Ransomfails: algunas batallas que los cifradores han perdido

Hemos oído algunas historias, un poco tristes, sobre los peligros del ransomware. Para cambiar (y para entretenernos un poco), nos gustaría hablar de algunas historias sobre cómo derrotar el ransomware.

Hemos oído algunas historias, un poco tristes, sobre los peligros del ransomware. Para cambiar (y para entretenernos un poco), nos gustaría hablar de algunas historias sobre cómo derrotar el ransomware.

“Helpme/file2”

De este ransomware solo se conocían dos direcciones de correo electrónico, helpme@freespeechmail.org y file2@openmailbox.org, después de que dos usuarios tuvieran que contactar con los autores del malware para recibir las instrucciones der pago para el posible descifrado.

El autor (o autores) pedía tres bitcoins en concepto de fianza. Los foros tecnológicos calificaron el ransomware de fastidioso porque había causado mucha destrucción.

 

Sin embargo, en otoño de 2015 se descubrió mediante la utilidad de Kaspersky Lab RakhniDecryptor que el ransomware tiende a utilizar la fuerza bruta. Dicha utilidad se creó con la intención de acabar con el “venerable” cifrador Rakhni (Trojan-Ransom.Win32.Rakhni) conocido desde 2013. Es muy probable que el ransomware “helpme@freespeechmail” derive del anterior.

Por ello, es muy posible que se pueda dar puerta a los delincuentes (y no darles el rescate).

El fallo épico del cifrador DMA

Se trata de un malware polaco de cifrado que, al principio, llevaba una nota de rescate en el idioma de su país origen. Aun así, con el tiempo se mejoró su código y se añadió una nota de rescate en inglés.

Más tarde, los investigadores de Malwarebytes decidieron entrar en el juego y encontraron muchas cosas divertidas sobre DMA.

La primera: los autores del malware advertían de que habían usado una clave AES-256 para cifrar los archivos y que luego la protegieron con un cifrado RSA-2048, pero los investigadores descubrieron que solo habían empleado un algoritmo de cifrado por defecto que se rompió rápidamente.

 

excellent

La segunda: DMA no tenía protección contra ingeniería inversa, lo que fueron excelentes noticias para los investigadores.

La tercera: la clave de cifrado de DMA no estaba muy codificada en uno de sus binarios.

La cuarta: los autores de DMA introdujeron en descifrador dentro de la nota de rescate, creando así un ransomware dual que puede cifrar y descifrar archivos desde el mismo código fuente.

Aunque los listillos que escribieron DMA descubrieran que habían cometido un error al introducir el descifrado, su algoritmo de cifrado por defecto sigue siendo débil. Por fortuna para las víctimas, se trata de un trabajo de aficionados que no resultará ningún peligro.

 

El ransomware Petya

En marzo se descubrió un vil cifrador llamado Petya (el equivalente en ruso de Pedro). Tenía una característica en particular: sus objetivos eran los registros de arranque principales del dispositivo infectado y la única opción que les quedaba a las víctimas era gastarse 400 dólares en bitcoins para adquirir la clave de descifrado.

Un individuo con el nombre de @leostone publicó un algoritmo para generar las claves de descifrado.

Como se indica en Theatpost, los usuarios pueden generar una clave de descifrado siempre y cuando puedan introducir en la herramienta la información del disco infectado (el sector de arranque y el número asociado a él).

Esto puede no resultar fácil para un usuario medio, pero Fabian Wosar, un investigador de seguridad de Emsisoft, creó un ejecutable para extraer la información desde los discos que Petya había infectado para acelerar el proceso.

El mismo Wosar también ha podido romper el cifrado de las familias de ransomware HydraCrypt y UmbreCrypt.

Lawrence Abrams, un experto en informática forense que escribe en BleepingComputer.com y ha seguido el tema del ransomware, publicó una guía sobre cómo usar la herramienta. La probó y pudo recuperar la información de una máquina de pruebas. Sin embargo, admitió que los autores de Petya podrían actualizar pronto su ransomware para complicar mucho más el proceso de descifrado.

¿Querías jugar a un juego? ¿En serio?

Un sádico ransomware no solo cifraba archivos, sino que también los borraba a no ser que la víctima pagara 0,4 bitcoins o 150 dólares en el plazo de una hora. Si se reiniciaba el PC, se borraban 1 000 archivos.

La nota de rescate contenía una imagen de la franquicia de películas de terror Saw y la frase “Vamos a jugar a un juego…”

Fin del juego, al menos por ahora. Los investigadores, incluidos los de MalwareHunterTeam y los expertos en informática forense Michael Gillespie y Lawrence Abrams, han analizado el malware y desarrollado una herramienta de descifrado que permite a las víctimas recuperar sus archivos gratis.

 

saw

Lo más divertido: se puede impedir que Jigsaw borre cualquier archivo si un usuario afectado abre el Administrador de tareas de Windows y cierra el proceso firefox.exe y todos los drpbx.exe. De hecho, Jigsaw se introduce en el sistema como un archivo de instalación falso del navegador Firefox.

 

Luego solo queda un problema de descifrado que se puede resolver con la herramienta antes mencionada.

Todavía no es común

No es común aventajar a los delincuentes de ransomware. De hecho, es muy extraño. Cada vez más a menudo, los usuarios y los negocios se enfrentan a la posibilidad de pagar el rescate sin la garantía de que vayan a recuperar sus archivos.

Algunos ransomware son imposibles de descifrar sin conocer las claves simplemente porque el algoritmo de cifrado es demasiado fuerte.

 Por ello, es mucho más razonable tomar medidas preventivas y no dejar que se cuelen en nuestros dispositivos.

 

Andrey Pozhogin lo explicó:

“Recuerden el planteamiento de seguridad de varias capas. Hagan copias de seguridad a menudo. Detengan el phishing en vuestro servidor de correo y en el navegador web. Detengan los malware conocidos… Verifiquen con la inteligencia en la nube. Usen el aislamiento de procesos. Dejen que el cortafuegos trabaje por vosotros. Asegurense de que la aplicación de control de privilegios de seguridad detiene los procesos que intentan acceder a vuestros datos personales a no ser que se permita de forma específica. O activen directamente el modo de denegación por defecto”.

 

Es mucho más fácil prevenir un incendio que extinguirlo cuando ya ha empezado.

 

Miren nuestra solución Kaspersky Security for Windows Server, el cual cuenta con tecnología anticifrado para impedir que los ransomware se extiendan por todo el mundo.

¡Tengan cuidado!

P.D.: ¡Cuéntanos en los comentarios tus propias experiencias con ransomware si es que las has tenido!

 

Consejos