Ayudamos a las víctimas del ransomware Yatron y FortuneCrypt

8 Oct 2019

El ransomware ha sido y sigue siendo un enorme dolor de cabeza para los usuarios y los expertos por igual. No es fácil recuperar los archivos cifrados mediante ransomware; en muchos casos, es imposible. Pero tenemos buenas noticias para las víctimas del malware Yatron y FortuneCrypt: los expertos de Kaspersky han desarrollado y publicado descifradores para los archivos cifrados por este malware en particular.

Las víctimas del ransomware Yatron y FortuneCrypt pueden recuperar sus archivos cifrados mediante la descarga de un descifrador del sitio web No More Ransom.

Cómo descifrar los archivos cifrados por Yatron

El ransomware Yatron se basa en otro cifrador, llamado Hidden Tear, el cual tiene una historia poco usual. Hace algunos años, el investigador turco Utku Sen creó este malware con fines educativos y de investigación, y subió su código fuente a internet. Su idea fue la siguiente: tienes que entender cómo piensa un criminal y esforzarte para combatirlo de modo eficiente.

Sen se dio cuenta desde el principio que los malhechores reales utilizarían su código, así que dejó lagunas en el código que le permitirían recuperar las claves de cifrado de los servidores de mando y control que el malware emplea. Esas claves se podían utilizar entonces para crear descifradores.

El plan de Sen resultó fallido cuando uno de los proveedores de host, cuyos servicios usaban los creadores del ransomware, clausuraron por completo el servidor de comando y control, y borraron toda la información (incluidas las contraseñas) antes de que el investigador fuera capaz de obtenerla.

Más adelante, los criminales entraron en contacto con Sen y le prometieron que restaurarían los datos de sus víctimas si él eliminaba de internet el código fuente de su cifrador. El experto cumplió con lo solicitado, pero para entonces, Hidden Tear ya se había descargado muchas veces. El legado de este software todavía está entre nosotros; los expertos siguen hallando nuevo ransomware basado en él, y Yatron es apenas un ejemplo.

Afortunadamente, se encontraron vulnerabilidades en el código de Yatron, y nuestros expertos las aprovecharon para crear un descifrador. Si ves la extensión *.yatron en los archivos bloqueados, ve al sitio web No More Ransom y descarga una herramientas de descifrado que recuperará tus archivos.

Cómo descifrar los archivos cifrados por FortuneCrypt

También es difícil llamar al segundo paquete de ransomware una obra de arte, ¿o deberíamos decir obra de malas artes? En vez de usar lenguajes avanzados como C/C++ y Python, los creadores de FortuneCrypt lo escribieron en BlitzMax, un lenguaje bastante simple, muy similar a BASIC en modo turbo. En todo nuestro tiempo de investigación en el rastreo de malware, jamás nos habíamos topado con este lenguaje.

Nuestros expertos descubrieron que el algoritmo de cifrado de este malware dista mucho de ser perfecto, lo cual les permitió desarrollar un descifrador para este. Lo mismo que Yatron, las víctimas de FortuneCrypt pueden descargar ahora una herramienta de descifrado del portal No More Ransom.

Qué puedes hacer respecto al ransomware en tu computadora

Primero, no pagues el rescate. Al pagar, solo alientas a los criminales y no hay garantía de que puedas recuperar tus datos. La mejor forma de proceder es ir al sitio web No More Ransom, creado por expertos de varias empresas de ciberseguridad y organismos policiales de todo el mundo, incluyendo Kaspersky, Interpol y la policía holandesa, con el fin de mitigar la penosa situación de las víctimas de ransomware. El sitio web contiene descifradores para cientos de programas de ransomware y, por supuesto, todos son gratuitos.

Cómo protegerse de los extorsionadores detrás del ransomware

Para finalizar, algunos consejos para evitar caer víctima:

  • No descargues programas de sitios web desconocidos o sospechosos. Incluso si el nombre del programa luce bien, el paquete puede contener algo completamente diferente y peligroso.
  • No hagas clic en enlaces ni abras archivos adjuntos en los correos de remitentes desconocidos. Si usted recibe un mensaje sospechoso e inesperado de un amigo o colega, llámales para aclarar si los archivos son seguros.
  • Asegúrate de instalar las últimas actualizaciones para tu sistema operativo y para los programas que normalmente usas. Esto te ayudará a alejarte de las vulnerabilidades de las que se aprovechan de los creadores de ransomware.
  • Instala una aplicación de antivirus confiable y nunca la desactives, incluso si cierto programa te lo solicita.
  • Realiza copias de seguridad de la información importante y almacénala en la nube, una unidad flash o una unidad externa.