Sign in to follow this  
aquilesvidal

Infectado por ACCDFISA 2.0 como brcode2017

Recommended Posts

Hola buenas tardes gente de soporte de Emsisoft, tengo un servidor HP con Windows Server 2012 que fue infectado con el ransomware [email protected] , según pude identificar del portal https://id-ransomware.malwarehunterteam.com/index.php?lang=es_ES se trata del ransomware ACCDFISA v2.0 , y comprimió archivos importantísimos de base de datos con extensión .mdf . Le corrí varios desencriptadores sin obtener una clave correcta, podrían ayudarme ?.  Adjunto un archivo .txt sano con uno comprimido por winrar por el ramsomware para que lo analicen. Desde ya muchas gracias.

ArchivosParaAnalisis.rar

Share this post


Link to post
Share on other sites

Lei los items de la guia de primeros pasos pero al tratarse de un servidor con una base de datos que tiene que estar activa porque sino "paraliza" un negocio con todos sus empleados, que son más de 15 personas, la idea es ponerlo en funcionamiento lo antes posible, y el ransomware no me dejaba ver nada porque anulaba el video, y los accesos por Terminal Server, después de mucho luchar lo pude arranca en modo seguro pero ya me encontré con todos los archivos encriptados.

Sobre las herramientas para desencriptar no hay ninguna para este ransomware ACCDFISA v2.0

Muchas gracias por ayudarme.

Share this post


Link to post
Share on other sites

tenía el Defender pero no tenía las últimas actualizaciones, no sé si aprovechó eso para infectarlo, aparentemente logró la contraseña RDP por fuerza bruta. El tema es que ni siquiera responden los hackers para "vendernos" la contraseña del winrar. Es totalmente desesperante la situación.

Share this post


Link to post
Share on other sites

No sé si esta info ayude... ya que estaba buscando info de este Ransomware y no existe herramienta actual para Desencriptar, supuestamente hace doble encriptación y así es muy difícil...

 

Share this post


Link to post
Share on other sites

From what I am seeing, this ransomware saves files in encrypted RAR archives. You could try file recovery tools and see if the originals are still on the filesystem, however I'm thinking that this ransomware deletes free space so that files can't be recovered.

In the case of ransomware like this, which uses secure encryption and generates new public/private keys for every computer it infects, usually there is no way to decrypt the files without getting the private key from the criminals who made the ransomware. You can try a tool such as ShadowExplorer, however ransomware like this usually deletes Volume Shadow Copies, so ShadowExplorer will usually find nothing. Even if the Volume Shadow Copies were not deleted, the odds of finding backup copies of files in them is pretty slim, since Windows would normally only leave backup copies of files in the Volume Shadow Copies if you were using Microsoft's own backup software for data backups (although sometimes the System Restore will save copies of files in the Volume Shadow Copies).
http://www.shadowexplorer.com/

In cases where the Volume Shadow Copies are deleted, then note that ransomware doesn't generally delete them securely, so it might be possible to use a file undelete utility to undelete the old Volume Shadow Copies, and then use ShadowExplorer to recover files, however this isn't necessarily straightforward to do (the computer will need to be running from a bootable disk to have write access to the "System Volume Information" folder, or the hard drive will need to be connected to another computer), and even if you can recover the old Volume Shadow Copies, as mentioned above the odds of there being backup copies of important files in them are low to begin with. Note that you may need to find a local computer technician who can assist you with this if you do want to try it.

Here's a link to a list of file recovery tools at Wikipedia:
https://en.wikipedia.org/wiki/List_of_data_recovery_software#File_Recovery

 

Since this was a system compromised via RDP, I will also leave instructions for dealing with that:

First I recommend temporarily disabling all port rules in your firewall (closing all open ports) until you can do a full audit of your firewall configuration and determine which ports need to remain open.

After that, change all passwords on any workstations and/or servers that are connected to the same network as the compromised system. Also be sure to change passwords on any online accounts, as well as any routers or switches (or other devices that have network-accessible administration functions).

I recommend that every account have a different password, that passwords be no shorter than 25 characters and be made up of a random combination of uppercase letters, lowercase letters, numbers, and symbols. Obviously passwords like that are difficult (if not impossible) to remember, so a password manager may be required in order to aid in managing passwords. KeePass is probably the simplest password manager, and stores password databases locally instead of on some "cloud" server. If something capable of automatically filling in passwords (or sharing passwords between multiple devices/users) is necessary then there are reasonable passwords managers from LastPass, bitwarden, 1Password, Dashlane, etc. Note that unlike KeePass, these password managers work as extensions added to web browsers (or apps on mobile phones), and they store password databases online.

When auditing your firewall configuration and preparing to reopen ports, I recommend never opening ports globally unless absolutely necessary. I also recommend requiring anyone who needs access to sensitive services (RDP, Windows Networking, etc) to connect to the network via a VPN so that you don't have to open ports for those services in the firewall, and then only open the VPN port in the firewall for IP addresses that need access to it. If someone who needs access has a dynamic IP, then many firewalls these days support something like Single Packet Authorization or Port Knocking to dynamically open ports for unknown IP addresses.

 

Traducción provista por Google:
Por lo que estoy viendo, este ransomware guarda archivos en archivos RAR encriptados. Podría probar las herramientas de recuperación de archivos y ver si los originales todavía están en el sistema de archivos, sin embargo, estoy pensando que este ransomware elimina el espacio libre para que los archivos no se puedan recuperar.

En el caso del ransomware como este, que usa cifrado seguro y genera nuevas claves públicas / privadas para cada computadora que infecta, generalmente no hay forma de descifrar los archivos sin obtener la clave privada de los delincuentes que crearon el ransomware. Puede probar una herramienta como ShadowExplorer, sin embargo, ransomware como este generalmente elimina Volume Shadow Copies, por lo que ShadowExplorer generalmente no encontrará nada. Incluso si las Volume Shadow Copies no se eliminaron, las probabilidades de encontrar copias de seguridad de archivos en ellas son bastante escasas, ya que Windows normalmente solo dejaría copias de seguridad de los archivos en Volume Shadow Copies si usaba el propio software de respaldo de Microsoft para copias de seguridad de datos (aunque a veces la restauración del sistema guardará copias de los archivos en las instantáneas de volumen).
http://www.shadowexplorer.com/

En los casos en que se eliminan las instantáneas de volumen, tenga en cuenta que ransomware generalmente no las elimina de forma segura, por lo que es posible utilizar una utilidad de recuperación de archivos para recuperar las copias de volúmenes anteriores y luego usar ShadowExplorer para recuperar archivos. esto no es necesariamente fácil de hacer (la computadora necesitará ejecutarse desde un disco de arranque para tener acceso de escritura a la carpeta "Información del volumen del sistema", o el disco duro deberá estar conectado a otra computadora), e incluso si puede recuperar las antiguas Shadow Copies de volumen, como se mencionó anteriormente, las probabilidades de que haya copias de seguridad de los archivos importantes en ellas son bajas para empezar. Tenga en cuenta que es posible que necesite encontrar un técnico en informática local que pueda ayudarlo con esto si desea probarlo.

Aquí hay un enlace a una lista de herramientas de recuperación de archivos en Wikipedia:
https://en.wikipedia.org/wiki/List_of_data_recovery_software#File_Recovery

Dado que este era un sistema comprometido a través de RDP, también dejaré instrucciones para tratar con eso:

Primero, recomiendo deshabilitar temporalmente todas las reglas de puerto en su firewall (cerrando todos los puertos abiertos) hasta que pueda hacer una auditoría completa de la configuración de su firewall y determinar qué puertos deben permanecer abiertos.

Después de eso, cambie todas las contraseñas en cualquier estación de trabajo y / o servidores que estén conectados a la misma red que el sistema comprometido. También asegúrese de cambiar las contraseñas en cualquier cuenta en línea, así como en cualquier enrutador o conmutador (u otros dispositivos que tengan funciones de administración accesibles en red).

Recomiendo que cada cuenta tenga una contraseña diferente, que las contraseñas no tengan menos de 25 caracteres y estén compuestas de una combinación aleatoria de letras mayúsculas, minúsculas, números y símbolos. Obviamente, las contraseñas de ese tipo son difíciles (si no imposibles) de recordar, por lo que puede ser necesario un administrador de contraseñas para ayudar a administrar las contraseñas. KeePass es probablemente el administrador de contraseñas más simple y almacena las bases de datos de contraseñas localmente en lugar de en un servidor "en la nube". Si es necesario rellenar contraseñas automáticamente (o compartir contraseñas entre múltiples dispositivos / usuarios), existen administradores de contraseñas razonables de LastPass, bitwarden, 1Password, Dashlane, etc. Tenga en cuenta que, a diferencia de KeePass, estos administradores de contraseñas funcionan como extensiones agregadas a navegadores web (o aplicaciones en teléfonos móviles), y almacenan bases de datos de contraseñas en línea.

Al auditar la configuración de su firewall y prepararse para volver a abrir los puertos, recomiendo no abrir puertos globalmente a menos que sea absolutamente necesario. También recomiendo pedir a cualquier persona que necesite acceso a servicios confidenciales (RDP, redes de Windows, etc.) que se conecte a la red a través de una VPN para que no tenga que abrir puertos para esos servicios en el firewall y luego solo abra la VPN. puerto en el firewall para direcciones IP que necesitan acceso a él. Si alguien que necesita acceso tiene una dirección IP dinámica, muchos servidores de seguridad en la actualidad admiten algo así como la Autorización de paquete único o la Llamada al puerto para abrir puertos dinámicamente para direcciones IP desconocidas.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.