POSIBLE DESCIFRADO DE FICHEROS CODIFICADOS POR EL TESLACRYPT A LOS QUE SE HA AÑADIDO EXTENSION .CBF
Recibida una muestra de un fichero codificado por un ransomware que ademas de codificarlos con un cifrado AES simétrico, (y no un RSA-2048 asimétrico que indica en la descripción del mismo) , ha añadido la extension .CBF al nombre de cada fichero que ha cifrado, entendemos que se trata de una variante de la familia de ransomwares TESLACRYPT, de la que ya hablamos en su día.
Como ya indicamos, otra variante de este ransomware, añadía extension .ECC a los ficheros cifrados y que detectabamos y eliminabamos con el ELISTARA:
Y pasados ya 8 meses de aquella variante, al existir ahora esta otra que añde .CBF a los ficheros cifrados, hemos buscado información al respecto, encontrando una posible recuperación de dichos ficheros cifrados, aparte de lo indicado por el hacker de que para la recuperacion de dichos ficheros, el afectado ha de conectarse al sitio web TOR del atacante y proporcionar la clave de recuperación, vemos esta información que puede ser del interés de los usuarios afectados:
http://www.hackplayers.com/2015/04/recuperar-los-archivos-cifrados-con-teslacrypt.html
En el enlace anterior, se informa de dicha variante de ransomware y de la herramienta de CISCO que permite generar la clave maestra para decodificar dichos ficheros, partiendo del fichero “KEY.DAT” que genera dicho ransomware en el directorio de datos de aplicación del usuario:
NOTA IMPORTANTE :
Dicha utilidad de descifrado es una herramienta de prueba que no está soportada oficialmente y el usuario asume toda la responsabilidad derivada del uso de la misma.
Esperamos que lo indicado haya sido de su interés.
saludos
ms, 4-11-2015
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.