Utilizamos cookies propias y de terceros para prestar nuestros servicios y mostrar publicidad relacionada con sus preferencias.
Si continua navegando, consideramos que acepta su uso. Puede obtener más información, o bien conocer cómo cambiar la configuración, en nuestra Política de cookies.
  Hawkers 2017 Codigo FC20
INICIO FORO
Regresar   ForoCoches > Zona General > Electrónica / Informática

  CryptoCheck [Actuación contra CRYPTOLOCKER y otros RAMSONWARE]  
Respuesta

 
Herramientas
Viejo 30-mar-2016, 08:37   #1
Cryptocheck
ForoCoches: Usuario
 
Mar 2016 | 5 Mens.
CryptoCheck [Actuación contra CRYPTOLOCKER y otros RAMSONWARE]

Hace algun tiempo he estado preparando un pequeño un proceso por lotes (de modo que es totalmente transparente que hace y ademas editable 100%) que pueda en caso de infección minimizar los daños que estos ocasionan.

Para conseguir esto simplemente analice como funcionan y pensé en que algo sencillo seria usar un cebo de modo que cuando el virus lo picara el equipo corte comunicacion (para evitar encriptado de unidades de red como NAS) y el apagado del equipo.

Ojala esto sirva para que gente con mayor niveles de programación pueda implementar una herramienta que lo haga mas eficiente y configurable, iba a distribuirlo en modo EXE pero de este modo se evitan suspicacias y se puede avanzar mas en el tema (a ver si así este tipo de "virus" pasan al olvido)


Los pasos previos:

En primer lugar es necesario añadir en el punto de creacion de tarea el usuario y password de un administrador local.


Por otro lado se va a autocrear el fichero por lotes que hace el chequeo la primera vez que se ejecute este y se llamara cryptocheck.bat y se guarda en la carpeta WINDOWS

Adicionalmente va a crear un fichero llamado aaaaaa.doc en la carpeta de "Mis documentos" es IMPORTANTISIMO que no se borre ni modifique ese fichero ya que es el que va a chequear cada MINUTO (esto es editable en la tarea programada que se crea) y en caso de no existir (porque el encriptador le habrá cambiado la extension) haga lo siguiente:


- Cortar la conexion de todas las redes en ese equipo
- Generar un fichero llamado alerta.txt (de modo que si se reinicia la maquina vuelva a cortar la comunicacion y reiniciar el equipo pasados X segundos)
- Mostrar un mensaje indicando el peligro (puedes editar ese mensaje)
- Apagar el equipo

Basicamente eso, editar el usuario y password de administrador, guardar lo que es codigo en un fichero bat y ejecutarlo.


Si borras o editas por error el fichero aaaaaa.doc es tan simple como reiniciar y volver a crearle




El código

Código:
**************************************************************
Diseñado por Alberto Pereda v1.7
**************************************************************


**************************************************************

-----------------------------------------
rem ##Verificamos si la tarea esta creada
-----------------------------------------

%systemdrive%


cd\
cd "Windows"
if exist "cryptocheck.bat" goto fin
**************************************************************






**************************************************************


------------------------------------------------------------
rem ##Sino esta creada la tarea, creamos la tarea programada
------------------------------------------------------------


SCHTASKS /Create /RU <Aqui meter usuario administrador local comun o de dominio con permisos> /RP <Password> /SC MINUTE /TN CryptoCheck /TR "%systemdrive%\Windows\cryptocheck.bat" /ST 06:00 /RL HIGHEST

**************************************************************


**************************************************************

--------------------------------------------------
rem ##Generación del programa por lotes CrytoCheck
--------------------------------------------------

%systemdrive%
cd\
cd "Windows"
echo > cryptocheck.bat








echo. @Echo OFF >> cryptocheck.bat
echo.
echo.
echo.
echo.
echo ********************************************************************************************* >> cryptocheck.bat
echo ---------------------------- >> cryptocheck.bat
echo rem Comprobar si hay peligro >> cryptocheck.bat
echo ---------------------------- >> cryptocheck.bat
echo. >> cryptocheck.bat
echo %systemdrive% >> cryptocheck.bat
echo.>> cryptocheck.bat
echo cd "Windows"
echo if exist alerta.txt goto bloquear>> cryptocheck.bat
echo.>> cryptocheck.bat
echo.>> cryptocheck.bat
echo cd\ >> cryptocheck.bat
echo cd "%userprofile%/Documents" >> cryptocheck.bat
echo if exist aaaaaa.doc goto ok >> cryptocheck.bat
echo else goto peligro >> cryptocheck.bat
echo. >> cryptocheck.bat
echo ********************************************************************************************* >> cryptocheck.bat
echo. >> cryptocheck.bat
echo. >> cryptocheck.bat
echo. >> cryptocheck.bat
echo :peligro >> cryptocheck.bat
echo. >> cryptocheck.bat
echo. >> cryptocheck.bat
echo. >> cryptocheck.bat
echo ******************************************************************************************** >> cryptocheck.bat
echo --------------------- >> cryptocheck.bat
echo rem Equipo en peligro >> cryptocheck.bat
echo --------------------- >> cryptocheck.bat
echo. >> cryptocheck.bat >> cryptocheck.bat
echo %systemdrive% >> cryptocheck.bat
echo. >> cryptocheck.bat >> cryptocheck.bat
echo cd\ >> cryptocheck.bat
echo cd "Windows" >> cryptocheck.bat
echo echo >> alerta.txt >> cryptocheck.bat
echo. >> cryptocheck.bat
echo ********************************************************************************************* >> cryptocheck.bat
echo. >> cryptocheck.bat
echo. >> cryptocheck.bat
echo :bloquear >> cryptocheck.bat
echo. >> cryptocheck.bat
echo ********************************************************************************************* >> cryptocheck.bat
echo. >> cryptocheck.bat
echo ---------------------- >> cryptocheck.bat
echo rem Equipo Restringido >> cryptocheck.bat
echo ---------------------- >> cryptocheck.bat
echo. >> cryptocheck.bat
echo. >> cryptocheck.bat
echo ipconfig /release >> cryptocheck.bat
echo shutdown -s -t 100 -c "Su equipo supone un amenaza de seguridad y va a proceder a apagarse contacte con su departamento de IT" >> cryptocheck.bat
echo. >> cryptocheck.bat
echo exit >> cryptocheck.bat
echo. >> cryptocheck.bat
echo ********************************************************************************************* >> cryptocheck.bat
echo. >> cryptocheck.bat
echo. >> cryptocheck.bat
echo. >> cryptocheck.bat
echo ********************************************************************************************* >> cryptocheck.bat
echo. >> cryptocheck.bat
echo ----------------- >> cryptocheck.bat
echo rem Equipo Seguro >> cryptocheck.bat
echo ----------------- >> cryptocheck.bat
echo. >> cryptocheck.bat
echo :ok >> cryptocheck.bat
echo. >> cryptocheck.bat
echo. >> cryptocheck.bat
echo ********************************************************************************************* >> cryptocheck.bat
echo. >> cryptocheck.bat
echo. >> cryptocheck.bat
echo :fin >> cryptocheck.bat


**************************************************************
Cryptocheck está desconectado   Responder Con Cita


Viejo 30-mar-2016, 08:38   #2
Mc_Roy
ForoCoches: Miembro
 
Sep 2013 | 5.617 Mens.
Lugar: Valencia

A3

Mis dies
Mc_Roy está desconectado   Responder Con Cita
Viejo 30-mar-2016, 08:40   #3
facepalm88
ForoCoches: Miembro
 
Avatar de facepalm88
 
Feb 2014 | 2.974 Mens.
Buen aporte shur, lo probaré.
De todos modos ¿sabemos como actua? Quiero decir, ¿suele ser recursivo por todos los archivos por orden alfabético, comenzando por la letra de sistema?
facepalm88 está desconectado   Responder Con Cita


 

 

Viejo 30-mar-2016, 08:42   #4
SalamiMaster
ForoCoches: Miembro
 
Avatar de SalamiMaster
 
Feb 2016 | 3.439 Mens.
Lugar: Pillo Sitio

uno que corre

mis dies. ¿Sabes que de esto se pueden sacar muchas cositas no?

Plataforma Oficial Ducati - Shurducatistas
Plataforma: Amantes del Tenis
SalamiMaster está desconectado   Responder Con Cita


 

 

Viejo 30-mar-2016, 08:42   #5
iroal
ForoCoches: Miembro
 
Nov 2008 | 2.223 Mens.
Excelente idea.
iroal está desconectado   Responder Con Cita
Viejo 30-mar-2016, 08:43   #6
Cryptocheck
ForoCoches: Usuario
 
Mar 2016 | 5 Mens.
Cita:
Originalmente Escrito por facepalm88 Ver Mensaje
Buen aporte shur, lo probaré.
De todos modos ¿sabemos como actua? Quiero decir, ¿suele ser recursivo por todos los archivos por orden alfabético, comenzando por la letra de sistema?
Me imagino que así lo hará, en todo caso se puede generar varios cebos distintos (primero en listado, ultimo en listado, mayor tamaño y menor tamaño)

He ahi el tema de hacerlo abierto al 100% para que se pueda aportar entre todos mejoras
Cryptocheck está desconectado   Responder Con Cita
Viejo 30-mar-2016, 08:44   #7
Cryptocheck
ForoCoches: Usuario
 
Mar 2016 | 5 Mens.
Cita:
Originalmente Escrito por SalamiMaster Ver Mensaje
mis dies. ¿Sabes que de esto se pueden sacar muchas cositas no?

Pues quiero mis royalties
Cryptocheck está desconectado   Responder Con Cita
Viejo 30-mar-2016, 08:48   #8
SalamiMaster
ForoCoches: Miembro
 
Avatar de SalamiMaster
 
Feb 2016 | 3.439 Mens.
Lugar: Pillo Sitio

uno que corre

Cita:
Originalmente Escrito por Cryptocheck Ver Mensaje
Hace algun tiempo he estado preparando un pequeño un proceso por lotes (de modo que es totalmente transparente que hace y ademas editable 100%) que pueda en caso de infección minimizar los daños que estos ocasionan.

Para conseguir esto simplemente analice como funcionan y pensé en que algo sencillo seria usar un cebo de modo que cuando el virus lo picara el equipo corte comunicacion (para evitar encriptado de unidades de red como NAS) y el apagado del equipo.

Ojala esto sirva para que gente con mayor niveles de programación pueda implementar una herramienta que lo haga mas eficiente y configurable, iba a distribuirlo en modo EXE pero de este modo se evitan suspicacias y se puede avanzar mas en el tema (a ver si así este tipo de "virus" pasan al olvido)


Los pasos previos:

En primer lugar es necesario añadir en el punto de creacion de tarea el usuario y password de un administrador local.


Por otro lado se va a autocrear el fichero por lotes que hace el chequeo la primera vez que se ejecute este y se llamara cryptocheck.bat y se guarda en la carpeta WINDOWS

Adicionalmente va a crear un fichero llamado aaaaaa.doc en la carpeta de "Mis documentos" es IMPORTANTISIMO que no se borre ni modifique ese fichero ya que es el que va a chequear cada MINUTO (esto es editable en la tarea programada que se crea) y en caso de no existir (porque el encriptador le habrá cambiado la extension) haga lo siguiente:


- Cortar la conexion de todas las redes en ese equipo
- Generar un fichero llamado alerta.txt (de modo que si se reinicia la maquina vuelva a cortar la comunicacion y reiniciar el equipo pasados X segundos)
- Mostrar un mensaje indicando el peligro (puedes editar ese mensaje)
- Apagar el equipo

Basicamente eso, editar el usuario y password de administrador, guardar lo que es codigo en un fichero bat y ejecutarlo.


Si borras o editas por error el fichero aaaaaa.doc es tan simple como reiniciar y volver a crearle




El código

Código:
**************************************************************
Diseñado por Alberto Pereda v1.7
**************************************************************


**************************************************************

-----------------------------------------
rem ##Verificamos si la tarea esta creada
-----------------------------------------

%systemdrive%


cd\
cd "Windows"
if exist "cryptocheck.bat" goto fin
**************************************************************






**************************************************************


------------------------------------------------------------
rem ##Sino esta creada la tarea, creamos la tarea programada
------------------------------------------------------------


SCHTASKS /Create /RU <Aqui meter usuario administrador local comun o de dominio con permisos> /RP <Password> /SC MINUTE /TN CryptoCheck /TR "%systemdrive%\Windows\cryptocheck.bat" /ST 06:00 /RL HIGHEST

**************************************************************


**************************************************************

--------------------------------------------------
rem ##Generación del programa por lotes CrytoCheck
--------------------------------------------------

%systemdrive%
cd\
cd "Windows"
echo > cryptocheck.bat








echo. @Echo OFF >> cryptocheck.bat
echo.
echo.
echo.
echo.
echo ********************************************************************************************* >> cryptocheck.bat
echo ---------------------------- >> cryptocheck.bat
echo rem Comprobar si hay peligro >> cryptocheck.bat
echo ---------------------------- >> cryptocheck.bat
echo. >> cryptocheck.bat
echo %systemdrive% >> cryptocheck.bat
echo.>> cryptocheck.bat
echo cd "Windows"
echo if exist alerta.txt goto bloquear>> cryptocheck.bat
echo.>> cryptocheck.bat
echo.>> cryptocheck.bat
echo cd\ >> cryptocheck.bat
echo cd "%userprofile%/Documents" >> cryptocheck.bat
echo if exist aaaaaa.doc goto ok >> cryptocheck.bat
echo else goto peligro >> cryptocheck.bat
echo. >> cryptocheck.bat
echo ********************************************************************************************* >> cryptocheck.bat
echo. >> cryptocheck.bat
echo. >> cryptocheck.bat
echo. >> cryptocheck.bat
echo :peligro >> cryptocheck.bat
echo. >> cryptocheck.bat
echo. >> cryptocheck.bat
echo. >> cryptocheck.bat
echo ******************************************************************************************** >> cryptocheck.bat
echo --------------------- >> cryptocheck.bat
echo rem Equipo en peligro >> cryptocheck.bat
echo --------------------- >> cryptocheck.bat
echo. >> cryptocheck.bat >> cryptocheck.bat
echo %systemdrive% >> cryptocheck.bat
echo. >> cryptocheck.bat >> cryptocheck.bat
echo cd\ >> cryptocheck.bat
echo cd "Windows" >> cryptocheck.bat
echo echo >> alerta.txt >> cryptocheck.bat
echo. >> cryptocheck.bat
echo ********************************************************************************************* >> cryptocheck.bat
echo. >> cryptocheck.bat
echo. >> cryptocheck.bat
echo :bloquear >> cryptocheck.bat
echo. >> cryptocheck.bat
echo ********************************************************************************************* >> cryptocheck.bat
echo. >> cryptocheck.bat
echo ---------------------- >> cryptocheck.bat
echo rem Equipo Restringido >> cryptocheck.bat
echo ---------------------- >> cryptocheck.bat
echo. >> cryptocheck.bat
echo. >> cryptocheck.bat
echo ipconfig /release >> cryptocheck.bat
echo shutdown -s -t 100 -c "Su equipo supone un amenaza de seguridad y va a proceder a apagarse contacte con su departamento de IT" >> cryptocheck.bat
echo. >> cryptocheck.bat
echo exit >> cryptocheck.bat
echo. >> cryptocheck.bat
echo ********************************************************************************************* >> cryptocheck.bat
echo. >> cryptocheck.bat
echo. >> cryptocheck.bat
echo. >> cryptocheck.bat
echo ********************************************************************************************* >> cryptocheck.bat
echo. >> cryptocheck.bat
echo ----------------- >> cryptocheck.bat
echo rem Equipo Seguro >> cryptocheck.bat
echo ----------------- >> cryptocheck.bat
echo. >> cryptocheck.bat
echo :ok >> cryptocheck.bat
echo. >> cryptocheck.bat
echo. >> cryptocheck.bat
echo ********************************************************************************************* >> cryptocheck.bat
echo. >> cryptocheck.bat
echo. >> cryptocheck.bat
echo :fin >> cryptocheck.bat


**************************************************************

Me hablaron de una herramienta llamada AntiRansoma en una de las conferencias de seguridad a las que asisti.
Puedes encontrar informacion aqui.

http://www.redeszone.net/2015/01/20/...ntiransom-2-5/

Plataforma Oficial Ducati - Shurducatistas
Plataforma: Amantes del Tenis
SalamiMaster está desconectado   Responder Con Cita
Viejo 30-mar-2016, 08:52   #9
sunny_val
ForoCoches: Miembro
 
Avatar de sunny_val
 
Jun 2007 | 513 Mens.
Lugar: In my place

tricicle

interesa ...
sunny_val está desconectado   Responder Con Cita
Viejo 30-mar-2016, 08:53   #10
Cryptocheck
ForoCoches: Usuario
 
Mar 2016 | 5 Mens.
Cita:
Originalmente Escrito por SalamiMaster Ver Mensaje
Me hablaron de una herramienta llamada AntiRansoma en una de las conferencias de seguridad a las que asisti.
Puedes encontrar informacion aqui.

http://www.redeszone.net/2015/01/20/...ntiransom-2-5/
Esta gente ya juega otra liga distinta a la mia (incluso dando la clave de encriptado :O) yo soy de un equipito de tercera regional y ellos juegan la Champion
Cryptocheck está desconectado   Responder Con Cita
Viejo 30-mar-2016, 08:58   #11
SalamiMaster
ForoCoches: Miembro
 
Avatar de SalamiMaster
 
Feb 2016 | 3.439 Mens.
Lugar: Pillo Sitio

uno que corre

Cita:
Originalmente Escrito por Cryptocheck Ver Mensaje
Esta gente ya juega otra liga distinta a la mia (incluso dando la clave de encriptado :O) yo soy de un equipito de tercera regional y ellos juegan la Champion
ya has hecho mas que muchos. Nunca esta de mas contribuir cosas como la que has publicado. Estas ideas o bien pueden dar lugar a una nueva herramienta o a complementar a herramientas ya existentes.

Plataforma Oficial Ducati - Shurducatistas
Plataforma: Amantes del Tenis
SalamiMaster está desconectado   Responder Con Cita
Viejo 30-mar-2016, 09:10   #12
Aokromes
ForoCoches: Miembro
 
Avatar de Aokromes
 
Jul 2006 | 1.644 Mens.
Cita:
Originalmente Escrito por Cryptocheck Ver Mensaje
Hace algun tiempo he estado preparando un pequeño un proceso por lotes (de modo que es totalmente transparente que hace y ademas editable 100%) que pueda en caso de infección minimizar los daños que estos ocasionan.

Para conseguir esto simplemente analice como funcionan y pensé en que algo sencillo seria usar un cebo de modo que cuando el virus lo picara el equipo corte comunicacion (para evitar encriptado de unidades de red como NAS) y el apagado del equipo.

Ojala esto sirva para que gente con mayor niveles de programación pueda implementar una herramienta que lo haga mas eficiente y configurable, iba a distribuirlo en modo EXE pero de este modo se evitan suspicacias y se puede avanzar mas en el tema (a ver si así este tipo de "virus" pasan al olvido)


Los pasos previos:

En primer lugar es necesario añadir en el punto de creacion de tarea el usuario y password de un administrador local.


Por otro lado se va a autocrear el fichero por lotes que hace el chequeo la primera vez que se ejecute este y se llamara cryptocheck.bat y se guarda en la carpeta WINDOWS

Adicionalmente va a crear un fichero llamado aaaaaa.doc en la carpeta de "Mis documentos" es IMPORTANTISIMO que no se borre ni modifique ese fichero ya que es el que va a chequear cada MINUTO (esto es editable en la tarea programada que se crea) y en caso de no existir (porque el encriptador le habrá cambiado la extension) haga lo siguiente:


- Cortar la conexion de todas las redes en ese equipo
- Generar un fichero llamado alerta.txt (de modo que si se reinicia la maquina vuelva a cortar la comunicacion y reiniciar el equipo pasados X segundos)
- Mostrar un mensaje indicando el peligro (puedes editar ese mensaje)
- Apagar el equipo

Basicamente eso, editar el usuario y password de administrador, guardar lo que es codigo en un fichero bat y ejecutarlo.


Si borras o editas por error el fichero aaaaaa.doc es tan simple como reiniciar y volver a crearle




El código
Interesante, tal vez seria interesante crear un segundo fichero trampa, por ejemplo, aaaaab.doc de varios gigas de tamaño para que una vez aaaaaa.doc ha sido afectado el malware se entretenga con aaaaab.doc evitando su propagacion.
Aokromes está desconectado   Responder Con Cita
Viejo 30-mar-2016, 09:35   #13
nahaye
ForoCoches: Miembro
 
Avatar de nahaye
 
Mar 2011 | 704 Mens.
Lugar: Un lugar de La Mancha
si cuando lo enciendes hace que te borre todas las entradas, consigues que si el malware se ha persisitido, no este

Y el archivo aaaaaa.doc que lo ponga en C, que todos los ransomwares que he analizado, empiezan a listar por ahi.
nahaye está desconectado   Responder Con Cita
Viejo 30-mar-2016, 13:14   #14
Loveparade_77
ForoCoches: Miembro
 
Avatar de Loveparade_77
 
Abr 2005 | 682 Mens.
Lugar: Madrid

WV & ASTRA

Cita:
Originalmente Escrito por SalamiMaster Ver Mensaje
ya has hecho mas que muchos. Nunca esta de mas contribuir cosas como la que has publicado. Estas ideas o bien pueden dar lugar a una nueva herramienta o a complementar a herramientas ya existentes.

Hola a los entendidos, la verdad es que resulta interesante saber que hay gente (no multinacionales) arreglando estos ataques.

Un colega le ha entrado y claro todo al traste, es posible con un recuperador, tener de vuelta mis archivos? en este caso no tenia nada, ni punto de restauracion, ni backup reciente. (por mas que le digas a alguien que lo haga, luego te dice, es que somos humanos)...... en fin..

Por lo que entiendo estos malwares, hacen copia,ecriptan y luego borran los originales, pero si yo paso una herramienta de recuperacion en condiciones normales y puedo recuperar un archivo borrado por error, esto funciona igual? o es otro tipo de borrado imposible de recuperar?

Muchas gracias, me encantaria aprender estas cosas, sobre todo para entender sus fines!
Loveparade_77 está desconectado   Responder Con Cita
Viejo 30-mar-2016, 13:15   #15
armadiyo
-
 
Avatar de armadiyo
 
Mar 2004 | 1.040 Mens.

Sueco

Qué buena pinta, gracias shur!
armadiyo está desconectado   Responder Con Cita
Viejo 30-mar-2016, 16:42   #16
zercosz
Follador de Donettes
 
Avatar de zercosz
 
Ago 2006 | 4.665 Mens.
Lugar: Valencia

Ford Focus 2005

Tengo una duda.

Entiendo que todos los ECHO de la parte inferior es para crear el fichero BAT original.

¿Pero porque se repite tanto esto?

Cita:
echo. >> cryptocheck.bat
Yo algo entiendo de MSDOS pero al final con tanta aparente morralla me pierdo, ¿no habria forma de simplificar el codigo?

Gracias.



Cita:
Originalmente Escrito por Aokromes Ver Mensaje
Interesante, tal vez seria interesante crear un segundo fichero trampa, por ejemplo, aaaaab.doc de varios gigas de tamaño para que una vez aaaaaa.doc ha sido afectado el malware se entretenga con aaaaab.doc evitando su propagacion.
Es una idea. Cuando le entró a mi padre el virus se quedo entretenido con los MP3 y seguia cifrando pero mas lento. Actualmente no se que le costaria cifrar todo el PC con el SSD pero seria llegar, ver y cifrar todo en uno

Me ha gustado lo del McAfee de la lista blanca de EXEs

zercosz está desconectado   Responder Con Cita
Viejo 30-mar-2016, 17:04   #17
Gittaner
ForoCoches: Miembro
 
Ene 2012 | 4.533 Mens.
Lugar: De donde empiezan las chabolas

El de quien quiera!

Cita:
Originalmente Escrito por zercosz Ver Mensaje
Tengo una duda.

Entiendo que todos los ECHO de la parte inferior es para crear el fichero BAT original.

¿Pero porque se repite tanto esto?



Yo algo entiendo de MSDOS pero al final con tanta aparente morralla me pierdo, ¿no habria forma de simplificar el codigo?

Gracias.





Es una idea. Cuando le entró a mi padre el virus se quedo entretenido con los MP3 y seguia cifrando pero mas lento. Actualmente no se que le costaria cifrar todo el PC con el SSD pero seria llegar, ver y cifrar todo en uno

Me ha gustado lo del McAfee de la lista blanca de EXEs

Me imagino que es porque cada linea de esas genera saltos de linea para ir escribiendo dentro del cryptocheck.bat que es el que luego se ejecutará (sino se meteria todo en una misma linea con el >> sin saltos de linea y no funcionaria)


Seguramente se podria simplificar mucho el codigo generando el cryptocheck.bat directamente a mano y la tarea programada idem, la ventaja de esto es que se puede poner en el inicio de una UO y distribuirlo por GPO de manera 100% automatica

Última edición por Gittaner fecha: 30-mar-2016 a las 17:08.
Gittaner está desconectado   Responder Con Cita
Viejo 30-mar-2016, 17:07   #18
zercosz
Follador de Donettes
 
Avatar de zercosz
 
Ago 2006 | 4.665 Mens.
Lugar: Valencia

Ford Focus 2005

Cita:
Originalmente Escrito por Gittaner Ver Mensaje
Me imagino que es porque cada linea de esas genera saltos de linea para ir escribiendo dentro del cryptocheck.bat que es el que luego se ejecutará (sino se meteria todo en una misma linea con el >> sin saltos de linea)
Aaaah vale, ahora ya tiene mas sentido, gracias por la aclaracion.

zercosz está desconectado   Responder Con Cita
Viejo 30-mar-2016, 17:57   #19
kasp3rle
ForoCoches: Miembro
 
Avatar de kasp3rle
 
Oct 2013 | 2.023 Mens.
me shurscribo

PLATAFORMA: AMANTES DEL AIRSOFT, PORQUE LA SIMULACION VALE LA PENA. SOCIO Nº:94
kasp3rle está desconectado   Responder Con Cita
Viejo 30-mar-2016, 18:20   #20
pedrosaf
ForoCoches: Miembro
 
Nov 2015 | 278 Mens.
Muy buena la idea y loejor es que la comartes.
Ahora mismo varios clientes de mi empresa con el karspesky le han llegado el tipoco correo de "Correos" y una de ellas lo ha abierto y ZAS!!!.

Un apunte que puede salvar en caso de infeccion.
Para evitar problemas de infeccion en la copia de seguridad, uso el cobian backup, es encriptar los archivos y si por casualidad se infecta esos archivos no los toca, ya que no tienen un formato conocido, luego los desencripto con el propio cobian y se recuperan la mayoria de los archivos dañados.

Hace poco entro en una de las empresas que llevamos y tenia el nod32 en el servidor y todos los equipos con acceso a diferentes carpetas en una unidad de este y solo se afecto la carpeta de "Administracion".
Eso si el equipo donde se inicio todo se reinstalo el sistema para evitar problemas.
pedrosaf está desconectado   Responder Con Cita
Viejo 30-mar-2016, 18:49   #21
Yoco
=====
 
Avatar de Yoco
 
Jul 2004 | 24.243 Mens.
Lugar: Aquí y no allí

Ex-Berlina Francesa,Ex-Coupe Japonés, un M y un X5

Cita:
Originalmente Escrito por pedrosaf Ver Mensaje
Muy buena la idea y loejor es que la comartes.
Ahora mismo varios clientes de mi empresa con el karspesky le han llegado el tipoco correo de "Correos" y una de ellas lo ha abierto y ZAS!!!.

Un apunte que puede salvar en caso de infeccion.
Para evitar problemas de infeccion en la copia de seguridad, uso el cobian backup, es encriptar los archivos y si por casualidad se infecta esos archivos no los toca, ya que no tienen un formato conocido, luego los desencripto con el propio cobian y se recuperan la mayoria de los archivos dañados.

Hace poco entro en una de las empresas que llevamos y tenia el nod32 en el servidor y todos los equipos con acceso a diferentes carpetas en una unidad de este y solo se afecto la carpeta de "Administracion".
Eso si el equipo donde se inicio todo se reinstalo el sistema para evitar problemas.


+1 Yo en los equipos que administro, equipo que tiene esa infeccion (o sospechas de haberla tenido), equipo que se formatea, mas trabajo (poco mas teniendo una imagen) y te ahorras a la larga el correr un riesgo.
Yoco está desconectado   Responder Con Cita
Viejo 30-mar-2016, 20:32   #22
Enzor89
ForoCoches: Miembro
 
Avatar de Enzor89
 
Nov 2012 | 220 Mens.
Hola,

Hace tiempo que tengo oxidado batch/ms-dos, así que seguramente me equivoque

1º No sería mejor correr el bat (si puede ser como administrador) al inicio de Windows, con ventana oculta (uso de Nircmd -lo toman como malware algunos antivirus) bien a través de entrada en registro o en carpeta Inicio y con ejecución continua o redundante.

Por lo que parece (y ya digo, seguro me equivoco) es una tarea programada a x hora por lo que, si es así, el resto del tiempo no detectaría los cambios.

2º Ya lo han comentado algún shur. Siempre en ráiz disco duro principal (usar variables ya que no siempre será C:, o puede no serlo).

Y si puedes mete símbolos antes que letras. Creo que si pones por ejemplo carpeta _a, irá antes que a por la carpeta aa.

También como decía, mejor varios archivos y cuanto mayor peso seguramente mejor.

3º El shutdown lo haría a poder ser instantáneo y quizá forzado...
________

PD: Y todo esto, suponiendo que los ransomware (no he trasteado a penas con ellos) no cierren forzadamente los procesos, en cuyo caso, supongo, no valdría.

PD2: Hay alternativas para intentar prevenir los ransomware. De hecho un shur hizo un post al respecto: Ransomware, prevención, detección y otra información.

Echadle un vistazo que está muy bien.

PD3: Cryptocheck buen trabajo con el .bat . Sigue aprendiendo pues se le puede sacar mucho partido y más si lo unes a otros "addons" como nircmd u otros.

Mira también otros lenguajes a la larga. Batch aunque con muchas posibilidades al fin y al cabo es limitado.

Saludos.
Enzor89 está desconectado   Responder Con Cita
Viejo 30-mar-2016, 21:29   #23
SalamiMaster
ForoCoches: Miembro
 
Avatar de SalamiMaster
 
Feb 2016 | 3.439 Mens.
Lugar: Pillo Sitio

uno que corre

Cita:
Originalmente Escrito por Loveparade_77 Ver Mensaje
Hola a los entendidos, la verdad es que resulta interesante saber que hay gente (no multinacionales) arreglando estos ataques.

Un colega le ha entrado y claro todo al traste, es posible con un recuperador, tener de vuelta mis archivos? en este caso no tenia nada, ni punto de restauracion, ni backup reciente. (por mas que le digas a alguien que lo haga, luego te dice, es que somos humanos)...... en fin..

Por lo que entiendo estos malwares, hacen copia,ecriptan y luego borran los originales, pero si yo paso una herramienta de recuperacion en condiciones normales y puedo recuperar un archivo borrado por error, esto funciona igual? o es otro tipo de borrado imposible de recuperar?

Muchas gracias, me encantaria aprender estas cosas, sobre todo para entender sus fines!
Pues es un tema jodido. Y las herramientas son muchas veces para ransonwares especificos. Lo que te recomiendo que hagas es una restauracion del sistema. O tambien para eliminar el virus Ransomware otra opción es crear un disco de arranque del sistema e iniciar desde él.
El antivirus se inicia antes de Windows y elimina completamente el virus.

Si es el virus de la policia, polifix debe arreglarlo

Plataforma Oficial Ducati - Shurducatistas
Plataforma: Amantes del Tenis
SalamiMaster está desconectado   Responder Con Cita
Viejo 30-mar-2016, 23:31   #24
Cryptocheck
ForoCoches: Usuario
 
Mar 2016 | 5 Mens.
Intentaré responder a todos los posibles (o al menos a los que pueda aportar algo de info) si me salto u olvido a alguien perdonarme y recordarmelo



Cita:
Originalmente Escrito por nahaye Ver Mensaje
si cuando lo enciendes hace que te borre todas las entradas, consigues que si el malware se ha persisitido, no este

Y el archivo aaaaaa.doc que lo ponga en C, que todos los ransomwares que he analizado, empiezan a listar por ahi.

El problema de eliminar las entradas (me imagino que las de ejecución del virus) es que hay mil variantes que cambian dia tras dia y que ademas cada vez que se ejecutan lo haga con nombres aleatorios, a mi al menos actualmente se me escapa como poder tirar por ahi (tendria que hacer pruebas con muchos equipos infectados y variantes para ver que patrón siguen y se podria tomar)

Así a bote pronto se me ocurre que el BAT en primer lugar ejecute una exportacion de la clave de registro de Windows donde se marcan las aplicaciones que arrancan (de modo de tener un backup) y en caso de fallo importarla para dejarlo como la ultima vez que se ejecutó, pero vamos esto es una divagación que se me acaba de ocurrir)

Está bien saber que empiezan por C:\ ( vamos el %systemroot%), en la siguiente versión me lo anotaré para hacer el cambio o añadir varios ficheros de control en rutas distintas (por si alguna variante empieza a cambiar de rutas de comienzo)



Cita:
Originalmente Escrito por Loveparade_77 Ver Mensaje
Hola a los entendidos, la verdad es que resulta interesante saber que hay gente (no multinacionales) arreglando estos ataques.

Un colega le ha entrado y claro todo al traste, es posible con un recuperador, tener de vuelta mis archivos? en este caso no tenia nada, ni punto de restauracion, ni backup reciente. (por mas que le digas a alguien que lo haga, luego te dice, es que somos humanos)...... en fin..

Por lo que entiendo estos malwares, hacen copia,ecriptan y luego borran los originales, pero si yo paso una herramienta de recuperacion en condiciones normales y puedo recuperar un archivo borrado por error, esto funciona igual? o es otro tipo de borrado imposible de recuperar?

Muchas gracias, me encantaria aprender estas cosas, sobre todo para entender sus fines!
Muchas de nadas

La posiblidad de recuperacion varia en funcion del tipo de Ramsonware y variantes, cada una funciona de un modo y algunas solamente encriptan y borran y las hay mas avanzadas que eliminan el shadow copy y te quedas con 2 palmos de narices, por eso SIEMPRE tener un buen BACKUP es fundamental para estas amenazas.

Aprender lo que yo se de BATCH es sencillo además es bastante amigable y da mucho juego para lo simple que es.

Cita:
Originalmente Escrito por Enzor89 Ver Mensaje
Hola,

Hace tiempo que tengo oxidado batch/ms-dos, así que seguramente me equivoque

1º No sería mejor correr el bat (si puede ser como administrador) al inicio de Windows, con ventana oculta (uso de Nircmd -lo toman como malware algunos antivirus) bien a través de entrada en registro o en carpeta Inicio y con ejecución continua o redundante.

Por lo que parece (y ya digo, seguro me equivoco) es una tarea programada a x hora por lo que, si es así, el resto del tiempo no detectaría los cambios.

2º Ya lo han comentado algún shur. Siempre en ráiz disco duro principal (usar variables ya que no siempre será C:, o puede no serlo).

Y si puedes mete símbolos antes que letras. Creo que si pones por ejemplo carpeta _a, irá antes que a por la carpeta aa.

También como decía, mejor varios archivos y cuanto mayor peso seguramente mejor.

3º El shutdown lo haría a poder ser instantáneo y quizá forzado...
________

PD: Y todo esto, suponiendo que los ransomware (no he trasteado a penas con ellos) no cierren forzadamente los procesos, en cuyo caso, supongo, no valdría.

PD2: Hay alternativas para intentar prevenir los ransomware. De hecho un shur hizo un post al respecto: Ransomware, prevención, detección y otra información.

Echadle un vistazo que está muy bien.

PD3: Cryptocheck buen trabajo con el .bat . Sigue aprendiendo pues se le puede sacar mucho partido y más si lo unes a otros "addons" como nircmd u otros.

Mira también otros lenguajes a la larga. Batch aunque con muchas posibilidades al fin y al cabo es limitado.

Saludos.

Te voy contestando por partes:

1. La ventaja que tiene el BAT (al menos en esta version) es que haciendolo mediante la tarea programada ademas de ser 100% configurable en cualquier momento (entrar a la tarea y cambiarlo), por defecto esta se ejecuta y comprueba cada minuto, este tiempo se puede reducir a costa de meter carga al disco duro (buscar equilibrio rendimiento - seguridad, en un SSD por ejemplo meterlo cada 5 segundos dudo que suponga ninguna carga extra) y para ello es mejor meterle un cebo grande de modo que el virus tarde mucho en encriptarlo y de tiempo a que se ejecute la tarea y le pille).

2. Como comento en el anterior quote, pensaba que empezaba por Mis documentos, por eso está metida esa variable, pero si lo hace en el raiz del sistema pues es cambiar (o añadir el fichero de control) al %systemroot%

El tema de los simbolos habria que ver si a la hora de listar da prioridad a los caracteres como "_" o a las letras.

Con respecto a los ficheros, originalmente estaba pensado para ser lo mas liviano (y transparente) posible, ya que si tienes varios ficheros de control por muchos recursos en un entorno con usuarios es posible que alguno toque donde no debe (por error mismamente) y pases a tener falsos positivos, por contra en un entorno propio y controlado cuantos mas directorios monitorizados mejor que mejor

3. El Shutdown está hecho así porque como comento está desarrollado para un entorno de empresa y tiene que dar algun tiempo a que aparezca un mensaje de error y que se ponga en contacto. Originalmente tenia puesto un apagado instantaneo pero eso solo consigue que vuelvan a encender, que se apague, que vuelvan a encender, que se apague, y asi hasta el infinito. Por ello lo primero que hace al detectar amenaza es cortar las comunicaciones de red, al menos el problema queda aislado en ese equipo y no se propaga a unidades de red.

Incluso prepraré un trozo de codigo (tendria que buscarlo) de modo que si el usuario insiste en encender el equipo, a la 3º vez mueva ficheros de sistema necesarios para el arranque a una carpeta de modo que finalmente no pueda encenderlo, pero eso no iba a gustar

PD: Si el Ramsonware mata los procesos no hay problema, porque como se lanza desde una tarea programada ni lo huele

PD2: Intentaré pegarle un vistazo cuando tenga un ratin

PD3: Gracias la verdad es que con los BATCH hago multitud de "aplicaciones" para el dia a dia, dan mucho mucho juego (y mira que lo dudaba cuando estudiaba) aunque como dices tiene sus limitaciones, intento aprender de otros lenguajes de programación pero realmente no me gusta programar y al final siempre termino con mis BATCH
Cryptocheck está desconectado   Responder Con Cita
Viejo 01-may-2017, 21:19   #25
kukomg
ForoCoches: Miembro
 
Avatar de kukomg
 
Ago 2006 | 261 Mens.
Lugar: Valencia

Seat Leon 2.0 TDI 140 CV

Hola yo me dedico profesionalmente a este mundo, y puedo aportar algunas cosillas:
1-Hemos sufrido varias veces diferentes criptolockers parecidos (porque hay muchos diferentes) y normalmente lo que suelen hacer no es borrar los archivos doc, si no simplemente encriptarlo
2-El modo de actuar por lo tanto es una modificación recursiva de archivos en una ruta concreta
3-Lo que también hace es añadir un archivo con instrucciones de desencriptación en cada una de las rutas.

En general este tipo de programas maliciosos son bastante complicados de detectar, muchas veces se propagan antes de que los antivirus puedan detectarlos. En muchos casos son los propios usuarios los que detectan que no pueden abrir algunos archivos de la red. Lo que suelo hacer es coger el txt con las instrucciones y ver quien es el propietario, con eso ya se qué equipo es el que debemos apagar y formatear.
Le daré una vuelta a ver si se me ocurre cómo se puede mejorar el script.
En cualquier caso muy buena aportación!
kukomg está desconectado   Responder Con Cita
Viejo 01-may-2017, 21:24   #26
quemedishe
.
 
Avatar de quemedishe
 
Ene 2014 | 2.508 Mens.
Cita:
Originalmente Escrito por Cryptocheck Ver Mensaje
Hace algun tiempo he estado preparando un pequeño un proceso por lotes (de modo que es totalmente transparente que hace y ademas editable 100%) que pueda en caso de infección minimizar los daños que estos ocasionan.

Para conseguir esto simplemente analice como funcionan y pensé en que algo sencillo seria usar un cebo de modo que cuando el virus lo picara el equipo corte comunicacion (para evitar encriptado de unidades de red como NAS) y el apagado del equipo.

Ojala esto sirva para que gente con mayor niveles de programación pueda implementar una herramienta que lo haga mas eficiente y configurable, iba a distribuirlo en modo EXE pero de este modo se evitan suspicacias y se puede avanzar mas en el tema (a ver si así este tipo de "virus" pasan al olvido)


Los pasos previos:

En primer lugar es necesario añadir en el punto de creacion de tarea el usuario y password de un administrador local.


Por otro lado se va a autocrear el fichero por lotes que hace el chequeo la primera vez que se ejecute este y se llamara cryptocheck.bat y se guarda en la carpeta WINDOWS

Adicionalmente va a crear un fichero llamado aaaaaa.doc en la carpeta de "Mis documentos" es IMPORTANTISIMO que no se borre ni modifique ese fichero ya que es el que va a chequear cada MINUTO (esto es editable en la tarea programada que se crea) y en caso de no existir (porque el encriptador le habrá cambiado la extension) haga lo siguiente:


- Cortar la conexion de todas las redes en ese equipo
- Generar un fichero llamado alerta.txt (de modo que si se reinicia la maquina vuelva a cortar la comunicacion y reiniciar el equipo pasados X segundos)
- Mostrar un mensaje indicando el peligro (puedes editar ese mensaje)
- Apagar el equipo

Basicamente eso, editar el usuario y password de administrador, guardar lo que es codigo en un fichero bat y ejecutarlo.


Si borras o editas por error el fichero aaaaaa.doc es tan simple como reiniciar y volver a crearle




El código

Código:
**************************************************************
Diseñado por Alberto Pereda v1.7
**************************************************************


**************************************************************

-----------------------------------------
rem ##Verificamos si la tarea esta creada
-----------------------------------------

%systemdrive%


cd\
cd "Windows"
if exist "cryptocheck.bat" goto fin
**************************************************************






**************************************************************


------------------------------------------------------------
rem ##Sino esta creada la tarea, creamos la tarea programada
------------------------------------------------------------


SCHTASKS /Create /RU <Aqui meter usuario administrador local comun o de dominio con permisos> /RP <Password> /SC MINUTE /TN CryptoCheck /TR "%systemdrive%\Windows\cryptocheck.bat" /ST 06:00 /RL HIGHEST

**************************************************************


**************************************************************

--------------------------------------------------
rem ##Generación del programa por lotes CrytoCheck
--------------------------------------------------

%systemdrive%
cd\
cd "Windows"
echo > cryptocheck.bat








echo. @Echo OFF >> cryptocheck.bat
echo.
echo.
echo.
echo.
echo ********************************************************************************************* >> cryptocheck.bat
echo ---------------------------- >> cryptocheck.bat
echo rem Comprobar si hay peligro >> cryptocheck.bat
echo ---------------------------- >> cryptocheck.bat
echo. >> cryptocheck.bat
echo %systemdrive% >> cryptocheck.bat
echo.>> cryptocheck.bat
echo cd "Windows"
echo if exist alerta.txt goto bloquear>> cryptocheck.bat
echo.>> cryptocheck.bat
echo.>> cryptocheck.bat
echo cd\ >> cryptocheck.bat
echo cd "%userprofile%/Documents" >> cryptocheck.bat
echo if exist aaaaaa.doc goto ok >> cryptocheck.bat
echo else goto peligro >> cryptocheck.bat
echo. >> cryptocheck.bat
echo ********************************************************************************************* >> cryptocheck.bat
echo. >> cryptocheck.bat
echo. >> cryptocheck.bat
echo. >> cryptocheck.bat
echo :peligro >> cryptocheck.bat
echo. >> cryptocheck.bat
echo. >> cryptocheck.bat
echo. >> cryptocheck.bat
echo ******************************************************************************************** >> cryptocheck.bat
echo --------------------- >> cryptocheck.bat
echo rem Equipo en peligro >> cryptocheck.bat
echo --------------------- >> cryptocheck.bat
echo. >> cryptocheck.bat >> cryptocheck.bat
echo %systemdrive% >> cryptocheck.bat
echo. >> cryptocheck.bat >> cryptocheck.bat
echo cd\ >> cryptocheck.bat
echo cd "Windows" >> cryptocheck.bat
echo echo >> alerta.txt >> cryptocheck.bat
echo. >> cryptocheck.bat
echo ********************************************************************************************* >> cryptocheck.bat
echo. >> cryptocheck.bat
echo. >> cryptocheck.bat
echo :bloquear >> cryptocheck.bat
echo. >> cryptocheck.bat
echo ********************************************************************************************* >> cryptocheck.bat
echo. >> cryptocheck.bat
echo ---------------------- >> cryptocheck.bat
echo rem Equipo Restringido >> cryptocheck.bat
echo ---------------------- >> cryptocheck.bat
echo. >> cryptocheck.bat
echo. >> cryptocheck.bat
echo ipconfig /release >> cryptocheck.bat
echo shutdown -s -t 100 -c "Su equipo supone un amenaza de seguridad y va a proceder a apagarse contacte con su departamento de IT" >> cryptocheck.bat
echo. >> cryptocheck.bat
echo exit >> cryptocheck.bat
echo. >> cryptocheck.bat
echo ********************************************************************************************* >> cryptocheck.bat
echo. >> cryptocheck.bat
echo. >> cryptocheck.bat
echo. >> cryptocheck.bat
echo ********************************************************************************************* >> cryptocheck.bat
echo. >> cryptocheck.bat
echo ----------------- >> cryptocheck.bat
echo rem Equipo Seguro >> cryptocheck.bat
echo ----------------- >> cryptocheck.bat
echo. >> cryptocheck.bat
echo :ok >> cryptocheck.bat
echo. >> cryptocheck.bat
echo. >> cryptocheck.bat
echo ********************************************************************************************* >> cryptocheck.bat
echo. >> cryptocheck.bat
echo. >> cryptocheck.bat
echo :fin >> cryptocheck.bat


**************************************************************
¿Y si no cambia de extension que?

Me levanté en un bugatti
quemedishe está desconectado   Responder Con Cita
Viejo 19-jun-2017, 11:32   #27
fna1
ForoCoches: Miembro
 
Avatar de fna1
 
Sep 2014 | 578 Mens.
Lugar: Pontevedra

Citroën DS3

Interesante

5% de descuento en MYPROTEIN:MP29653154 / / 10$ de descuento IHERB: MKF529 / / 500 puntos en HSNSTORE gastando 60€ Enlace dacaro.es
fna1 está desconectado   Responder Con Cita
Viejo 20-jun-2017, 12:45   #28
xsuyine
ForoCoches: Miembro
 
Jul 2013 | 1.235 Mens.
Pillo sitio, interesante
xsuyine está desconectado   Responder Con Cita


Respuesta

Regresar   Inicio | ForoCoches > Zona General > Electrónica / Informática

Regresar Amazon.es

    - Electrónica
    - Informática
    - VideoJuegos
    - Libros
    - Bricolaje y Herramientas
Regresar eBay.es

    - Motor
    - Informática y Tablets
    - Móviles y Telefonía
    - VideoJuegos
    - Deportes
Regresar  PCComponentes.com

    - Componentes
    - Periféricos
    - Ordenadores
    - Smartphones
    - Audio/Foto/Video

Regresar  Tiendas Chinas:

    - GearBest
    - BangGood
    - iGogo
    - AliExpress
    - EverBuying

Herramientas


 [ VERSIÓN MÓVIL ]
ForoCoches.com LWNET © 1999 - 2017 | Powered by © vBulletin Solutions, Inc
Info Legal | Privacidad | Cookies | Normas de uso | Publicidad | Updates | Stats | Ayuda | Invitaciones | Contacto