Historia de Mobef:

​

Mobef, chiamato anche KRIPTOKI KEYCHAIN LOKMANN o CRYPTOFAG a causa del file che lascia sulla macchina infetta è una versione recente e molto aggressive di ransomware /malware.

​

Después de su infiltración, los archivos se cifran pero la extensión del archivo no cambia.

 

Por ejemplo, un archivo infectado por Mobef/LOKMANN "sample.jpg" sigue siendo "sample.jpg".

Se cambia el fondo del escritorio y se crean dos files: "LOKMANN.KEY993" y "HELLO.0MG" o "HACKED.OPENME" y "KEY2017.KEEPME" o de nuevo "PLEASE.OPENME" y "KEYCHAIN.SAVEME" o "KRIPTOKI.DONOTDELETE" y "PLEASEREAD.THISMSG".

​

​

​

​

​

​

 

Una vez que se descarga el archivo infectado, el virus escaneará el sistema y encriptará casi todos los datos que encuentre.

​

Apuntará a archivos con las siguientes extensiones:
.3gp, .7z, .apk, .avi, .bmp, .cdr, .cer, .chm, conf, .css, .csv, .dat, .db, .dbf, .djvu, .dbx, .docm, ,doc, .epub, .docx .fb2, .flv, .gif, .gz, .iso .ibooks, .jpeg, .jpg, .key, .mdb .md2, .mdf, .mht, .mobi .mhtm, .mkv, .mov, .mp3, .mp4, .mpg .mpeg, .pict, .pdf, .pps, .pkg, .png, .ppt .pptx, .ppsx, .psd, .rar, .rtf, . scr, .swf, .sav, .tiff, .tif, .tbl, .torrent, .txt, .vsd, .wmv, .xls, .xlsx, .xps, .xml, .ckp, zip, .java, . py, .asm, .c, .cpp, .cs, .js, .php, .dacpac, .rbw, .rb, .mrg, .dcx, .db3, .sql, .sqlite3, .sqlite, .sqlitedb, .psd, .psp, .pdb, .dxf, .dwg, .drw, .casb, .ccp, .cal, .cmx, .cr2.

​

KRIPTOKI CRYPTOFAG KEYCHAIN y LOKMANN son prácticamente idénticos a docenas de otros virus ransomware como CTB-Locker, CryptoWall, Locky y CryptoLocker. Encriptan archivos y piden bitcoins a cambio de una clave de descifrado. Los archivos a menudo se cifran mediante el cifrado asimétrico (el ransomware de gama baja utiliza el simétrico) y, por lo tanto, la única diferencia es el tamaño del rescate.

​

​

​

​

​

​

​

​

 

 

¿Cómo se distribuyen Kriptoki/Keychain/Cryptofag/Mobef/LOKMANN ?

​

En la mayoría de los casos son  spread a través de ataques directos al puerto RDP, en máquinas y servidores que utilizan uno de los siguientes sistemas operativos:

​

Windows Server 2003 (abril de 2003)
Windows Server 2003 R2 (diciembre de 2005)
Windows Server 2008 (febrero de 2008)
Windows Server 2008 R2 (julio de 2009)
Windows Server 2012 (agosto de 2012)
Windows Server 2012 R2 (octubre de 2013)
Windows Server 2016 (septiembre de 2016)

​

También se distribuyen a través de correos electrónicos infectados, archivos de Word comprometidos, javascript y spam de imágenes de Facebook.

​

​

​

​

​

​

 

Cómo descifrar archivos cifrados por KRIPTOKI/LLAVERO/CRIPTOFAG/LOKMANN? 

¿Pueden recuperar mis datos?

​

¡Sí, podemos recuperar todos sus archivos! 

​

Escríbanos un correo electrónico ainfo@eliminacryptolocker.com adjuntar archivos cifrados y posiblemente su número de teléfono; ¡Te responderemos lo más pronto posible!

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

FAQ: Preguntas y respuestas comunes a las infecciones de Mobef, reportadas por nuestros clientes:

​

​

Mi contraseña RDP era muy segura, ¿cómo la encontraron?

​

Desafortunadamente, incluso con una contraseña de 20 caracteres aleatorios, por lo general muy segura, no hay effect protection as se utilizan exploits en el puerto RDP, lo que permite de manera efectiva eludir la contraseña.

​

​

La cuenta de administrador fue deshabilitada, ¿qué pasó? 

​

A menudo, la cuenta de "administrador" se desactiva por razones de seguridad, pero todo el proceso de encriptación se realizó desde esa cuenta, ¿cómo fue posible?

Todo esto sucede a través de una "escalada de privilegios", es decir, te conectas a través de un usuario "normal", se elevan los privilegios de este usuario que a su vez crea o reactiva la cuenta de administrador, a la que te conectarás más tarde para realizar el cifrado._cc781905-5cde -3194-bb3b-136bad5cf58d_ 

​

​

Había restringido las conexiones que podían acceder al servicio RDP, ¿cómo se conectaban? 

​

¿Hay clientes "abiertos" en Internet en su red? Incluso si su servidor limita las conexiones desde las que se puede acceder (a través de firewall, VPN, ipfiltering, whitelisting, etc.), la conexión se realiza a través del RDP del cliente conectado a Internet.

Una vez que haya tomado el control de este cliente, se conecta a través de él al servidor en la red interna, lo que hace que el filtrado de todas las IP externas sea inútil.

​

​

El puerto del servicio RDP no era el estándar, ¿cómo encontraron el servicio? 

​

Los puertos estándar para el servicio RDP son 445 y 3389, pero configuré el servicio en el puerto 5555, ¿cómo lo encontraron? Simplemente con un escáner de redes, que analiza todos los puertos del 1 al 65000​ buscando el servicio RDP.

​

​

Entonces, ¿qué puedo hacer para protegerme de futuros ataques KRIPTOKI/KEYCHAIN/CRYPTOFAG?​

​

Los dos consejos que damos a nuestros clientes para protegerse de la infección son:​

- cierre inmediatamente el servicio RDP  en todas las máquinas locales y remotas

- instale nuestro script de protección contra ransomware, más información AQUÍ

​

​

¿Dónde han ido mis copias de seguridad? E máquinas virtuales?​

​

Después de la infección de Mobef, los archivos .backup se eliminan y, a menudo, también las máquinas virtuales (VMware, Oracle VM VirtualBox etc.), que se inician y luego se eliminan o cifran._d04a07d8-9cd1- 3239-9149 -20813d6c673b_

​

​

¿Tiene alguna otra pregunta o necesita más información?​

 

Escríbenos a info@recuperafiles.it e intentaremos aclarar todas tus dudas.

​

​

​