ElevenPaths ElevenPaths Radio 3×12 – Entrevista a Andrea G. Rodríguez La transformación digital es una realidad a la que cada vez se suman más organizaciones en todo el mundo. En este proceso, la ciberseguridad es una necesidad global, ya...
ElevenPaths Boletín semanal de ciberseguridad 3-9 de abril Campaña de distribución de malware mediante LinkedIn El equipo de investigadores de eSentire ha publicado detalles sobre el análisis de una nueva campaña de distribución de malware a través de...
Área de Innovación y Laboratorio de ElevenPaths #CyberSecurityPulse, ahora la actualidad técnica se encuentra en nuestro nuevo canal de Telegram #CyberSecurityPulse nació como una lista de correo de ElevenPaths donde dos veces al mes se repasaba la actualidad de la ciberseguridad. Pero a partir de ahora, se transforma en...
Juan Elosua Tomé Triki: herramienta de recolección y análisis de cookies En julio de 2020, la Agencia Española de Protección de Datos, tras la entrada en vigor del Reglamento General de Protección de Datos europeo y varias consultas al Comité...
ElevenPaths ElevenPaths Radio 3×12 – Entrevista a Andrea G. Rodríguez La transformación digital es una realidad a la que cada vez se suman más organizaciones en todo el mundo. En este proceso, la ciberseguridad es una necesidad global, ya...
ElevenPaths Boletín semanal de ciberseguridad 3-9 de abril Campaña de distribución de malware mediante LinkedIn El equipo de investigadores de eSentire ha publicado detalles sobre el análisis de una nueva campaña de distribución de malware a través de...
ElevenPaths Noticias de Ciberseguridad: Boletín semanal 14-20 de noviembre Campaña de distribución de malware suplanta la identidad de ministerios españoles Investigadores de ESET alertan de la existencia de una campaña de distribución de malware en la que se estaría...
ElevenPaths ElevenPaths discovers the Popcorn ransomware passwords: no need to infect other people to decrypt for free MalwareHunterTeam has discovered a new variant of ransomware that is quite curious. At ElevenPaths we have been able to download and analyze the new improved versions that make several...
ElevenPaths Entrevista: hablamos de familia, tecnología y #MujeresHacker con María Zabala No te pierdas esta entrevista a María Zabala, periodista, consultora en comunicación y fundadora de iWomanish.
ElevenPaths Consejos para descargar apps de forma segura Tanto si utilizas Android como Apple, no te pierdas estos consejos para descargar aplicaciones sin perder de vista tu ciberseguridad.
ElevenPaths #CodeTalks4Devs – Rubika: un sistema Anti-Rubber Hose basado en el Cubo de Rubik Segundo capítulo de la cuarta temporada de Code Talks for Devs. Enrique Blanco te muestra Rubika, un sistema Anti-Rubber Hose basado en el cubo de Rubik.
ElevenPaths Noticias de Ciberseguridad: Boletín semanal 5-11 de diciembre Boletín de seguridad de Microsoft Microsoft publicó el pasado 8 de diciembre su boletín mensual de actualizaciones de seguridad, que en esta ocasión incluye parches para 58 vulnerabilidades y un...
Telefónica WannaCry File Restorer ¿Cómo recuperar información borrada por WannaCry?ElevenPaths 18 mayo, 2017 Cuando ocurren este tipo de situaciones en las organizaciones debemos recordar dónde tenemos ubicados los ficheros replicados con la información que en alguna instancia ha podido ser afectada por la infección de un malware o, en este caso que nos ocupa, por un ransomware. Una buena práctica es acordarse dónde se encuentra la información y una vez se ha llevado a cabo la limpieza de la infección, os queremos recordar que: Los propios ficheros no cifrados que no fueron afectados por el malware o que no dio tiempo a que éste los afectara. Os mostraremos en este artículo un trick que permitiría recuperar parcialmente información afectada por Wannacry. Los backups y copias de seguridad que tengamos de nuestra información, generalmente, no conectada a la red. Información de unidades compartidas y las unidades en la cloud. Información en el correo de Office365 y unidades de datos de Office 365. Información en dispositivos extraíbles, como puede ser un pendrive. Documentos temporales de Word, Excel o PowerPoint. Si la infección se produce cuando tenemos un documento abierto, es probable que éste haya generado un archivo temporal en el sistema. Estas extensiones no están en el radar de Wannacry, por lo que dichos archivos no serán cifrados. Una vez desinfectado, la próxima vez que se abra Word, Excel o PowerPoint podríamos recuperar dicho archivo abierto en el momento de la infección. Una vez que hemos desinfectado nuestro equipo podríamos volver a los archivos temporales que se generaron durante el momento de la infección. Otra recomendación que os damos es disponer en los equipos, puntos de restauración, de modo que se pueda volver a un punto anterior de ejecución del sistema. De esta forma, el usuario puede acceder a un estado anterior dónde no había infección y se puede parchear la vulnerabilidad y no sufrir daños, ni perder datos. A continuación, te mostramos otra forma de recuperación mediante la herramienta RECUVA. Hemos estado trabajando de una forma continua durante varios días para conocer al máximo detalle los efectos y debilidades del ransomware Wannacry. Hoy queremos explicaros los detalles que hemos ido conociendo para seguir con la lucha contra este tipo de lacra que amenaza a usuarios y a organizaciones. Se recomienda que este tipo de procedimientos en organizaciones solo sean ejecutados por los equipos de TI de la organización. Hemos observado que el ransomware tiene dos formas identificadas de llevar a cabo el proceso de cifrado. En ambas formas Wannacry utiliza una carpeta temporal para mover los archivos elegidos que el malware va a cifrar. Gracias a esto, se puede realizar un trick para poder recuperar parte de los archivos afectados por el ransomware. En el primer caso, el malware identificará que el equipo tiene una partición de datos y utilizará la ruta %userprofile%appdatalocaltemp para mover los archivos y que Wannacry cifrará. El primer archivo que se mueve, es renombrado a 0.WNCRYT, el segundo, 1.WNCRYT y así sucesivamente. Wannacry irá cifrando cada uno de esos archivos a [nombre].WNCRY e instantes después, eliminará el fichero *.WNCRYT correspondiente. El fichero almacenado en %userprofile%appdatalocaltemp es un archivo temporal y no está cifrado, solo se ha movido a esa ubicación y renombrado, por lo que se puede recuperar su contenido, ya que éste no se ha cifrado. Hay que tener en cuenta, que el ransomware va intercalando mover archivos a la carpeta temporal y el cifrado de éstos. Por esta razón, no se podrá recuperar todos los archivos. En el segundo caso, el malware identifica que un equipo dónde se está ejecutando tiene dos particiones de datos, creando en la raíz de la segunda partición una carpeta denominada $RECYCLE, la cual no debemos confundir con $RECYCLE.BIN. En esta carpeta $RECYCLE realiza el mismo proceso que en el caso anterior, en el que se van moviendo los archivos a dicha carpeta con objetivo de cifrarlos. Mientras el archivo se encuentre con la extensión WNCRYT, el archivo no se ha perdido, por no estar cifrado. En el instante que Wannacry cifra el archivo WNCRYT y lo convierte en el archivo WNCRY ya cifrado. La pregunta es, ¿cuándo podemos encontrar este tipo de archivos? Por desgracia, no siempre. Cuando Wannacry cifra un archivo, el archivo temporal correspondiente es eliminado, por lo que se habría perdido. Si un usuario ha apagado o hibernado el equipo en un momento determinado de la ejecución o el cifrado del malware se habrá detenido el proceso, por lo que todos los ficheros que estuvieran en temporales, con extensión WNCRYT que no hubieran sido cifrados y posteriormente, eliminados, éstos serían recuperables. Dichos archivos temporales, se mantienen en %userprofile%appdatalocaltemp o $RECYCLE, dependiendo de los casos explicados anteriormente, siendo los mismos archivos que la víctima tenía, pero con otra extensión. Si el ransomware ha terminado el proceso de cifrado de todos los archivos no queda ningún archivo temporal, por lo que no se podría recuperar mediante este método. Si, por el contrario, el ransomware no ha terminado el proceso de cifrado y el equipo se ha hibernado o apagado o se ha detenido el proceso de Wannacry, por lo que se podría llevar a cabo este proceso de recuperación parcial de información. Por ejemplo, en la imagen anterior veíamos una gran cantidad de archivos temporales que Wannacry no había podido cifrar todavía. Si abriéramos uno de estos ficheros podemos visualizar que, en este caso, se trata de un archivo PDF por su cabecera. Simplemente renombrando la extensión del archivo, podríamos volver a recuperar éste y su contenido. Para poder saber qué tipo de archivo es, os recomendamos analizar la cabecera del fichero, ya que el nombre original del archivo no está disponible. En la siguiente imagen, podéis visualizar como abrimos el archivo que se acabamos de renombrar. Procedemos a cambiar el archivo del nombre 11339.WNCRYT a 11339.WNCRYT.pdf, cuando lo abrimos desde Windows se abre la aplicación asociada por defecto a la extensión., Como podéis ver en la imagen el archivo está intacto. A continuación, os mostramos un script denominado Telefónica WannaCry File Restorer que hemos desarrollado en el laboratorio de Telefónica con el objetivo de poder recuperar y restaurar los archivos y extensiones de los ficheros afectados. Telefonica Wannacry File Restorer v0.1 Alpha Aquí podéis encontrar también, el script versión Alpha en nuestro GitHub, el cual estaremos actualizandolo de una forma constante. » Telefónica WannaCry File Restorer en GitHub » Telefónica WannaCry File Restorer en GitHub (versión escritorio) Además, os recordamos que para evitar que este o cualquier otro ransomware en el futuro puedan cifraros vuestros archivos personales, podéis utilizar la herramienta que hicimos en ElevenPaths llamada Latch Antiransomware. En el siguiente vídeo podéis ver cómo funciona: Instalación y configuración de Latch Antiransomware Latch ARW: Una herramienta AntiRansomware WannaCry con Latch AntiRansomware Big Data for Social Good in Action 2017Wannacry File Restorer Alpha 0.1 versión escritorio ya disponible
ElevenPaths Entrevista: hablamos de familia, tecnología y #MujeresHacker con María Zabala No te pierdas esta entrevista a María Zabala, periodista, consultora en comunicación y fundadora de iWomanish.
ElevenPaths Consejos para descargar apps de forma segura Tanto si utilizas Android como Apple, no te pierdas estos consejos para descargar aplicaciones sin perder de vista tu ciberseguridad.
ElevenPaths ElevenPaths Radio 3×12 – Entrevista a Andrea G. Rodríguez La transformación digital es una realidad a la que cada vez se suman más organizaciones en todo el mundo. En este proceso, la ciberseguridad es una necesidad global, ya...
ElevenPaths Boletín semanal de ciberseguridad 3-9 de abril Campaña de distribución de malware mediante LinkedIn El equipo de investigadores de eSentire ha publicado detalles sobre el análisis de una nueva campaña de distribución de malware a través de...
Mónica Rentero Alonso de Linaje Sí, los cerebros femeninos están programados para la tecnología ¿Está la mente femenina programada para la tecnología? Sí, así, como suena. Esa fue la primera gran pregunta que sonó en mi cabeza en el primer año de carrera....
ElevenPaths ¿De verdad necesito un antivirus? La ciberseguridad es uno de los temas más en boga por su imparable crecimiento y desarrollo, cada vez es más frecuente su presencia en los medios de información, principalmente...
… y un poco de Sangre Fría … para no fallar … en muchos casos es similar a una operación a corazón abierto… pero el paciente lo tienes detrás del hombro (y sin sedar) Responder
Buen artículo y script! Quizá hubiera estado bien desarrollar un poco más la opción y posibilidades que ofrece un escáner de superficie como Recuva. Teniendo en cuenta la pérdida de su eficacia cuando seguimos utilizando el PC. Responder
Se os olvida decir que el directorio $RECYCLED suele estar oculto con atributos de sistema y oculto. Si no los quitas no lo ves. Responder
En serio es sólo convertir en texto plano y cambiar el nombre lo que hace el grande, único y super poderoso wannacry??? Responder
quisiera hacer la prueba , descarque la version de escritorio pero no se como ejecutarlo, alguien podria explicarme los pasos? Responder