Desafío 17 de ESET
agosto 12, 2011 5:18 pmComo todos los meses compartimos un nuevo desafío de ESET Latinoamérica, en donde buscamos fomentar a los lectores a poner en práctica diferentes técnicas informáticas para descubrir una solución. En esta nueva ocasión, nuestro amigo César se encuentra con un grave problema.
Su equipo ha sido infectado por un código malicioso del tipo ransomware, y ahora toda la información contenida en el mismo se encuentra cifrada. El atacante le ha enviado un correo electrónico en donde le pide la suma de 50 dólares para darle la clave que descifrará su información.
Muy confiado de sí mismo, y a modo de broma, adjuntó en el mensaje una fotografía, en donde invita a descubrir cuál es el mensaje y descifrarlo, para así poder acceder a su información sin pagar por ello.
César se ha puesto en contacto con nosotros para que le demos una mano, pero nosotros queremos premiar al primero que logre encontrar la información oculta en la imagen y recuperar la clave.
Archivo enviado por el atacante : desafio-17-ESET
- Contraseña: “eset-latinoamerica”
- MD5: ecd7eb3bab20328e846fcca7ce36e619
Como pista, les podemos decir que la herramienta que utilizó el atacante es libre y gratuita.
La primera persona que resuelva el desafío y nos envíe por comentario la respuesta, ganará una licencia de nuestro producto ESET NOD32 Antivirus. La próxima semana, estaremos publicando los resultados de este nuevo desafío en los comentarios del post. Los mismos, no serán aprobados hasta que termine el desafío.
Claudio Cortés Cid
Especialista de Awareness & Research
Promedio: 5
16-8-2011 a las 5:47 pm
[...] presentamos la solución al desafío 17 de ESET Latinoamérica. Esta vez, el mismo consistía en descubrir la clave para descifrar la información de César, la [...]
15-8-2011 a las 7:30 pm
La imagen tiene un archivo embebido con steghide
La info del mismo es
embedded file “mensaje.txt”:
size: 29.0 Byte
encrypted: rijndael-128, cbc
compressed: yes
Al extraer el archivo de texto nos encontramos que tienen la siguiente frase cifrada “QR DEUDV FRUUHRV GHVFRQRFLGRV”. Como la mando Cesar la misma esta cifrada con el cifrado del cesar (desplazamiento de 4 letras) la cual al desencriptar dice “no abras correos desconocidos”.
Saludos
15-8-2011 a las 1:48 pm
Hola.
bueno segun parece la imagen se hizo con ImageMagick y por ahora lo unico que pude conseguir es un codigo “9ae58f4882ded4704e29d27d1947321148c856dd28a37aeda3d95a12b1dffe1e” y bueno ya de descifrarlo pues aun no… de todos modos muy interesante su iniciativa!!
15-8-2011 a las 10:03 am
“No abras correos desconocidos” es la respuesta
13-8-2011 a las 7:59 pm
Use el steghide para extraer el mensaje.txt
luego el mensaje cifrado: QR DEUDV FRUUHRV GHVFRQRFLGRV
Es:
NO ABRAS CORREOS DESCONOCIDOS
lo obtuve con cryptool, método de cifrado Cesar.
Saludos.
Ernesto Bernal @bernal3r
13-8-2011 a las 11:34 am
El mensaje descifrado es: NO ABRAS CORREOS DESCONOCIDOS
13-8-2011 a las 11:08 am
Hola
El mensaje oculto es el siguiente: NO ABRAS CORREOS DESCONOCIDOS
Saludos
13-8-2011 a las 3:41 am
Bueno, al principio viendo que es una imagen, probé con el EXIF Online Viewer. y al ver que no daba información relevante, supuse que había algo de esteganografía incluida.
Para esto descargué la herramienta gratuita: steghide (la misma que puede haber usado el atacante para adjuntar el mensaje a la imagen)
Y al ejecutar en la línea de comandos:
C:\steghide-0.5.1-win32\steghide>steghide.exe info jajaja.jpg
“jajaja.jpg”:
formato: jpeg
capacidad: 818.0 Byte
¿Intenta informarse sobre los datos adjuntos? (s/n) s
Anotar salvoconducto:
archivo adjunto “mensaje.txt”:
tamaño: 29.0 Byte
encriptado: rijndael-128, cbc
compactado: si
De forma curiosa, el salvoconducto solo era presionar la tecla Enter (osea no tenía contraseña o salvoconducto).
Con eso vemos que tiene un mensaje adjunto de 29 bytes, encriptado y compactado.
Entonces procedí a extraer el archivo:
C:\steghide-0.5.1-win32\steghide>steghide.exe extract -sf jajaja.jpg
Anotar salvoconducto:
anotó los datos extraídos e/”mensaje.txt”.
Y se crea un archivo mensaje.txt que contiene lo siguiente:
QR DEUDV FRUUHRV GHVFRQRFLGRV
Con esto pensé que podría haber algún tipo de cifrado por sustitución monoalfabética o polialfabética. Pero opté por probar la más sencilla y antigua: El cifrado del César, que consiste en mover las las letras un determinado numero de lugares hacia la derecha o izquierda. Tras unos cuantos intentos… y al probar 3 desplazamientos a la izquierda y tomando como base el alfabeto: ABCDEFGHIJKLMNOPQRSTUVWXYZ, se llega a la conclusión de que el mensaje es:
NO ABRAS CORREOS DESCONOCIDOS.
Con esto, el reto de nuestro amigo César está resuelto y no tendrá que pagar los 50 dólares que le pide el atacante.
Así que ya puede recibir la clave para descifrar su información.
Saludos desde Tarapoto-Perú y gracias por los interesantes retos.
Felipe González Linares
P.D. Saludos a Federico Pachecho, el año pasado estuve por ahí en el training de Modern Malware Reversing
12-8-2011 a las 9:21 pm
bueno esto esta medio dudoso asi que yo digo que es: 7- ZIP el que utiliso
12-8-2011 a las 9:21 pm
Llegue a encontrar el mensaje, según la info que pude sacar estaba encriptado con rijndael-128, cbc. Y el contenido del mensaje es este “QR DEUDV FRUUHRV GHVFRQRFLGRV”
Saludos.-
12-8-2011 a las 9:13 pm
bueno es simple de saber cual es el programa: Hamster Free ZIP. Bueno es libre gratuito y muy accesible.
12-8-2011 a las 7:23 pm
“NO ABRAS CORREOS DESCONOCIDOS”, mensaje obtenido al aplicar ROT23 al mensaje extraido con steghide y salvoconducto vacío.
12-8-2011 a las 7:17 pm
QR DEUDV FRUUHRV GHVFRQRFLGRV
Me falta la llave, pero no la puedo localizar, a menos que…….
12-8-2011 a las 6:40 pm
eso es facil el programa que uso es WINRAR ese es una version libre y gratuita actualmente. un saludo cordial a eset y que sigan asi
12-8-2011 a las 6:39 pm
uso de la herramienta steghide
Mensaje: QR DEUDV FRUUHRV GHVFRQRFLGRV
Mensaje Decodificado : NO ABRAS CORREOS DESCONOCIDOS
Codificado con cesar con diferentes ciclos