Ransomware: Soluciones para los archivos infectados (encriptados) .locked, .kraken y .darkness.

 

¿Que es un Ransomware?

 

El Ransomware es un software malicioso que al infectar nuestro equipo le da al ciberdelincuente la capacidad de bloquear el PC desde una ubicación remota y encriptar nuestros archivos quitándonos el control de toda la información y datos almacenados.

Lista de Ransomware y sus soluciones: 

 

Haz clic en el nombre para descargar su solución para desencriptar los archivos infectados.

- Rannoh Decryptor (actualización 20-12-2016 con CryptXXX v3)
- Popcorn Decryptor
- Marlboro Decryptor
- GlobeImposter Decryptor
- MRCR Decryptor
- Globe3 Decryptor
- Derialock Decryptor
- PHP Ransomware Decryptor
- Jigsaw Decryptor
- TM Ransomware File Decryptor
- NMoreira Decryptor
- Ozozalocker Decryptor

- Crysis
- Chimera
- Rakhni
- Agent.iih
- Aura
- Autoit
- Pletor
- Rotor
- Lamer
- Lortok
- Cryptokluchen
- Democry
- Bitman (TeslaCrypt) version 3 y 4
- Wildfire
- Teslacryp
- Shade
- CoinVault
- Marsjoke aka Polyglot
- Rannoh
- Fury
- Crybola
- Cryakl
- CryptXXX versiones 1 y 2


La lista ha sido recogida de "No more ransom!" (un blog de uno de los ingenieros de Kaspersky) y traducida por mi el manual.

Instrucciones para usar las diferentes soluciones:

 

En muchos casos, funciona la misma solución para diferentes "ransomware", puede ser debido a que según el software antivirus que utilice lo reconozca por un nombre o por otro.

Las instrucciones son exactamente iguales para desinfectar los archivos del equipo, lo único que cambia es el nombre del "ransomware".


1. Desinfección del malware en el equipo. Para ello haremos uso de cualquier antivirus gratuito o descargar alguna versión "shareware" de Kaspersky. Por lo contrario, el malware seguirá activo, bloqueando el sistema o bien, encriptando mas archivos.

2. Descargar la solución para la infección que tiene tu equipo. (Las tienes en la lista que está mas arriba del artículo).

3. Ejecuta la solución en tu sistema (el ejecutable .exe)

4. Una vez abierto, pulsamos en el texto "Change parameters".

 

5. Ahora seleccionaremos las unidades a escanear (disco duro, memoria usb, sd, directorio nube, unidades de red, ...) donde se ubican los archivos encriptados.

6. Seleccionamos el casillero "Delete crypted files after decryption". Así borrará los archivos encriptados con extensiónes .locked, .kraken y .darkness. Terminamos pulsando en el botón "OK".

7. Haremos clic al botón "Start scan".

 

8. Ahora nos pedirá que especifiquemos el directorio o ruta de unos de los archivos encriptado.

 

9. Nos aparecerá una ventana de emergencia que nos advertirá de que sería peligroso si cerramos la ventana en el proceso de la recuperación de dicho archivo. Por lo tanto, esperaremos a que acabe de desencriptar dicho archivo.

 

10. Repetiremos el proceso con el resto de archivos que nos interese recuperar y sigan encriptado.

Iré aumentando la lista a medida que vaya saliendo soluciones. Desde aquí, quiero agradecer a Kaspersky que haya liberado estas soluciones gratuitamente.

Recordar, si eres víctima de un ransomware y te incita a "pagar" no lo hagas. Nunca debes de pagar por el secuestro de tus datos, ya que es muy posible que no obtengas ni la clave, o que esta que te den no sea buena y encima te quedarás sin la pasta.

De excursión por la "Deep web"

Hoy me he preparado la "mochila" y algunos "juguetitos" para estar navegando durante unas horas por la famosa "Deep web".

Como ha sido mi primera vez dentro de la red profunda, he querido asegurar mi privacidad "al mas no poder". Ahora pondré algunas fotos que he realizado con mi móvil (por lo que sea, no me ha dejado hacer capturas de pantalla, he tenido deshabilitado la tecla Impr pant hasta que he finalizado la navegación).

Navegando o mejor dicho "buceando" bajo mi curiosidad y para verificar los "mitos" que he ido leyendo en artículos de revistas "comerciales". He visto paginas web de todo tipo, la velocidad de carga me ha recordado en los tiempos de instituto con Win98SE + IE + 56kbps, así que si algún día quieres ir de visita, ya sabes, ve con tiempo :P

Preparando la "mochila".

 

Por supuesto, lo primero ha sido cambiar mi IP y he utilizado un proxy para cambiar mi IP y mi región.

Google Map no es capaz de geolocalizarme.

Parece que está todo OK. :)

Buceando por la Deep Web.

 

Por supuesto, utilizaré el mejor navegador para Tor (Tor Browser) y nuevamente chequearé mi IP para verificar que seguimos en el "anonimato".

 

Vale, ya tengo activada la "doble" protección, estoy navegando por 2 proxy, una localizada con una ip que empieza por 35..... y me situa en Michigan y la otra que hemos visto anteriormente que empieza por 82....y no me situa en ninguna parte del mundo (en el agua, al igual en un yate :P) .

Lo primero que quería hacer una vez dentro de la Deep web, es acceder al sitio web de Facebook. Si, es lo que había leído en varios sitios y lo que me tenía "mosca", y os preguntaréis ¿Por qué? Pues porque si la deep web se inventó para permanecer en el "anonimato" porque Facebook tiene un sitio web de manera "oficial" en él? Cualquier persona que quiera cometer un delito de suplantación de identidad lo tendría extremadamente fácil, podría crearse un perfil falso, imposible de detectar su localización (y geolocalización) como hemos podido ver anteriormente en las fotos. Pongo el caso de que me quisiera hacer pasar por un niño de 14 años usando un perfil falso desde la Deep Web y quedando con otros menores... No le veo yo mucho sentido tener un facebook en la red Tor que no sea para "delinquir".

Aquí tenemos a Google haciendo de las "suyas", no me deja navegar por el buscador estando en el "anonimato". Al parecer si no te van espiando a cada paso de la navegación que hagas no te dejan usar sus servicios. Muy mal Google!

 Las páginas web en la "Deep web" terminan en .onion, y si os fijáis el nombre es bastante complicado de recordar. Por eso existen páginas o portales de enlaces (links) por temática en la red Tor, para poder acceder a ellos desde un clic.

Cómo se puede observar en la foto, hay enlaces relacionados con la droga, la política, servicios de hacking, financieros, eróticos...

El Google "malote" de la red Tor

 

Aquí tenemos a "Torch" el google "malote" de la red Tor, donde se pueden encontrar páginas de temáticas poco "comunes" en la navegación normal que nos daría "Google".

He realizado una búsqueda (drogas) y aparecen una infinidades de páginas web, en muchas de ellas se puede "comprar" drogas. (Muchas piden registro, lógicamente no voy a usar una dirección personal de email para registrarme, es lógico, que la FBI y otras administraciones están detrás del mercado ilegal de armas, drogas, CP (child porn, pornografía infantil), hacking, y otras actividades.... Tampoco es mi intención, sólo quiero enseñaros lo que nos encontraremos en esta zona "profunda" de la red.

La Wikipedia profunda!

 

Comprando un iPhone en las profundidades

Aquí podemos ver una web donde vende aparatos de "Apple", lo curioso son los precios. Están (cómo no) en BTC (Bitcoin).

0.1 BTC = 71.00€

iPhone 7 de 32gb 0.50 BTC = 354.98€
iPhone 7 de 128gb 0.60 BTC = 425.97€

¿Nos hacemos uno? Sinceramente, no me fío ni un poco del sitio, es muy barato para ser cierto, por lo tanto... Va a ser no :D


Estas son algunas de las páginas web que he visitado en un rato que me ha sabido a "poco" en la red Tor. Habrá que repetir!! os apuntáis?

¿Qué hacer si publican una foto (o vídeo) tuya en internet sin tu permiso?

 

En la actualidad que vivimos, prácticamente todo el mundo tiene un móvil con cámara, es habitual que por "accidente" aparezcamos de fondo en un foto de algún selfie, foto familiar, acompañando alguna pareja :D, pero os estaría engañando si el motivo del "post" no fuera por otro camino.

Me he informado por varios sitios webs (seguridad internauta, OSI, policía...) y he recopilado toda la información y pasos que nos encontraríamos en caso de ser una víctima.

¿Qué hacer si han publicado una foto tuya sin tu permiso?

 

1. Lo primero es que estemos tranquilos (por supuesto que es complicado, pero no arreglaremos nada perdiendo los papeles).

2. Buscaremos al propietario del dominio (dirección web donde apunta la web (ej. www.golfas.com) y le pediremos amablemente que retire dicha foto.

Pasos para averiguar el dueño de una página web:

- Entramos en https://who.is/ y escribimos en el casillero el nombre del dominio.

- Pulsamos en buscar (icono lupa) y nos aparecerá en el resultado la información del dominio.

Ya conocemos los datos del dueño o empresa que administra dicho dominio, disponemos de su dirección, país, teléfono y correo electrónico. 

Nos pondríamos en contacto con dicha empresa y le pediríamos amablemente que retire la foto de su página web, indicando el enlace directo donde se ve la foto (ej. www.golfas.com/images/mifoto.jpg o www.golfas.com/perfil.php?id=2584)

En el caso de redes sociales ya disponen de su propia plataforma para denunciar estos actos:

Facebook: La red social ofrece un servicio de ayuda para avisar de fotos o vídeos que puedan infringir el derecho fundamental a la protección de datos. Facebook ofrece varias opciones en función de las circunstancias de cada caso concreto. También permite denunciar una conducta abusiva mediante el enlace Denunciar, que aparece situado junto a la mayoría de los contenidos publicados en Facebook. 

Google: La compañía dispone de una página desde la que se puede solicitar la retirada de contenido de sus diferentes servicios. En el caso del servicio de vídeos YouTube, se te ofrecerán diferentes opciones en caso de abuso o acoso, vulneraciones de la privacidad, denuncia de contenidos sexuales, contenidos violentos u otros problemas. Por otro lado, si consideras que un vídeo colgado en YouTube incluye un contenido inapropiado puedes utilizar el icono con forma de bandera (Denunciar) para avisar del contenido y que la empresa lo revise. 

Twitter: La red aglutina en esta página diferentes formas de informar sobre diversos incumplimientos, entre los que se encuentran la publicación de información privada en Twitter, la usurpación de identidad, el acoso o la publicación de vídeos ofensivos.

Instagram: La red social Instagram cuenta con una página desde la que se puede reportar contenido publicado por terceros sin tu consentimiento que incluya tu información personal, así como informar de conductas abusivas o de casos de hostigamiento o acoso.

Ya hemos realizado el paso de la petición "amable" para su retirada. Esperaremos unas horas para conocer respuesta por su parte. En caso contrario, usaremos la siguiente opción (punto 3).

3. Puede tratarse de fotografía/as algo "comprometidas" y que estén hechas desde hace años, ahora nos podríamos encontrar casados o con pareja seria y puede que esta o algún familiar las vea y llegue a enterarse. Aparte del sofocón de encontrarnos con este problema, tener otro por las explicaciones a nuestra pareja no sería muy saludable....

Nos pondremos mas duros, el siguiente paso será denunciarlo a la guardia civil con todas las pruebas que ya tenemos (enlace a la foto/vídeo, datos del whois del dueño del dominio, copias de los emails pidiendo la retirada...).

Nos dirigiremos a delegación mas cercana de la "Guardia civil" de nuestra localidad o ciudad. 

También podríamos contactar:

Email: gdt@notificaciones.guardiacivil.es

Tfno: 900 101 062

APPs móvil: Android, iOS o Windows Phone

Si! tienen apps que ofrecen los siguientes servicios:

Localizar las oficinas de denuncia de la Guardia Civil más próximas a la ubicación del usuario para denunciar un hecho delictivo o solicitar ayuda o auxilio.

Colaborar con  la Guardia Civil, de forma anónima, comunicando cualquier información que se localice en la Red y que afecte a la seguridad.

Denunciar un hecho delictivo relativo a las nuevas tecnologías (Internet, correo electrónico, SMS, WhatsApp, etc). 

Es muy importante:

- Mantener la calma y usar los elementos legales anteriormente mencionados. 

- NO dejarlo pasar! hay que actuar de inmediato, ya que tus fotos o tus vídeos pueden estar propagándose de una manera "descontrolada" y cuanto mas tiempo esté en la red, más posibilidades tendremos de que la vean otras personas.

- Si es tu foto (o vídeo) y eres un menor (o en el contenido aparece un menor), no dudes en pedir ayuda las autoridades.

- Recopila tantas copias como puedas, haz capturas de pantalla de los sitios webs, datos del whois, copias de los correos pidiendo su retirada y sus contestaciones, haz una lista de todos los sitios webs donde aparezcan tus fotos y/o vídeos.

- Por supuesto, contacta con un abogado.

Si os parece incompleta los pasos a seguir y queréis proponer algún punto para mejorar los pasos, no lo dudéis y escribir un comentario.

Gracias! 

Así te "hackean" tu cuenta de facebook.

Una de las técnicas mas usadas para obtener las credenciales de acceso de una cuenta de una red social, correo electrónico, cuenta bancaria, etc... es de "engañar" de alguna manera al usuario mediante un falso enlace. Aunque en el ejemplo que voy a explicar el enlace está "cantado" de que es falso, en muchas ocasiones, nos encontremos enlaces similares ocultos en botones, en fotografías, en links....Es aquí donde está el peligro. 

Explicación:

1. Especifico mi IP 10.0.2.15 para crear un "falso servidor".
2. Introduzco la dirección web que voy a clonar, en este caso: www.facebook.com
3. Ahora comparto el enlace con mi IP y espero al que el usuario acceda al sitio.

Si nos fijamos bien en la barra de dirección, aparece la IP mencionada anteriormente y nos abre una página idéntica a Facebook. Pero como veis no pasa por un certificado SSL (https://)

Ahora vamos a simular que somos el internauta y escribimos el usuario y contraseña.

Usuario: minombrefacebook
Password: mipassword1234

Seguidamente pulso en entrar y los que nos haría la web, es "redireccionarnos" a la web original de facebook, donde nuevamente nos pedirá que introduzcamos el usuario y contraseña. Si fuera un caso real, pensaría la víctima que se ha debido de equivocar al escribir el usuario y/o la contraseña, se asustaría y lo volvería a introducir,  y esta vez al ser la web oficial entraría perfectamente en su cuenta. El "hacker" es lo que pretende, él quiere que no sospeches nada en ningún momento.

En la ventana del "hacker" tendríamos esto. El programa le ha imprimido en su terminal el usuario y contraseña. Ahora sólo le quedaría acceder al sitio, identificarse con estas credenciales y suplantar tu identidad.

Por eso es muy importante no abrir enlaces sospechosos, compartir bulos, ejecutar archivos comprimidos en correos. Y siempre, acceder a sitios con la seguridad que toca HTTPS://


Interesante, no?

Whatsapp en modo "Stealth"

Voy a explicar cómo configurar nuestra aplicación Whatsapp para estar lo más "stealth" (invisible/sigiloso) posible. Muchos ya conoceréis los métodos, otros posiblemente no conocían ninguno de ellos.

Este tutorial explica:

1. Evitar que vean nuestra última conexión.

2. Evitar que visualicen nuestra foto de perfil.

3. Evitar que vean nuestro estado.

4. Evitar que sepan si hemos o no leído los mensajes que nos han enviado.

5. Trucos para poder estar en "semi stealth".

1. Evitar que vean nuestra última hora de conexión.

Con esta opción evitaremos que nadie sepa cuándo ha sido la última vez que hemos entrado en la aplicación. Aunque parezca mentira, siempre hay algún "cotilla" que nos espía con la última hora de conexión y algun@s te lo echan en "cara".

Pasos para configurarlo: Abrimos Whatsapp y nos vamos Ajustes > Cuenta > Privacidad > Hora de últ. vez. Al activar dicha opción tú tampoco podrás ver la hora de conexión de tus contactos, por lo que si tu también eres un "cotilla" se te acabó el "chollo". :P

2. Evitar que visualicen nuestra foto de perfil.

Esta opción es bastante importante para mi, ya que cualquiera que se haga con nuestro número y nos agregue a su agenda podría ver nuestra foto de perfil y utilizarla para otros fines. Lo recomendado sería configurar esta opción como "Mis contactos", así sólo la podrían ver los contactos que tenemos en nuestra Agenda.

Pasos para configurarlo: Abrimos Whatsapp y nos vamos Ajustes > Cuenta > Privacidad > Foto de perfil > Elegimos la opción "Mis contactos". Recuerda, con esta opción sólo vería nuestra foto nuestros contactos que tengamos en la agenda, si pusiéramos "Nadie" no la vería estos tampoco.

3. Evitar que vean nuestro estado.

Si eres de las personas que cambian su estado constantemente, debes de saber que por "defecto" todo el mundo puede conocer tu estado sin que te conozcan de nada, con tan sólo tu número de teléfono.

Pasos para configurarlo: Abrimos Whatsapp y nos vamos Ajustes > Cuenta > Privacidad >  Estado. Pulsamos y seleccionamos "Mis contactos" o "Nadie". Recuerda que si selecciones "Nadie" ni tus contactos podrán ver tu estado.

4. Evitar que sepan si hemos o no leído los mensajes que nos han enviado.

Otra de las funciones mas "destacadas" de la privacidad es "ocultar" la confirmación de lectura (doble check azul) de los mensajes recibidos. De esta forma no podrán saber si hemos leído el mensaje o no, de igual forma que ocultar la hora, tampoco podremos saber si han leído nuestros mensajes.

Pasos para configurarlo: Abrimos Whatsapp > Ajustes > Cuenta > Privacidad > Confirmaciones de lectura. Desmarcamos la casilla. 

5. Trucos para poder estar en "semi stealth".

Tampoco es "secreto sumario" lo que voy a explicar a continuación, podríamos disponer de las opciones como "doble check" activado y poder hacernos "invisibles" cuando nos interese. El truco es bastante sencillo y conocido, de hecho fue una de las primeras formas (antes de existir la forma oficial) de saltarnos el "chivato" del "doble check".

Para ello haremos lo siguiente:

1. Nos llega una notificación emergente a nuestro móvil. Si desplegamos desde el menú superior podemos visualizar el mensaje sin entrar y sin notificarle al emisor que lo hemos leído.

2. Nos llega una notificación emergente a nuestro móvil, esta vez el texto es muy largo y no lo podemos visualizar entero, por lo tanto la primera opción la descartamos. 

La siguiente idea es poner nuestro móvil en modo "avión" y entrar con normalidad en Whatsapp, entramos al chat, leeremos el mensaje y saldremos de él cerrando la aplicación en 2º plano. 

Nuevamente, desactivaremos el modo "avión" de nuestro terminal y aquí no ha pasado nada, el emisor no sabrá que hemos leído el mensaje, ya que al estar en este modo,  internet no "trabaja" y no puede conectar con el servidor para notificarle nuestra presencia en él, es por eso que no puede verificar con el "doble check".

Ahora vas y lo cascas!