No More Ransom , ayuda para desencriptar archivos

Se trata de una asociación entre Kaspersky Lab, Intel Security, organismos policiales europeos y los servicios Web de Amazon para impulsar herramientas de descifrado.

El ransomware es una epidemia creciente que está afectando a los usuarios de todo el mundo. Para dar un paso definitivo y revertir esta tendencia se ha puesto en marcha NoMoreRansom.org.

Se trata de una asociación entre Kaspersky Lab, Intel Security, el Centro Europeo de Ciberdelincuencia de Europol, la unidad de delitos de Alta Tecnología holandesa y Amazon Web Services.

“Nos dimos cuenta de que la policía no puede luchar contra el delito cibernético, y el ransomware en particular, por sí sola; y de que los investigadores de seguridad tampoco pueden avanzar sin el apoyo de los organismos encargados de hacer cumplir la ley. Para ser más eficaces, los organismos de control y las empresas de seguridad de TI tienen que trabajar juntos en todo el mundo“, ha puesto de manifiesto Jornt van der Wiel, investigador de Kaspersky Lab.

Una de las mayores manifestaciones de la actuación de NoMoreRansom.org ha sido desarrollar las claves de descifrado para la familia del ransomware Shade, un popular troyano que apareció por primera vez en 2014.

Desde entonces, Intel Security y Kaspersky han podido bloquear aproximadamente 27.000 intentos de ataques a los usuarios gracias a la implementación de más de 160.000 claves de descifrado que ayudan a las víctimas a recuperar sus datos.

Aunque, por el momento, NoMoreRansom.org solo proporciona el descifrado de Shade, el objetivo es mucho más amplio y abordará múltiples formas de ataques ransomware.

empresas de aplicación de la ley como de seguridad, se han unido para perturbar las empresas con conexiones de ciberdelincuentes ransomware .

El sitio web de ” No-More -Ransom ” es una iniciativa de la Unidad Nacional de Delitos de Alta Tecnología de la Policía de los Países Bajos , Centro Europeo de Ciberdelincuencia de Europol y dos compañías de seguridad informática – Kaspersky Lab y de seguridad de Intel – con el objetivo de ayudar a las víctimas de ransomware recuperar sus datos cifrados sin tener que pagar a los criminales .

Dado que es mucho más fácil evitar la amenaza que para luchar contra ella una vez que el sistema se ve afectado , el proyecto también tiene como objetivo educar a los usuarios sobre el funcionamiento de ransomware y qué medidas se pueden tomar para prevenir eficazmente la infección . Cuantos más partidos que apoyan este proyecto mejores serán los resultados pueden ser. Esta iniciativa está abierta a otras partes públicas y privadas .

Como saber si tu ordenador es un ZOMBIE

El conocido laboratorio Kaskersky Lab ha publicado (en ingles) un articulo para saber si nuestros ordenadores pertenecen a la red Zombie de mas de 1.000.000 ordenadores que estan infectados sin saberlo, siguiendo el manual podemos desinfectar nuestro sistema:

Artículo Español

Artículo Ingles

Instrucciones para la localización y eliminación de software malintencionado de Sombra bot.

Instructions prepared by: Vitaly Kamluk, Kaspersky Lab Instrucciones preparado por: Vitaly Kamluk, Kaspersky Lab
Date: 06.08.2008 Fecha: 06.08.2008
MD5 of analyzed sample: 9e2ef49e84bc16c95b8fe21f4c0fe41e MD5 de la muestra analizada: 9e2ef49e84bc16c95b8fe21f4c0fe41e

Locating malware (with security software) Acceso a los programas maliciosos (con software de seguridad)

Kaspersky Anti-Virus has been able to detect malware which supports the Shadow botnet since 30th of January 2008. Kaspersky Anti-Virus ha sido capaz de detectar malware que apoya la Sombra botnet desde el 30 de enero de 2008. Detection names may vary from version to version. Detección de nombres pueden variar de versión a versión. The malware is detected under the following names: El programa malicioso se detecta con los siguientes nombres:

  • Backdoor.Win32.IRCBot.bit
  • Backdoor.Win32.IRCBot.biy
  • Backdoor.Win32.IRCBot.bjd
  • Backdoor.Win32.IRCBot.bjh
  • Backdoor.Win32.IRCBot.cja
  • Backdoor.Win32.IRCBot.cjj
  • Backdoor.Win32.IRCBot.ckq
  • Backdoor.Win32.IRCBot.cow
  • Backdoor.Win32.IRCBot.czt
  • Backdoor.Win32.IRCBot.ekz
  • Rootkit.Win32.Agent.aet
  • Trojan-Downloader.Win32.Injecter.pj
  • Trojan.Win32.DNSChanger.azo
  • Trojan.Win32.DNSChanger.bao
  • Trojan.Win32.DNSChanger.bck
  • Trojan.Win32.DNSChanger.bfo
  • Trojan.Win32.DNSChanger.bjh
  • Trojan.Win32.DNSChanger.bji
  • Trojan.Win32.DNSChanger.bjj
  • Trojan.Win32.DNSChanger.bmj
  • Trojan.Win32.DNSChanger.bnw
  • Trojan.Win32.DNSChanger.bqk
  • Trojan.Win32.DNSChanger.bsm
  • Trojan.Win32.DNSChanger.buu
  • Trojan.Win32.DNSChanger.bwi
  • Trojan.Win32.DNSChanger.bxd
  • Trojan.Win32.DNSChanger.bxe
  • Trojan.Win32.DNSChanger.bxv
  • Trojan.Win32.DNSChanger.cap
  • Trojan.Win32.DNSChanger.ccg
  • Trojan.Win32.DNSChanger.cei
  • Trojan.Win32.DNSChanger.cem
  • Trojan.Win32.DNSChanger.eag
  • Trojan.Win32.DNSChanger.gvb
  • Trojan.Win32.Restarter.e
  • Trojan.Win32.Restarter.f
  • Trojan.Win32.Restarter.g
  • Trojan.Win32.Restarter.h

The current sample was detected on 6th August 2008 as Trojan.Win32.DNSChanger.gvb La actual muestra se detectó el 6 de Agosto 2008 como Trojan.Win32.DNSChanger.gvb

Locating malware (manually) Acceso a los programas maliciosos (manualmente)

As the bot doesn’t copy its body to the system, the name of the malicious file can vary. A medida que el robot no copiar su cuerpo al sistema, el nombre del archivo malicioso puede variar. The name of the malicious file depends on the installer used to infect the system with the bot. El nombre del fichero dañino depende de que el instalador utilizado para infectar el sistema con el bot. However, it is possible to detect the presence of the bot by checking the system registry. Sin embargo, es posible detectar la presencia del bot de control el registro del sistema.

Users can check the system registry by running regedit.exe and checking the following registry value: Los usuarios pueden comprobar el registro del sistema ejecutando regedit.exe y comprobar la siguiente valor del registro:

HKEY_CLASSES_ROOT\.htc\Content Type HKEY_CLASSES_ROOT \. HTC \ Tipo de Contenido

System administrators of large networks can do this remotely using the reg.exe command as shown below: Los administradores de sistemas de grandes redes puede hacer esto forma remota utilizando el comando reg.exe como se indica a continuación:

The default system registry value (checked on Windows XP Pro SP2) for HKEY_CLASSES_ROOT\.htc\Content Type is “text/x-component”. El sistema por defecto el valor de registro (comprobado en Windows XP Pro SP2) para HKEY_CLASSES_ROOT \. HTC \ tipo de contenido es “text / x-componente”. If there is a different value such as “{space}” in the registry, this may mean the machine is infected with Shadow bot malware. Si hay un valor diferente, como “espacio ()” en el registro, esto puede significar que la máquina está infectada con malware Shadow bot.

Continuar leyendo “Como saber si tu ordenador es un ZOMBIE”