email>].theva
and limited support for .onyon

Citar
Last Updated:
05/16/17 06:06:20 PM EDT

Citar
Windows XP/Vista/7/8/Windows 10
32-bit program. Can run on both a 32-bit and 64-bit OS.

Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
  &
Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
  /  bleepingcomputer



Por su parte AVAST nos proporciona su propia herramienta (avast_decryptor_btcware) disponible igualmente de forma gratuíta..

Citar
BTCWare
BTCWare is a ransomware strain that first appeared in March 2017. Since then, we observed five variants, that can be distinguished by encrypted file extension. The ransomware uses two different encryption methods – RC4 and AES 192.

Citar
Filename changes:
Encrypted file names will have the following format:
foobar.docx.[sql772@aol.com].theva
foobar.docx.[no.xop@protonmail.ch].cryptobyte
foobar.bmp.[no.btc@protonmail.ch].cryptowin
foobar.bmp.[no.btcw@protonmail.ch].btcware
foobar.docx.onyon

Furthermore, one of the following files can be found on the PC
Key.dat on %USERPROFILE%\Desktop
1.bmp in %USERPROFILE%\AppData\Roaming
#_README_#.inf or !#_DECRYPT_#!.inf in each folder with at least one encrypted file.

Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
   /   AVAST


Una cosa mas:

Parece que en Google Play Store están apareciendo herramientas que prometen proteger los dispositivos del infame WannaCry ransomware..  los dispositivos Android NO son vulnerables a ser infectados por WannaCry puesto que este utiliza una vulnerabilidad para Windows (smb1) que no se encuentra en sistemas Android.

Es mas de lo mismo, "colartela" de alguna forma para obtener beneficio..  NO seais incautos.

Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.


Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
 
Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
No preguntes sobre temas del foro por privado, participa en el.

Conectado maripuri

  • Master
  • Usuario
  • ******
  • Mensajes: 21982
  • Mari
    • WirelessWindows


https://www.bleepstatic.com/images/news/ransomware/d/dharma/wallet/dharma-heatmap.jpg
Ransomware - recopilatorio herramientas eliminar-descrifrar archivos infectados



Al parecer un usuario recién registrado en los foros de BleepingComputer publicó un enlace a pastebin que contiene las llaves maestras para descifrar archivos infectados por Wallet que pertenece a la familia del ransomare Crysis.

Se ha comprobado que son válidas y funcionan para las extensioens  .wallet y .onion

Citar
This morning a newly registered member posted the master decryption keys for the Wallet Ransomware in the BleepingComputer.com forums. This post was created at 9:13 AM EST by a member named lightsentinelone in the Dharma Ransomware Support Topic and contained a Pastebin link.



Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
   /   BleepingComputer
Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
   /   BleepingComputer
Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
  (lightsentinelone)   /  Pastebin

herramientas liberadas para descifrar el ransomware Wallet que han sido publicadas (hasta el momento).

Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
  /  Avast
Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
  /  Kaspersky
Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
  /  Eset

Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
 
Sorry, you are not allowed to see this part of the text. Por favor ingresa o regístrate.
No preguntes sobre temas del foro por privado, participa en el.