how to repair.txt, ficheros cifrados con RSA y extension .done, imposibles de descrifrar
Me llega el siguiente email solicitando ayuda sobre un tema ya tratado en el blog:
Buenos días,
He visto tu blog en el que ofreces una solución para ficheros infectados con virus de la policía ransonware con locked y me ha parecido muy interesante.
Tengo recuperar unos ficheros infectados (pfd, doc, jpg, xls) encriptados y con la extensión .done, como el adjunto.
Me ha llegado también el adjunto "how to repair" en el que el hacker ofrece sus servicios.
Espero puedas decirme si la solución que ofreces en tu blog es valida para este caso o si tienes alguna otra.Gracias.
Un cordial saludo.
El compañero se refiere a esta entrada en donde se indica como desencriptar los ficheros con -locked
El txt adjunto contiene el siguiente texto:
If you reading this,it means your`s important files(photos,videos, documents,archives,bases, backups, etc.) are locked with military cifer.
Nobody can help you restore files without our decoder.
If you want recover files,
send e-mail to the repairmyfile@tormail.org WITH "how to repair.txt" and 1-2 encrypted files less than 1MB . After checking you will receive the decrypted files and our conditions how you'll get the decoder . Follow the instructions to transfer payment.====================
1C20864DF3054BD59ADB52DE831873CEF3177C59C83E5CDB97962F5FA178E88A
953715B24C388916C42D7975C40A45B4AE78FA685EAFE1D201F9A6DF9F0A3331
B0A1352CC555D3DD06FC4B99E980507E7396040A1AA864486BB8DCB6B0F3CDB6
3FB11886D24FED7B88D1F530275123259A4BAEDFC23B0C3A49E4B33E32C80A1E
15757E7F749030D83800F0E058C85050D830D8D8906010387028C0201838F838
====================
Bueno, interesante, el fichero adjunto.xls.done, que me envian en el correo, se puede eliminar la extension .done, y te queda un .xls a medias de cifrar, veamos que sacamos en claro.
Empiezo la busqueda por Google, en principio es una variante del famoso RANSONWARE (virus de la policia), que nos deja algunos ficheros, no todos, encriptados con la extension .done al final, en cada carpeta donde exista un fichero .done, tenemos el how to repair.txt, tambien ha aparecido en escritorio, con las instrucciones para desencriptar los ficheros.
Lo primero que me encuentro son malas noticias, en forospyware me encuentro con la siguiente nota de los administradores sobre el tema a fecha 22.02.2013 ->
Originalmente publicado por ElPiedra
Hola a todos,
Es muy importante que consideren que el pago del rescate no garantiza que obtendrá nada a cambio, nadie le dará la seguridad de que una vez pagado, los archivos se descifran, aunque son varios los que reportaron que pagaron para obtener nuevamente sus archivos con éxito.
Lamentablemente todas las muestras que analizamos de este Ransom.DONE, se encripta los archivos con RSA, un algoritmo prácticamente imposible de crakear...
Debido a la forma en que los archivos están cifrados, la decodificación de los archivos sin contar con la clave de descifrado no es posible, la clave de descifrado se almacena en un servidor remoto, no en el equipo infectado.
En otras palabras, a diferencia de otras variantes similares como el Ransom.Block la cual si se pueden desencriptar los archivos si se cuenta con los archivos clave...
En este caso al ser con RSA y tener la clave en un servidor remoto de los ciberdelincuentes, es imposible recuperar los archivos .done
La recomendación como siempre es la prevención y tal vez dentro de lo más importante de esta es realizar copias de seguridad (backups) de forma periódica y en unidades externas para que no se vean afectadas en caso de una infección y de donde se pueda volver a disponer de toda la data nuevamente.
Parece que el asunto no es ninguna broma, y si leemos por foros especializados sobre el tema, vemos que hay gente que ha pagado la cantidad indicada para que se le enviara la herramienta para desencriptar los ficheros.
Hasta el momento, no existe herramienta, ni software, ni metodo para recuperar archivos encriptados con la extension *.done.
CAJAECO de ENCAJA, la revolucion Asturiana del embalaje industrial
Hoy quiero hacer una reseña a una empresa (encaja) familiar de mi tierra, Asturias, que tras 70 años en funcionamiento, ha desarrollado y patentado, lo que parece una revolucion en el mundo del embalaje industrial, el transporte a gran escala y en definitiva, la reinvencion de las cajas de madera.
Han salido en varios periodicos de tirada regional, y me parece justo y necesario hacerles una mencion aqui, ya que este blog lo visita poca gente, pero de varias partes de España y del mundo, y quien sabe, quiza alguien este interesado en estos productos.
Yo no voy a explicar en que consiste su sistema de embalaje, para eso han creado un video muy interesante y explicativo que os hara ver la "facilidad" y "sencillez" del invento, y os hara preguntaros por que a nadie antes se le habia ocurrido esto.
Teneis mas informacion, productos y precios en su pagina web: http://www.cajaeco.com/index.php
El Gobierno podría penalizar las webs de enlaces y limitar más la copia privada
Tras la filtración y posterior desmentido hace unos meses de un borrador de la Ley de Propiedad Intelectual, hoy nos hemos levantado con un nuevo globo sonda. Según publica la Asociación de Internautas, un nuevo borrador (pdf) de la reforma afectaría principalmente a dos puntos: las webs de enlaces y la copia privada.
En el caso de las webs de enlaces, se propone tipificar como delito directamente en el Código Penal lo que denomina "enlaces avanzados", refiriéndose a la "actividad de facilitar listados ordenados y clasificados de enlaces a contenidos protegidos". Pero el texto aclara que no se perseguirán los "enlaces ocasionales a contenidos protegidos ni las actividades que desarrollan los motores de búsqueda generales, neutrales y pasivos", tratando de calmar así al resto del sector internauta.
En cuanto a la copia privada, la propuesta reduce todavía más su aplicación, limitándola solamente a la grabación "a partir del soporte original de la obra adquirida en propiedad por compraventa comercial" o bien de una "radiodifusión únicamente con el propósito de permitir su visionado o audición en un momento temporal más oportunido, en el sistema conocido como pausa en directo". Esta fórmula por tanto haría ilegal la realización de copias si no poseemos el contenido original, y tampoco podríamos grabar programas de radio o TV para su almacenarlos y reproducirlos cuantas veces queramos.
Quizá no sea una coincidencia que esta filtración haya tardado tan poco en salir después de conocer que los lobbies norteamericanos quieren volver a meter a España en la lista de "países piratas", así que esperaremos a ver si esta vez es o no desmentida.
Fuente: elotrolado.net
Apple deja de vender su gama Mac Pro en Europa por ser ilegales
A principio de mes ya anunciábamos que Apple vería vetada la venta de sus equipos Mac Pro en Europa por no cumplir los estándares mínimos de calidad y seguridad respecto al cableado interno del sistema y las fuentes de alimentación que proveen de energía al mismo, convirtiéndose automáticamente en un producto ilegal para su venta y obligando a Apple a solucionar este problema o invitándole a retirar dichos ordenadores del mercado, siendo esta la última opción escogida por los de Cupertino.
Desde el día de hoy ya no se podrá comprar ningún producto Mac Pro en las Apple Store de Europa hasta que Apple lance una nueva versión que cumpla con los estándares mínimos de calidad que exige el continente europeo. En la Store podemos ver como el botón “Comprar” ha sido sustituido por “Preguntar ahora”, pero por ahora no tienen respuesta a la pregunta más simple ¿Cuándo volverán a estar a la venta los ordenadores Mac Pro?.
Fuente: elchapuzasinformatico.com
Los 300Mbps llegan a Cataluña
El proveedor de Internet sueco Adamo, que fue el primero en lanzar conexiones de 100Mbps en España, vuelve a hacer lo mismo con una nueva oferta de 300Mbps. Serán 300 megas de velocidad de bajada y 100 megas de subida sobre fibra óptica, que podrán disfrutar 20.000 hogares de Barcelona, Lleida y Viladecans.
La compañía ha fijado el precio en 39,95€/mes + IVA (incluyendo cuota de línea y llamadas), pero los nuevos clientes tendrán un descuento de 15€/mes hasta el mes de junio. Además seguirá ofreciendo la conexión anterior de 100Mbps simétricos por 5€ menos, ambas opciones con compromiso de permanencia de 12 meses.
Fuente: elotrolado.net
PUBLICIDAD
BLOGROLL
Zinemaníacos
Seamos un poco groseros19 junio, 2013Los mundos de []_MoU_[]
Inferno13 junio, 2013- BrainStormOverride -
Vamos a automatizar la descarga de nuestras series favoritas en uTorrent5 junio, 2013Yo, comercial mayorista de informática
Mal rollo… a veces31 mayo, 2013STD - Servicio Tecnico Digame
Por favor, servicio técnico7 mayo, 2013Al pie de cien montañas
Fantástico vídeo. ¿Te atreves a soñar?10 abril, 2013El chalé de Gaius Baltar
Me mudo… a tierras más cálidas23 marzo, 2013
