¿Te atreves a descifrar estos archivos secuestrados por un malware? Concurso #EquinoxRoom111

Área de Innovación y Laboratorio de ElevenPaths    1 abril, 2019
¿Te atreves a descifrar estos archivos secuestrados por un malware? Concurso #EquinoxRoom111

Mientras investigábamos un nuevo ransomware en nuestro laboratorio, hemos detonado la muestra en nuestro sandbox, pero, por accidente, también se ha propagado hacia un sistema algo más crítico. En él estudiábamos los efectos de un generador de números aleatorios muy pobre (que teníamos configurado en ese momento al mínimo) y que consistía en un cluster dedos máquinas, ambas infectadas ahora.

El malware ha aprovechado este sistema de generación para cifrar todos nuestros ficheros, estamos desesperados. Por lo que hemos averiguado, sigue el esquema habitual de infección:

  • Cifra con sistema simétrico el archivo, con una contraseña generada para la ocasión.
  • Adjunta esa clave al fichero, cifrada a su vez con un certificado RSA.
  • El malware ha generado un certificado diferente para cada máquina, pero disponemos de un archivo de cada máquina y por tanto, dos certificados.

Ya hemos eliminado el vector de infección, el binario y realizado el forense post-mortem. Nos falta recuperar la información, y para eso os pedimos ayuda. Os dejamos aquí dos archivos cifrados, uno de cada máquina, para que podáis analizarlos. ¡Saca el criptógrafo que llevas dentro!

Por favor, enviadnos cuanto antes el contenido recuperado de los dos, junto con una explicación técnica de cómo se ha solucionado, a innovationlab@11paths.com, para poder continuar con nuestro trabajo de investigación. ¡Gracias!

Esta es una variante del juego presentado el pasado fin de semana en nuestro concurso interno Equinox. El ganador obtendrá un cheque regalo de 111 euros canjeables en Amazon.

Reglas del juego #EquinoxRoom111:

  • No podrán participar empleados de Telefónica.
  • La solución podrá presentarse individualmente o como grupo.
  • No está permitido divulgar la solución o pistas definitivas que lleven a ella y podrían llegar a invalidar la propuesta de solución.
  • Se premia no solo el orden de recepción de la solución, si no que ésta deberá explicarse técnicamente y de forma gráfica, si procede, en un documento.
  • En caso de duda, se valorará de forma muy positiva la profundidad técnica así como de soluciones alternativas.

La solución se comunicará la semana que viene a través del blog. A la dirección de correo electrónico innovationlab@11paths.comse deberá enviar solución y explicación. No se contestará a las peticiones de pistas o similares.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *