Nueva oleada de casos de “secuestro” de archivos está azotando a las pequeñas y medianas empresas. Desde la semana pasada 24 de Febrero hemos tenido varias empresas que han tenido los mismos incidentes e indicios parecidos. En esta ocasión los delincuentes realizan un backup de los ficheros del servidor comprometido creando un archivo de gran tamaño con extensión “bakuv”, o en caso de que el archivo resultante del backup sea demasiado grande lo dividen en subarchivos “bakuv[numero]”. Posteriormente eliminan todos los archivos, dejando únicamente los backups y un archivo de texto en inglés con un mensaje claro y directo:
———–[Traducción al Español]————
Hola, He accedido a vuestro servidor y he borrado y destrozado todos tus archivos, después de guardarlos en un BackUp que se encuentra en tu ordenador. Si quieres recuperarlos ponte en contacto conmigo al mail iloveserver@mail.ru
Como podemos ver los delincuentes nos piden un “rescate” a cambio de poder recuperar nuestros archivos. Nunca debemos de ceder ante este tipo de extorsión porque es muy difícil confiar en la palabra de los chantajistas y, de acceder, podría hacernos parecer sumisos y débiles ante ellos, dejándoles las puertas abiertas para que continúen reclamándonos más dinero con el fin de poder recuperar unos archivos que no tenemos la certeza de que nos los dejen a disposición de nuevo. Además de perder el control sobre nuestros datos, los delincuentes después de realizar el pago y proceder a la recuperación pueden elaborar algún tipo de chantaje a través de la fuga de información, “pedir dinero por tener la boca cerrada”.La mejor opción es denunciar el incidente ante la Guardia Civil o Policía y proceder a contratar los servicios de una empresa especializada, como Quantika14, que trate de recuperar los archivos y fortifique el entorno para disminuir las posibilidades de que vuelva a repetirse una situación de tan alta criticidad.
Quizás pueda servir de ayuda el siguiente enlace:
http://www.xatakaon.com/seguridad-en-redes/las-victimas-de-cryptolocker-podran-recuperar-sus-archivos-gratis-gracias-a-una-web
Gracias por la info =) El problema Tatoni es que las personas o empresas víctimas de serverlock o iloveserver no son víctimas de un malware si no de una intrusión y usan TrueCrypt.
En un server de un cliente ha entrado, lo hace por ssh brute, se ha dejado información en el equipo. crea un usuario llamado sloncce y otro slonce en uno de ellos, se ha dejado tododos los programas y la web que se conecta para bajarlos. Lo más importante, que se ha dejado las últimas contraseñas de rescate en un fichero llamado: _recovery_2015-05-31_15-06-47.txt.
echehychjupyr@ro.ru:xjv3ngphq
yhyasegachbym@ro.ru:qakht1el
dyazezunisji59@myrambler.ru:hzfieow2xf3
ubalyuzozor72@autorambler.ru:f3qfrynryl
vokovebynum1999@autorambler.ru:m9kmgrz6b5
dyabaeenadej01@myrambler.ru:wvfrpzom
si alguno encuentra otro fichero parecido insto a que lo cuelgue a ver si conseguimos descifrar los datos sin tener que pagar la estorsión y nos ayudamos entre todos.