Desafío 17 de ESET

Como todos los meses compartimos un nuevo desafío de ESET Latinoamérica, en donde buscamos fomentar a los lectores a poner en práctica diferentes técnicas informáticas para descubrir una solución. En esta nueva ocasión, nuestro amigo César se encuentra con un grave problema.

Su equipo ha sido infectado por un código malicioso del tipo ransomware, y ahora toda la información contenida en el mismo se encuentra cifrada. El atacante le ha enviado un correo electrónico en donde le pide la suma de 50 dólares para darle la clave que descifrará su información.

Muy confiado de sí mismo, y a modo de broma, adjuntó en el mensaje una fotografía, en donde invita a descubrir cuál es el mensaje y descifrarlo, para así poder acceder a su información sin pagar por ello.

César se ha puesto en contacto con nosotros para que le demos una mano, pero nosotros queremos premiar al primero que logre encontrar la información oculta en la imagen y recuperar la clave.

Archivo enviado por el atacante : desafio-17-ESET

  • Contraseña: “eset-latinoamerica”
  • MD5: ecd7eb3bab20328e846fcca7ce36e619

Como pista, les podemos decir que la herramienta que utilizó el atacante es libre y gratuita.

La primera persona que resuelva el desafío y nos envíe por comentario la respuesta, ganará una licencia de nuestro producto ESET NOD32 Antivirus. La próxima semana, estaremos publicando los resultados de este nuevo desafío en los comentarios del post. Los mismos, no serán aprobados hasta que termine el desafío.

Claudio Cortés Cid
Especialista de Awareness & Research

Autor , ESET

  • uso de la herramienta steghide

    Mensaje: QR DEUDV FRUUHRV GHVFRQRFLGRV

    Mensaje Decodificado : NO ABRAS CORREOS DESCONOCIDOS

    Codificado con cesar con diferentes ciclos

  • ener

    eso es facil el programa que uso es WINRAR ese es una version libre y gratuita actualmente. un saludo cordial a eset y que sigan asi

  • banchiero

    QR DEUDV FRUUHRV GHVFRQRFLGRV

    Me falta la llave, pero no la puedo localizar, a menos que…….

  • “NO ABRAS CORREOS DESCONOCIDOS”, mensaje obtenido al aplicar ROT23 al mensaje extraido con steghide y salvoconducto vacío.

  • Rene

    bueno es simple de saber cual es el programa: Hamster Free ZIP. Bueno es libre gratuito y muy accesible.

  • Rodrigo

    Llegue a encontrar el mensaje, según la info que pude sacar estaba encriptado con rijndael-128, cbc. Y el contenido del mensaje es este “QR DEUDV FRUUHRV GHVFRQRFLGRV”

    Saludos.-

  • Abner

    bueno esto esta medio dudoso asi que yo digo que es: 7- ZIP el que utiliso

  • Bueno, al principio viendo que es una imagen, probé con el EXIF Online Viewer. y al ver que no daba información relevante, supuse que había algo de esteganografía incluida.
    Para esto descargué la herramienta gratuita: steghide (la misma que puede haber usado el atacante para adjuntar el mensaje a la imagen)

    Y al ejecutar en la línea de comandos:
    C:steghide-0.5.1-win32steghide>steghide.exe info jajaja.jpg
    “jajaja.jpg”:
    formato: jpeg
    capacidad: 818.0 Byte
    ¿Intenta informarse sobre los datos adjuntos? (s/n) s
    Anotar salvoconducto:
    archivo adjunto “mensaje.txt”:
    tamaño: 29.0 Byte
    encriptado: rijndael-128, cbc
    compactado: si

    De forma curiosa, el salvoconducto solo era presionar la tecla Enter (osea no tenía contraseña o salvoconducto).
    Con eso vemos que tiene un mensaje adjunto de 29 bytes, encriptado y compactado.
    Entonces procedí a extraer el archivo:

    C:steghide-0.5.1-win32steghide>steghide.exe extract -sf jajaja.jpg
    Anotar salvoconducto:
    anotó los datos extraídos e/”mensaje.txt”.

    Y se crea un archivo mensaje.txt que contiene lo siguiente:

    QR DEUDV FRUUHRV GHVFRQRFLGRV

    Con esto pensé que podría haber algún tipo de cifrado por sustitución monoalfabética o polialfabética. Pero opté por probar la más sencilla y antigua: El cifrado del César, que consiste en mover las las letras un determinado numero de lugares hacia la derecha o izquierda. Tras unos cuantos intentos… y al probar 3 desplazamientos a la izquierda y tomando como base el alfabeto: ABCDEFGHIJKLMNOPQRSTUVWXYZ, se llega a la conclusión de que el mensaje es:

    NO ABRAS CORREOS DESCONOCIDOS.

    Con esto, el reto de nuestro amigo César está resuelto y no tendrá que pagar los 50 dólares que le pide el atacante.
    Así que ya puede recibir la clave para descifrar su información.

    Saludos desde Tarapoto-Perú y gracias por los interesantes retos.

    Felipe González Linares

    P.D. Saludos a Federico Pachecho, el año pasado estuve por ahí en el training de Modern Malware Reversing :D

  • Hola

    El mensaje oculto es el siguiente: NO ABRAS CORREOS DESCONOCIDOS

    Saludos

  • Noemi

    El mensaje descifrado es: NO ABRAS CORREOS DESCONOCIDOS

  • Erensto Bernal

    Use el steghide para extraer el mensaje.txt
    luego el mensaje cifrado: QR DEUDV FRUUHRV GHVFRQRFLGRV

    Es:
    NO ABRAS CORREOS DESCONOCIDOS

    lo obtuve con cryptool, método de cifrado Cesar.

    Saludos.

    Ernesto Bernal @bernal3r

  • banchiero

    “No abras correos desconocidos” es la respuesta

  • Rogers

    Hola.
    bueno segun parece la imagen se hizo con ImageMagick y por ahora lo unico que pude conseguir es un codigo “9ae58f4882ded4704e29d27d1947321148c856dd28a37aeda3d95a12b1dffe1e” y bueno ya de descifrarlo pues aun no… de todos modos muy interesante su iniciativa!!

  • Martin Scattini

    La imagen tiene un archivo embebido con steghide
    La info del mismo es
    embedded file “mensaje.txt”:
    size: 29.0 Byte
    encrypted: rijndael-128, cbc
    compressed: yes
    Al extraer el archivo de texto nos encontramos que tienen la siguiente frase cifrada “QR DEUDV FRUUHRV GHVFRQRFLGRV”. Como la mando Cesar la misma esta cifrada con el cifrado del cesar (desplazamiento de 4 letras) la cual al desencriptar dice “no abras correos desconocidos”.
    Saludos

  • Pingback: ESET Latinoamérica – Laboratorio » Blog Archive » Solución del Desafío 17 de ESET()

Síguenos