BLOG

LABS 4 RECOVERY

Desencriptar el Ransomware MedusaLocker protect6

En LABS 4 Recovery no nos dedicamos a la seguridad informática, pero tenemos varios laboratorios de recuperación de datos, uno de ellos se ha especializado en recuperar tus datos encriptados por ataques de Ransomware, por lo que no podemos ayudarte a proteger tus datos, pero si has sido el objetivo de un ataque de Ransomware, podemos ayudarte a desencriptarlos, o al menos a recuperar tus datos tal cual estaban antes del ciberataque.

 

Por la ley de protección de datos no podemos dar información de nuestros clientes, pero vamos a explicar el caso que nos ha ocurrido hace poco tiempo con un cliente al que le habían entrado en su sistema informático, anulado las medidas de seguridad y encriptado todos los datos de sus ordenadores, portátiles y sus 6 servidores NAS, saltándose varias capas de seguridad electrónica como Routers, Firewalls, Switches VPN, etc…. y capas de Software de alto nivel.

 

¿Qué es el Ransomware MedusaLocker?

MedusaLocker es un Ransomware que se observó por primera vez a finales de 2019, concretamente en Octubre.

MedusaLocker está diseñado para cifrar archivos (encriptar) en un sistema informático y exigir el pago de la clave de descifrado, es el rescate por secuestro de MedusaLocker.

Puede afectar tanto a ordenadores de sobremesa, como portátiles, como servidores y NAS, nada se escapa al Ransomware MedusaLocker.

 

¿A quien va dirigido un ataque de Ransomware de MedusaLocker?

Desencriptar el Ransomware MedusaLocker protect6

 

MedusaLocker se dirige tanto a particulares como a organizaciones, por lo que es muy peligroso.

 

MedusaLocker ha afectado a empresas y ordenadores privados de clientes nuestros en EUROPA, AMERICA y LATAM, pero seguramente al resto del mundo ya que vivimos en un ecosistema informático multiconectado. El Ransomware MedusaLocker viene operando desde finales del 2019, Octubre.

 

Su evolución ha permitido llegar al punto de desarrollo tal que ahora se ofrece a la venta como Ransomware As A Service (RaaS) lo que le permite a quienes carecen de habilidad o tiempo para desarrollar su propia variante de Ransomware operar de forma rápida y asequible, multiplicando exponencialmente la cantidad de delincuentes en esta escena del Ransomware, pudiendo hacer ataques dirigidos con un rápido despliegue según aparecen las nuevas oportunidades o se descubren nuevas vulnerabilidades en sistemas ajenos, también les ofrece la posibilidad de hacer despliegues de campañas con ataques generales o sectorizados.

 

Se destaca entre los analisis a nivel global realizados que el Ransomware MedsuaLocker usa las tácticas de entrada a través de campañas de phishing y spam por correo electrónico, así como spear-phishing (método de phishing dirigido a una víctima en particular), adjuntando directamente el Malware de entrada al correo electrónico. Por supuesto que también realiza entrada mediante las vulnerabilidades de configuraciones del Protocolo de Escritorio Remoto (RDP).

 

Su principal táctica de ejecución es mediante un archivo por lotes (conocido como archivo Batch, de extensión .BAT que se utiliza para ejecutar instrucciones en Windows) para ejecutar un script de Powershell que le permite a la máquina infectada detectar dispositivos y redes conectados a través del Protocolo de mensajes de control de Internet (ICMP, el conocido Ping) y detecte el almacenamiento compartido a través del Bloque de mensajes del servidor (protocolo SMB).

 

El Ransomware MedusaLocker se califica como una de las amenazas de Ransomware más peligrosas que existen en la actualidad, ya que tiene la capacidad de propagarse por las redes a alta velocidad e incluso desactivar el software de seguridad.

Una vez sufrido el ataque, el encriptador MedusaLocker cifrará todos tus datos, incluidos documentos, fotos, vídeos y otros archivos importantes.

 

¿Cómo descifrar archivos encriptados con MedusaLocker?

 

El Ransomware MedusaLocker genera aleatoriamente una clave de cifrado y es prácticamente imposible descifrar los datos de forma directa, aunque tenemos técnicas combinadas que han podido ayudar a muchos clientes.

 

La forma más recomendable de recuperar todos tus datos es elegir los servicios que ofrece una empresa especializada, obviamente recomendamos la nuestra, pero si no quieres, busca otra y no dejes este trabajo de Forencsis Digital a cualquier informático sin los conocimientos y experiencia adecuados.

 

LABS 4 Recovery tiene en plantilla a los mejores expertos del sector criptográfico, con equipos multidisciplinares formados por expertos de mas de 12 países, tenemos la capacidad de aportar LA SOLUCION QUE NECESITAS.

 

Desencriptar el Ransomware MedusaLocker protect6

¿Existen herramientas gratuitas de descifrado de Ransomware MedusaLocker?

Desafortunadamente, no hay herramientas gratuitas con capacidad de descifrar archivos encriptados con el Ransomware MedusaLocker. Piensa que al ser RaaS, cada ataque es único y no sigue un standard como un virus informático.

 

También hay que ver que el Ransomware MedusaLocker es una forma relativamente nueva de Ransomware, ahora ni siquiera tu software de seguridad sabe como detectar esta amenaza.

Para eliminar, no para desencriptar, puedes usar Malwarebytes que actualmente detecta este malware.

 

Para tener éxito en la recuperación de datos, las víctimas de este Ransomware MedusaLocker deben confiar en servicios profesionales para obtener ayuda y guiarse por esta nueva jungla cibernética o pueden sufrir más estafas.

 

Cuando contactes con LABS 4 Recovery, explica tu caso y un equipo se hará cargo de él , la rapidez de acción es esencial y se van a dedicar en exclusiva a ti.

 

MedusaLocker, como desencriptar los datos encriptados por Ransomware sin pagar a los delincuentes cuando son archivos PROTEC6

Vamos a exponer por encima un caso real, pero entender que por la ley de protección de datos no podemos dar información de nuestros clientes, dentro de lo que nos permiten vamos a explicar el caso que nos ha ocurrido hace pocos días con un cliente.

Se trata de un cliente de perfil empresarial y con sede en Europa, dispone de un producto que vende a nival internacional y es conocido en su ámbito o sector de trabajo, por lo que públicamente es conocido.

Este cliente, vamos a llamarlo VICTIMA, dispone de sistemas de seguridad por Software, actualizados y de alto nivel técnico, dispone de mas de 50 ordenadores entre sobremesas y portátiles, además de 6 servidores montados con máquinas virtuales por dentro, sistemas redundantes de copias de seguridad, todos los servidores en raid, mas un NAS, conectado todo a UPS, y varias capas de seguridad electrónica como Routers, Firewalls, Switches VPN, etc..

 

RDP ha sido la forma en la que han podido entrar los DELINCUENTES, por lo que el ataque está totalmente dirigido a la VICTIMA, con nombre y dirección exacta.

 

Una vez dentro, han desactivado las medidas de seguridad tomando el control, (se dice que han entrado hasta la cocina), han descargado el encriptador, generado una clave compleja y ejecutado sobre las maquinas virtuales y los ordenadores conectados en ese momento, éste es elegido de tal forma que evitan ser detectados y provocar el mayor daño posible

 

Ransomware MedusaLocker

 

La situación es critica, mas de 60 empleados parados, sin poder trabajar, la fabrica parada, ni las máquinas pueden producir al estar todos los sistemas encriptados, bloqueados sin poder trabajar, administración sin datos, sin ordenadores. bloqueo técnico absoluto!!

La empresa VICTIMA no tiene un departamento propio de informática, pero cuenta con los servicios subcontratados de otra empresa especialista en el sector de instalaciones y mantenimientos de sistemas, la cual hace búsqueda de diferentes empresas especializadas en el sector del desencriptado…. lamentablemente no ha dado con buenos profesionales y algunas de esas empresas contactan con el intermediario que aparece en la nota de rescate, este les pide mas de 40.000€, sin garantías, obviamente….

 

Pero aquí se comete un grave error por segunda vez, le piden que desencripte un archivo y le dicen que sea la hoja de Excel de ventas, con lo que el intermediario puede ver el volumen de facturación total anual, no el beneficio sino la facturación, al ser millones de euros…. el intermediario se convierte en un avaricioso y les pide una cantidad indecente de dinero.

El primer error es contactar con los delincuentes, el segundo darles datos de facturación. Con lo que la VICTIMA decide abandonar los datos, asumir la perdida y trabajar durante meses para generar los datos y documentaciones perdidas, despidiendo trabajadores y sin tener producción.

 

Por casualidad contactan con LABS 4 Recovery y estudiamos el caso de su ataque de Ransomware justo cuando van a darse por vencidos ya que nadie les está dando una solución, analizamos archivos, vemos la estructura de los datos y tras hablar con su servicio técnico informático….vemos los opciones:

 

1.- Desencriptar todos los archivos encriptados por el Ransomware MedusaLocker v3 generando un desencriptador a medida y calculando las claves por métodos de ingeniería inversa, social y aplicando técnicas de calculo por fuerza bruta. Es factible y lo hemos realizado antes, pero va a ser lento y con un coste más elevado incluso que el propio rescate, aunque sería totalmente seguro y cubriríamos todos los datos afectados

 

2.- Atacar a nivel forense los archivos VHDX de las maquinas virtuales, usar ingeniería inversa y aprovecharnos de los propios agujeros de seguridad en los contenedores de datos virtuales para poder extraer los archivos internos, esta opción le gusta al cliente y a  nosotros, la desarrollamos y ejecutamos directamente, consiguiendo todos los datos de las máquinas virtuales, con lo que el cliente sólo tiene que volcar los datos a sus nuevos sistemas informáticos limpios y como si no hubiera pasado nada.

 

Contras del sistema elegido por el cliente, que sólo vamos a recuperar los datos contenidos en las maquinas virtuales, el resto de datos en ordenadores y unidades de red no se van a poder solucionar por esta vía, pero para el cliente es más que suficiente, se dá por satisfecho con este volumen de datos recuperados

 

descifrar archivos encriptados con MedusaLocker

 

Todos los archivos contenidos en las máquinas virtuales han quedado extraídos, sin fallos, ni errores y con la misma estructura que tenían antes del ataque.

 

 

 

 

 

 

Es LEGAL, obviamente somos una empresa y vamos con contrato.

Es SEGURO 100%, en caso que no podamos cumplir, devolvemos 100%.

Es un importe asumible, nada que ver con las cantidades de locos del delincuente.

Es Desgravable la Factura, al ser de la actividad empresarial, cuenta como gasto.

Es un proceso de recuperación relativamente rápido, según el volumen de datos.

El Delincuente no sabe que nos hemos saltado su seguridad, no van a sufrir represalias.

 

Podemos afirmar que el cliente a pesar de su mala suerte por ser afectado por un ataque de Ransomware con MedusaLocker, y luego topar con empresas que no han sabido resolver su caso, que incluso se lo han complicado más, al final, todo se ha resuelto felizmente.

 

 

Solicita nuestra Ayuda Inmediata para Desencriptar Ransomware

No permitas que un ataque de Ransomware pare tu vida y tu negocio.

Estás a un click de contactar con los expertos que te pueden ayudar, estamos listos para recuperar tus datos y devolverte la tranquilidad, por que en el ADN de LABS 4 Recovery está el ayudar en los casos más complejos.

 

¡PRE-ANÁLISIS de forma gratuita y encontramos la mejor solución para ti!

Ponte en contacto con nosotros o pide una cita en nuestra web y nos vemos en persona.

 

 

Contacta LABS 4 Recovery En LABS 4 Recovery somos especialistas y expertos en solucionar los virus informáticos

  • Windows Bitlocker
  • Desencriptado de Ransomware
  • Passwords Perdidas
  • Contraseñas Olvidadas
  • Ataque de virus

 

Tenemos un gran conocimiento y experiencia de trabajo con proyectos y empresas nacionales e  internacionales. Solo contáctanos y vemos como podemos ayudarte!

LABS 4 Recovery es especialista en Recuperar Datos de Ransomware, está en nuestro ADN

Nuestro equipo de profesionales tienen certificaciones y cuentan con más de 10 años de experiencia en la recuperación de datos encriptados por Ransomware, Secuestro de Datos y Borrado de Datos.

 

 

¿Cómo logramos ayudar a tantas empresas en todo el mundo?

LABS 4 Recovery es una empresa con 4 sedes en España y Portugal, está en crecimiento, contamos con una red de técnicos experimentados y confiables en todo el mundo. Así podemos llegar a todos los lugares donde hace falta un servicio y ayudar a varias empresas a la vez, en diferentes proyectos simultáneos, tanto en trabajos remotos como presenciales. No nos limita nuestra propia estructura, nos adaptamos rápidamente a las necesidades del cliente.

 

¿Prefieres por WhatsAPP?