Área de Innovación y Laboratorio de ElevenPaths ¿Quieres realizar tu TFG o TFM sobre un reto tecnológico tutorizado nuestros expertos? II Edición del Programa TUTORÍA Un año más lanzamos nuestro programa TUTORÍA: Tutorización Universitaria para la Transferencia y Observatorio de Retos de Innovación Avanzada. Coordinado por ElevenPaths y destinado al asesoramiento, ayuda y orientación...
ElevenPaths ElevenPaths Radio 3×03 – Entrevista a María Campos La seguridad informática estuvo ligada en sus inicios al PC. Luego, se extendió a los servidores; después, a los dispositivos móviles; ahora, todo está conectado con todo. Nuevos escenarios...
ElevenPaths ElevenPaths acerca el cambio de paradigma de la ciberseguridad y la transformación digital de la nueva era en el SID 2020 La compañía de ciberseguridad de Telefónica Tech celebra su VIII Security Innovation Days, esta vez en un formato virtual y ampliando de una a tres medias jornadas, los días...
ElevenPaths Vente a crear tecnología a la unidad Chief Data Office de Telefónica ¡Hola Hacker! La tecnología está en constante evolución y nosotros con ella. Por eso, desde Telefónica, a través de la unidad de Chief Data Office (CDO) liderada por Chema Alonso,...
Sergio De Los Santos Dime qué datos solicitas a Apple y te diré qué tipo de gobierno eres (II) Hace poco hemos sabido que España envió 1.353 solicitudes gubernamentales para acceder a datos de usuarios de Facebook en la primera mitad de 2020. Gracias al informe de transparencia...
ElevenPaths Noticias de Ciberseguridad: Boletín semanal 14-20 de noviembre Campaña de distribución de malware suplanta la identidad de ministerios españoles Investigadores de ESET alertan de la existencia de una campaña de distribución de malware en la que se estaría...
ElevenPaths EMET, ¿es oro todo lo que reluce? EMET, de Microsoft, es una gran herramienta, pero a medida que gana popularidad, parece que se van encontrando algunos fallos, según algunos titulares recientes. ¿Pero qué hay de cierto?...
ElevenPaths Faast already detects “Logjam”: Imperfect Forward Secrecy Faast teams have been working all day long to add a new plugin to our list of detected vulnerabilities. There has been found a new security problem in TLS...
Área de Innovación y Laboratorio de ElevenPaths ¿Quieres realizar tu TFG o TFM sobre un reto tecnológico tutorizado nuestros expertos? II Edición del Programa TUTORÍA Un año más lanzamos nuestro programa TUTORÍA: Tutorización Universitaria para la Transferencia y Observatorio de Retos de Innovación Avanzada. Coordinado por ElevenPaths y destinado al asesoramiento, ayuda y orientación...
ElevenPaths ElevenPaths Radio 3×03 – Entrevista a María Campos La seguridad informática estuvo ligada en sus inicios al PC. Luego, se extendió a los servidores; después, a los dispositivos móviles; ahora, todo está conectado con todo. Nuevos escenarios...
ElevenPaths ElevenPaths Radio 3×03 – Entrevista a María Campos La seguridad informática estuvo ligada en sus inicios al PC. Luego, se extendió a los servidores; después, a los dispositivos móviles; ahora, todo está conectado con todo. Nuevos escenarios...
ElevenPaths ElevenPaths Radio 2×11 – Entrevista a Fran Ramírez y Rafa Troncoso Realizamos un repaso histórico sobre el papel de la mujer en la informática con Fran Ramírez y Rafa Troncoso, administradores del blog CyberHades.
Telefónica WannaCry File Restorer ¿Cómo recuperar información borrada por WannaCry?ElevenPaths 18 mayo, 2017 Cuando ocurren este tipo de situaciones en las organizaciones debemos recordar dónde tenemos ubicados los ficheros replicados con la información que en alguna instancia ha podido ser afectada por la infección de un malware o, en este caso que nos ocupa, por un ransomware. Una buena práctica es acordarse dónde se encuentra la información y una vez se ha llevado a cabo la limpieza de la infección, os queremos recordar que: Los propios ficheros no cifrados que no fueron afectados por el malware o que no dio tiempo a que éste los afectara. Os mostraremos en este artículo un trick que permitiría recuperar parcialmente información afectada por Wannacry. Los backups y copias de seguridad que tengamos de nuestra información, generalmente, no conectada a la red. Información de unidades compartidas y las unidades en la cloud. Información en el correo de Office365 y unidades de datos de Office 365. Información en dispositivos extraíbles, como puede ser un pendrive. Documentos temporales de Word, Excel o PowerPoint. Si la infección se produce cuando tenemos un documento abierto, es probable que éste haya generado un archivo temporal en el sistema. Estas extensiones no están en el radar de Wannacry, por lo que dichos archivos no serán cifrados. Una vez desinfectado, la próxima vez que se abra Word, Excel o PowerPoint podríamos recuperar dicho archivo abierto en el momento de la infección. Una vez que hemos desinfectado nuestro equipo podríamos volver a los archivos temporales que se generaron durante el momento de la infección. Otra recomendación que os damos es disponer en los equipos, puntos de restauración, de modo que se pueda volver a un punto anterior de ejecución del sistema. De esta forma, el usuario puede acceder a un estado anterior dónde no había infección y se puede parchear la vulnerabilidad y no sufrir daños, ni perder datos. A continuación, te mostramos otra forma de recuperación mediante la herramienta RECUVA. Hemos estado trabajando de una forma continua durante varios días para conocer al máximo detalle los efectos y debilidades del ransomware Wannacry. Hoy queremos explicaros los detalles que hemos ido conociendo para seguir con la lucha contra este tipo de lacra que amenaza a usuarios y a organizaciones. Se recomienda que este tipo de procedimientos en organizaciones solo sean ejecutados por los equipos de TI de la organización. Hemos observado que el ransomware tiene dos formas identificadas de llevar a cabo el proceso de cifrado. En ambas formas Wannacry utiliza una carpeta temporal para mover los archivos elegidos que el malware va a cifrar. Gracias a esto, se puede realizar un trick para poder recuperar parte de los archivos afectados por el ransomware. En el primer caso, el malware identificará que el equipo tiene una partición de datos y utilizará la ruta %userprofile%appdatalocaltemp para mover los archivos y que Wannacry cifrará. El primer archivo que se mueve, es renombrado a 0.WNCRYT, el segundo, 1.WNCRYT y así sucesivamente. Wannacry irá cifrando cada uno de esos archivos a [nombre].WNCRY e instantes después, eliminará el fichero *.WNCRYT correspondiente. El fichero almacenado en %userprofile%appdatalocaltemp es un archivo temporal y no está cifrado, solo se ha movido a esa ubicación y renombrado, por lo que se puede recuperar su contenido, ya que éste no se ha cifrado. Hay que tener en cuenta, que el ransomware va intercalando mover archivos a la carpeta temporal y el cifrado de éstos. Por esta razón, no se podrá recuperar todos los archivos. En el segundo caso, el malware identifica que un equipo dónde se está ejecutando tiene dos particiones de datos, creando en la raíz de la segunda partición una carpeta denominada $RECYCLE, la cual no debemos confundir con $RECYCLE.BIN. En esta carpeta $RECYCLE realiza el mismo proceso que en el caso anterior, en el que se van moviendo los archivos a dicha carpeta con objetivo de cifrarlos. Mientras el archivo se encuentre con la extensión WNCRYT, el archivo no se ha perdido, por no estar cifrado. En el instante que Wannacry cifra el archivo WNCRYT y lo convierte en el archivo WNCRY ya cifrado. La pregunta es, ¿cuándo podemos encontrar este tipo de archivos? Por desgracia, no siempre. Cuando Wannacry cifra un archivo, el archivo temporal correspondiente es eliminado, por lo que se habría perdido. Si un usuario ha apagado o hibernado el equipo en un momento determinado de la ejecución o el cifrado del malware se habrá detenido el proceso, por lo que todos los ficheros que estuvieran en temporales, con extensión WNCRYT que no hubieran sido cifrados y posteriormente, eliminados, éstos serían recuperables. Dichos archivos temporales, se mantienen en %userprofile%appdatalocaltemp o $RECYCLE, dependiendo de los casos explicados anteriormente, siendo los mismos archivos que la víctima tenía, pero con otra extensión. Si el ransomware ha terminado el proceso de cifrado de todos los archivos no queda ningún archivo temporal, por lo que no se podría recuperar mediante este método. Si, por el contrario, el ransomware no ha terminado el proceso de cifrado y el equipo se ha hibernado o apagado o se ha detenido el proceso de Wannacry, por lo que se podría llevar a cabo este proceso de recuperación parcial de información. Por ejemplo, en la imagen anterior veíamos una gran cantidad de archivos temporales que Wannacry no había podido cifrar todavía. Si abriéramos uno de estos ficheros podemos visualizar que, en este caso, se trata de un archivo PDF por su cabecera. Simplemente renombrando la extensión del archivo, podríamos volver a recuperar éste y su contenido. Para poder saber qué tipo de archivo es, os recomendamos analizar la cabecera del fichero, ya que el nombre original del archivo no está disponible. En la siguiente imagen, podéis visualizar como abrimos el archivo que se acabamos de renombrar. Procedemos a cambiar el archivo del nombre 11339.WNCRYT a 11339.WNCRYT.pdf, cuando lo abrimos desde Windows se abre la aplicación asociada por defecto a la extensión., Como podéis ver en la imagen el archivo está intacto. A continuación, os mostramos un script denominado Telefónica WannaCry File Restorer que hemos desarrollado en el laboratorio de Telefónica con el objetivo de poder recuperar y restaurar los archivos y extensiones de los ficheros afectados. Telefonica Wannacry File Restorer v0.1 Alpha Aquí podéis encontrar también, el script versión Alpha en nuestro GitHub, el cual estaremos actualizandolo de una forma constante. » Telefónica WannaCry File Restorer en GitHub » Telefónica WannaCry File Restorer en GitHub (versión escritorio) Además, os recordamos que para evitar que este o cualquier otro ransomware en el futuro puedan cifraros vuestros archivos personales, podéis utilizar la herramienta que hicimos en ElevenPaths llamada Latch Antiransomware. En el siguiente vídeo podéis ver cómo funciona: Instalación y configuración de Latch Antiransomware Latch ARW: Una herramienta AntiRansomware WannaCry con Latch AntiRansomware Big Data for Social Good in Action 2017Wannacry File Restorer Alpha 0.1 versión escritorio ya disponible
Área de Innovación y Laboratorio de ElevenPaths ¿Quieres realizar tu TFG o TFM sobre un reto tecnológico tutorizado nuestros expertos? II Edición del Programa TUTORÍA Un año más lanzamos nuestro programa TUTORÍA: Tutorización Universitaria para la Transferencia y Observatorio de Retos de Innovación Avanzada. Coordinado por ElevenPaths y destinado al asesoramiento, ayuda y orientación...
ElevenPaths ElevenPaths Radio 3×03 – Entrevista a María Campos La seguridad informática estuvo ligada en sus inicios al PC. Luego, se extendió a los servidores; después, a los dispositivos móviles; ahora, todo está conectado con todo. Nuevos escenarios...
Sergio De Los Santos Dime qué datos solicitas a Apple y te diré qué tipo de gobierno eres (II) Hace poco hemos sabido que España envió 1.353 solicitudes gubernamentales para acceder a datos de usuarios de Facebook en la primera mitad de 2020. Gracias al informe de transparencia...
ElevenPaths Noticias de Ciberseguridad: Boletín semanal 14-20 de noviembre Campaña de distribución de malware suplanta la identidad de ministerios españoles Investigadores de ESET alertan de la existencia de una campaña de distribución de malware en la que se estaría...
Diego Samuel Espitia Usando librerías de desarrollo para desplegar malware Los ciberdelincuentes buscan estrategias para lograr sus objetivos: en algunos casos se trata información de usuarios; en otros, conexiones; otras veces generan redes de equipos bajo su control (botnets),...
César Farro Marina de Guerra del Perú y Telefónica firman convenio de colaboración en ciberseguridad Antecedentes Entre el 26 de julio y el 11 de agosto del año pasado, en Lima-Perú, se realizaron los XVIII Juegos Panamericanos, también llamados Lima 2019. En ellos participaron más...
… y un poco de Sangre Fría … para no fallar … en muchos casos es similar a una operación a corazón abierto… pero el paciente lo tienes detrás del hombro (y sin sedar) Responder
Buen artículo y script! Quizá hubiera estado bien desarrollar un poco más la opción y posibilidades que ofrece un escáner de superficie como Recuva. Teniendo en cuenta la pérdida de su eficacia cuando seguimos utilizando el PC. Responder
Se os olvida decir que el directorio $RECYCLED suele estar oculto con atributos de sistema y oculto. Si no los quitas no lo ves. Responder
En serio es sólo convertir en texto plano y cambiar el nombre lo que hace el grande, único y super poderoso wannacry??? Responder
quisiera hacer la prueba , descarque la version de escritorio pero no se como ejecutarlo, alguien podria explicarme los pasos? Responder
