Cifrar lo cifrado: el troyano Zorab en el cifrador STOP

Los cibercriminales están distribuyendo ransomware disfrazado de herramienta para descifrar los archivos cifrados por el troyano STOP.

¿Qué hacen las personas si descubren que un ransomware ha cifrado sus archivos?  Lo primero probablemente es entrar en pánico, luego preocuparse y después buscar maneras de recuperar la información sin pagar ningún rescate a los atacantes (lo cual sería inútil de todos modos). Es decir, recurren a Google en busca de una solución o piden consejo en redes sociales. Y eso es exactamente lo que los creadores del troyano Zorab quieren, tras haber integrado el malware en una herramienta cuyo objetivo es ayudar a las víctimas del STOP/Djvu.

El falso descifrador STOP como carnada

De hecho, los cibercriminales han decidido a exacerbar los problemas que ya enfrentaban las víctimas del ransomware STOP/Djvu, los cuales cifran los datos y, dependiendo de la versión, les asignan una extensión a los archivos modificados, entre cuyas opciones se incluyen: .djvu, .djvus, .djvuu, .tfunde y .uudjvu. Los creadores de Zorab lanzaron una herramienta que supuestamente descifra estos archivos, pero en realidad los cifra de nuevo.

La verdad es que puedes descifrar archivos comprometidos por versiones anteriores de STOP; Emsisoft lanzó una herramienta en octubre de 2019. Pero las versiones modernas usan un algoritmo de cifrado más confiable que la tecnología actual no puede quebrar. Así que, al menos por ahora, no existe ninguna herramienta de descifrado para las versiones modernas de STOP/Djvu.

Y dijimos “por ahora” porque las herramientas de descifrado aparecen en uno de dos casos: ya sea que los cibercriminales cometan un error en el algoritmo de cifrado (o simplemente usen un cifrado débil); o que la policía ubique y decomise sus servidores. Desde luego, los creadores podrían publicar las claves voluntariamente, pero es una posibilidad muy remota; e incluso si lo hacen, las empresas de la seguridad informática aún tienen que crear una herramienta útil que las víctimas puedan usar para restaurar su información. Esto es lo que pasó con las claves para los afectados por el ransomware Shade, y nosotros publicamos un programa de descifrado en abril de este año.

Cómo saber si un descifrador es falso

Es prácticamente imposible que los bienhechores anónimos hayan creado una herramienta de descifrado y la hayan colocado en un sitio desconocido, o que proporcionen un enlace directo en un foro o en redes sociales. Puedes encontrar herramientas genuinas en los sitios web de las empresas de seguridad de la información dedicadas a combatir el ransomware, como nomoreransom.org. Sospecha de cualquier herramienta albergada en cualquier otra parte.

Los cibercriminales utilizan el pánico, a sabiendas de que alguien que ha perdido sus archivos a manos de un cifrador, estará dispuesto a recurrir a cualquier cosa. E incluso si crees que una herramienta es de buena fe, no obstante, es importante mantener la calma y ser objetivo, y por tanto verificar el sitio como se debe. Si albergas cualquier suspicacia en torno a su legitimidad, entonces no uses la herramienta.

Cómo protegerte de Zorab y otros ransomware

  • No sigas enlaces sospechosos ni abras archivos ejecutables si no confías en su origen. Si buscas un descifrador, las fuentes más confiables, es decir, los lugares por lo que debes comenzar a buscar, son kaspersky.com, y nomoreransom.org (un proyecto conjunto entre varias empresas) y los sitios de otros proveedores de soluciones de seguridad. Si encuentras una herramienta en otra parte, entonces te aconsejamos sobremanera que verifiques la legitimidad de sus autores y del sitio donde se publicó antes de que siquiera pensaras usarla.
  • Haz copias de seguridad de los archivos importantes.
  • Usa una solución de seguridad confiable que detecte el ransomware conocido y, cuando encuentre algo desconocido, identifique y bloquee los intentos de modificación de los archivos.

Para las empresas que temen al ransomware pero que usan otro tipo de protección, ofrecemos la solución independiente Kaspersky Anti-Ransomware Tool. Es compatible con la mayoría de las soluciones de seguridad y detecta las amenazas que puedan filtrarse a través de sus líneas de defensa.

 

Consejos