Te llama un nuevo cliente. Ramsonware. Todo encriptado. Última copia externa de hace 10 años. DON'T PANIC.
Hoy en los hilos del fantasma: "Un Ransomware, un rescate pagado y la asistencia técnica más eficaz que te vas a encontrar en años".
¡Abro hilo mítico lo aviso!👇👇👇
Hoy en los hilos del fantasma: "Un Ransomware, un rescate pagado y la asistencia técnica más eficaz que te vas a encontrar en años".
¡Abro hilo mítico lo aviso!👇👇👇
[DISCLAIMER]
Todo lo que cuento en este hilo es totalmente real.
Tengo permiso de la persona que ha desarrollado toda la recuperación para publicarlo. ¡GRACIAS!
Voy a cambiar algunas cosas para intentar anonimizar al máximo.
¡Aunque hay cosas que puedan parecer surrealistas!
Todo lo que cuento en este hilo es totalmente real.
Tengo permiso de la persona que ha desarrollado toda la recuperación para publicarlo. ¡GRACIAS!
Voy a cambiar algunas cosas para intentar anonimizar al máximo.
¡Aunque hay cosas que puedan parecer surrealistas!
Todo paso ayer, me escribe un compañero de aquí de Twitter un DM:
"Hola Amigo estoy desesperado y no se a quien recurrir . A un cliente como dices tú de presupuesto de 2 Euros lo atacó un ransomware . Me llamo a mi por q el último Backup tiene 10 años !! Así como lo escuchas..."
"Hola Amigo estoy desesperado y no se a quien recurrir . A un cliente como dices tú de presupuesto de 2 Euros lo atacó un ransomware . Me llamo a mi por q el último Backup tiene 10 años !! Así como lo escuchas..."
"El cliente ha decidido pagar y nos han enviado zip con dos archivos un eliminador de virus y el desencriptador. Ejecuto el paso a paso y le comunico que todo va bien. Reinicio el PC y Pumm se vuelve a encriptar todo. "
Aquí ya torcí el gesto...
Aquí ya torcí el gesto...
"Me quedé tranquilo porque era el mismo id y tenía el programa, pero ¡¡No funciona!! Me quiero morir el maldito no me responde."
Además, me mandaba varias capturas (algunas recortadas y anonimizadas las uso en el post) y algún vídeo.
Además, me mandaba varias capturas (algunas recortadas y anonimizadas las uso en el post) y algún vídeo.
Yo le respondí lo siguiente:
"A ver, a mí, cuando me ha tocado descifrar un ransom siempre he hecho un clon del HD lo primero, por estar tranquilo."
Le daba algún dato más y aquí le di el consejo con el que empieza el jaleo:
"A ver, a mí, cuando me ha tocado descifrar un ransom siempre he hecho un clon del HD lo primero, por estar tranquilo."
Le daba algún dato más y aquí le di el consejo con el que empieza el jaleo:
👻-"De todas maneras, usa la asistencia técnica de los del ransom jajaja y no es coña, escríbeles a los artistas que han cobrado y diles lo que te pasa a ver si te dan solución, alguna vez hace años he tenido que hacerlo también."
¿Qué creéis que paso?
Sigo, que viene lo bueno.
¿Qué creéis que paso?
Sigo, que viene lo bueno.
Los crackers le mandan un enlace de Telegram y...
¿Qué os parece?
¡¡¡Le piden anydesk para solucionar el problema!!!
Como me decía el chaval: "Brindan mejor servicio que varias empresas"
¿Qué os parece?
¡¡¡Le piden anydesk para solucionar el problema!!!
Como me decía el chaval: "Brindan mejor servicio que varias empresas"
Seguimos, que esto aún no ha acabado.
El "técnico de asistencia" le dice que tiene un problema en su Internet que vuelve en 2 horas... ¿Volverá? 🤔🤔🤔
El "técnico de asistencia" le dice que tiene un problema en su Internet que vuelve en 2 horas... ¿Volverá? 🤔🤔🤔
Pues veamos...
2 horas después:
¡VUELVE Y PIDE ACCESO A RATÓN Y TECLADO!
2 horas después:
¡VUELVE Y PIDE ACCESO A RATÓN Y TECLADO!
Llevan 6 horas conectados en remoto al PC y el problema persiste. ¡6 horas! ¡6 HORAS! ¡6 PUTAS HORAS!
Y el tío dice que en ese momento tiene que escalar el problema...
!Espérate que tienen otro nivel de asistencia! ¡Pasamos a Level 2!
Y el tío dice que en ese momento tiene que escalar el problema...
!Espérate que tienen otro nivel de asistencia! ¡Pasamos a Level 2!
Al PC ahora se va a conectar el "jefe hacker"... atentos que esto no ha acabado.
El jefe no lo consigue tampoco, siguen trabajando, llevan ya muchas horas en remoto...
El jefe no lo consigue tampoco, siguen trabajando, llevan ya muchas horas en remoto...
Horas después consiguen empezar a desencriptar, al parecer el sistema tenía 2 llaves de desencriptado y unos ficheros con una y otros con otra. El "boss" generó 3 ficheros de desencriptación y comienza el desencriptado: UNO A UNO.
La asistencia sigue dando "soporte moral":
La asistencia sigue dando "soporte moral":
14 horas y 58 minutos después cierran la conexión vía anydesk.
Consiguen recuperar todo y "cierran la incidencia".
¿como se te queda el culo?
Consiguen recuperar todo y "cierran la incidencia".
¿como se te queda el culo?
Muchas lecciones aprendidas con todo esto.
La primera:
La primera:
https://twitter.com/weareDMNTRs/status/1509528322178314252
La segunda: En este caso el problema vino por una DMZ al puerto 3389.
El cliente cambió el número de puerto y con eso creía estar seguro...
El cliente cambió el número de puerto y con eso creía estar seguro...
https://twitter.com/weareDMNTRs/status/1497153028217966593
Y la tercera:
Preocúpate de dar siempre un buen servicio a tus clientes. ¡Como los buenos crackers!
Preocúpate de dar siempre un buen servicio a tus clientes. ¡Como los buenos crackers!
Y poco más. Gracias de nuevo al compi que me ha dejado compartir esto. ¡RESPECT!
Recuerda que tengo una Newsletter con mil historias más de IT. ¡Abstenerse los instaladores impulsivos de plugins de Wordpress! ¡Esos fuera!
newsletter.dmntr.network
¡Nos vemos!
Recuerda que tengo una Newsletter con mil historias más de IT. ¡Abstenerse los instaladores impulsivos de plugins de Wordpress! ¡Esos fuera!
newsletter.dmntr.network
¡Nos vemos!
• • •
Missing some Tweet in this thread? You can try to
force a refresh
