sábado, 6 de julio de 2013

Cómo desencriptar archivos encriptados por Ransomware Anti Child Porn Spam Protection en Servidores Windows 2003

Cómo desencriptar archivos encriptados por Ransomware Anti Child Porn Spam Protection en Servidores Windows 2003

Información aplicable a:
Productos -
Panda for File Servers (Windows)
Panda for Exchange
Panda for Domino
Panda for ISA
Panda Cloud Office Protection Advanced

Sistemas operativos
Windows 2003 Server (32 bits)
Síntomas
Después de desinfectar ransomware Anti Child Porn Spam Protection, la mayoría de mis documentos están encriptados con el siguiente formato: nombre de archivo (!! to decrypt email id [infection_ID] to spainsec1@gmail.com !!).exe.



Solución
Panda Security ha desarrollado una herramienta para desencriptar estos archivos.
Siga las siguientes instrucciones:
  1. Descargue la herramienta Panda AntiChild Decrypter.
  2. Tenga en cuenta que los archivos encriptados no se eliminan después de ser desencriptados, así que asegúrese de tener suficiente espacio libre en disco para desencriptar todos los archivos.

    En el caso de no contar con espacio suficiente en la unidad C:\ puede copiar los ficheros encriptados a un disco externo y conectarlo a continuación al servidor Windows 2003 Server donde deberá ejecutar a la herramienta.
  3. Confirme que la carpeta programdata existe en la carpeta raíz del sistema operativo y que no está vacía, por ejemplo, en C:\ProgramData.

    Esta carpeta está oculta por lo que deberá asegurarse de tener la opción Mostrar archivos y carpetas ocultos activada. Para más información visite esta página de Microsoft.
  4. Ejecute la herramienta Panda AntiChild Decrypter en el servidor Windows 2003. Se mostrará una ventana de línea de comandos con el progreso. Este proceso puede tardar varias horas en completarse, así que sea paciente y no cierre esta ventana.
  5. Cuando el proceso haya finalizado, aparecerá un mensaje notificando que los archivos han sido desencriptados. Acepte el mensaje.

Recuerde que los archivos desencriptados no se eliminan después de terminar el proceso de desencriptado, por lo que puede borrarlos si lo considera necesario.

Ransomware "Anti-child Porn Spam Protection 2.0"

Ransomware "Anti-child Porn Spam Protection 2.0" afecta a Latinoamérica

Durante esta semana se han estado recibiendo varios informes provenientes de todo Latinoamérica sobre una amenaza del tipo Ransomware que afecto a varios usuarios. La amenaza se autodenomina "Anti-child Porn Spam Protection 2.0" y se caracteriza por bloquear el equipo y cifrar la información dentro del mismo para luego pedir un rescate de dinero a cambio de la contraseña que descifra los archivos. La amenaza es detectada desde un principio como Win32/FileCoder.NAC o como Win32/FileCoder.NAG (o posibles variantes de ambos) por los productos de ESET.

Una vez que la amenaza ingresa al equipo, el proceso principal de la misma bloquea la pantalla al usuario presentando una falsa pantalla azul de Windows (BSoD) con el siguiente mensaje:
A problem has been detected and Windows has been shut down to prevent damage to your computer.

A process or thread crucial to system operation has unexpectedly exited or been terminated.

If this is the first time you've seen this Stop error screen, restart your computer. If this screen appears again, follow these steps:

Check to make sure any new hardware or software is properly installed. If this is a new installation, ask your hardware or software manufacturer for any Windows updates you might need.

If problems continue, disable or remove any newly installed hardware or software. Disable BIOS memory options such as caching or shadowing. If you need to use Safe Mode to remove or disable components, restart your computer, press F8 to select Advanced Startup Options, and then select Safe Mode.

Technical Information:

*** STOP: 0x000000F4 (0x00000003,0x81BAD8D8,0x81BADA3C,0x80944490)
A diferencia de versiones anteriores, la versión actualmente circulando de este malware genera dos claves totalmente aleatorias compuestas por cadenas complejas que rondan entre los 80 a 114 caracteres, que serán luego utilizadas para el proceso de cifrado de los archivos del sistema afectado.

Ejemplo de las claves generadas aleatoriamente:
9DF19AB897351C2A0A0FE18A6A73722EDM66BSAl3jBe2a3K8L275j34525b3&E=4RDP4-9y8Q1j3zDa9G9u3bD04t4dFuEO7M2%4zFT (104 caracteres)

6B1783B4656C5433B430F2CC28070B4E6^1HDq9JEV1+9L0SFr9(6aDu3rF8Cg6X7gC3F#D07LAxFgAD7&9G1%6S4k4YFzEm7^2g4PF*C%9y2T9 (112 caracteres)


Una vez generadas las claves, el malware también genera un ID de infección, el cual será solicitado más adelante para poder reclamar las claves anteriores, previo pago del rescate .

El ID y las claves generadas aleatoriamente y utilizadas para el cifrado de los archivos son enviadas al autor de la amenaza y luego eliminadas del equipo.

Para cifrar el contenido de los archivos, el malware realiza una copia utilizando el algoritmo AES provisto por la herramienta WinRAR, creando de esta forma archivos ejecutables, cifrados, seguros, con un algortimo AES de 128bits. Luego de realizar este proceso, elimina el archivo original del sistema afectado utilizando la herramienta de Sysinternals Sdelete, la cual utiliza el estándar del departamento de defensa de los Estados Unidos (DoD) DOD 5220.22, el cual establece la eliminación segura de datos, siendo imposible recuperar los mismos una vez eliminados.

Una vez finalizado todo el proceso, los archivos cifrados aparecerán dentro del disco con la siguiente estructura de nombre: 
Nombre_de_archivo_original.Ext.(!! to get password email id 1111111 to XXXrasecinfo@gmail.com !!).exe

En donde:
  • 1111111: es el ID de infección, el cual es necesario para reclamar la clave de descifrado.
  • XXXrasecinfol@gmail: la dirección de mail a donde enviar la información para el recupero de los archivos.
Según diversos análisis, hasta el momento no es posible recuperar los archivos cifrados, debido al método de cifrado y tamaño de clave utilizada por el Ransomware.

Después del pago, el delincuente envia un correo con las contraseñas de descifrado y una herramienta de descifrado que se podría utiliza en caso de que las contraseñas no funcionen. Los datos enviados son los siguientes:
Your Locker password: PASSWORD0
1st Decrypt password: PASSWORD1
2st Decrypt password: PASSWORD2
3st Decrypt password: PASSWORD3

Decryption tool (password to the archive: 123)
Download decryption tool pass 123.zip from Sendspace.com
Download it and unpack to any folder. Also program require administrative rules (use administrator account).

Copy paste 1st Decrypt password, 2st Decrypt password and 3st Decrypt passwords in decrypt tool 3 fields.

If you have not stop our software - use decryption tool, because the tool will stop our software before decrypting the files.

This is very important to stop our software service (and dont delete any files in ProgramData folder before stop) because your decrypted files may will be encrypted again.

Como se esto fuera poco, el delincuente informa de las técnicas de cifrado y eliminación de los archivos, así de porqué es obligatorio el pago. El correo es muy divertido y aquí dejamos una parte del mismo:
Please don't panic and send us angry emails or scare us to send claims in police, fbi or others - this is useless.

Stupid questions like - "I have backup and need only 1-2 files and can pay you only 500,1000,1500$ USD etc., We have a small business, this amount is too high" - will be ignored. Have backup - restore your files from it.

Our minimal price for your files is 4000$ USD. We don't get passwords for free or for 500,1000,1500$ USD etc. We know that you have money.
Information topersons who believe that professionals can decrypt files:

**** Now only WE can get you the true password to decrypt all your files.
You can write to Dr.Web, Eset,Panda and other antivirus and security or datarestore companies,but now this is useless. This "Anti-Child Porn Spam Protection - 2.0 version" you have is from 22.03.2013 - more than 3 month passed and no one helped to get password or decrypt files.
La metodología utilizada por los desarrolladores maliciosos para infectar los equipos y las razones por las cuales los usuarios pueden haber sido afectados son las siguientes:
  • Los usuarios maliciosos intentan acceder al equipo por medio del escritorio remoto de Windows (Puerto 3389) y realizan un ataque de fuerza bruta hasta lograr acceder. Aparentemente estos ataques fueron realizados durante  los fines de semana para evitar sospechas.
  • Luego, de no poseer privilegios de administrador, intentan obtenerlos por medio de la ejecución de exploits que afectan al Escritorio Remoto de Windows (http://support.microsoft.com/kb/2671387 y http://support.microsoft.com/kb/2828223).
  • Una vez logrados los privilegios de administrador, intentan desactivar o desinstalar cualquier solución antivirus que estuviera instalada dentro del equipo. Debido a que disponen de privilegios esto no es un problema.
  • Por último proceden a descargar y ejecutar la amenaza, la cual cifra cualquier archivo que pudiera contener información importante (.doc, .pdf, .mdb, .txt, .xls, .jpg, .png, etc) con una contraseña alfanumérica creada de manera completamente aleatoria y que es enviada automáticamente al desarrollador malicioso vía mail. Luego la amenaza borra de forma segura el archivo que contenía la contraseña de manera que sea irrecuperable utilizando SDelete (http://technet.microsoft.com/en-us/sysinternals/bb897443.aspx) y procede a bloquear el equipo con una pantalla que avisa de la infección y de cómo se debe pagar para recuperar los archivos cifrados.
Si bien la amenaza es detectada por los productos, queremos brindarles una serie de consejos para evitar este tipo de infecciones:
  • Utilizar contraseñas fuertes (alfanuméricas de mínimo 8 caracteres de longitud y que contengan mayúsculas y algún carácter especial) para todos los usuarios.
  • Preferentemente no tener publicado el servicio de escritorio remoto a Internet y de ser necesario que solo sea accesible mediante conexiones de red seguras como son las VPN.
  • Tener actualizado los equipos con todos los parches de seguridad correspondiente (puntualmente aquellos que solucionan los exploits http://support.microsoft.com/kb/2671387 y http://support.microsoft.com/kb/2828223)
  • Poseer una política definida de backups que aloje los mismos dentro de sistemas protegidos.
  • Realizar auditorías de seguridad de manera regular dentro de la red para evaluar la seguridad de los equipos accesibles desde Internet.


Leer más: Segu-Info: Ransomware "Anti-child Porn Spam Protection 2.0" afecta a Latinoamérica http://blog.segu-info.com.ar/2013/07/ransomware-anti-child-porn-spam.html#ixzz2YIeAaHjl 
Under Creative Commons License: Attribution Non-Commercial Share Alike 
Mucho más de Seguridad Informática Segu-Info