{"id":19068,"date":"2020-06-10T10:41:54","date_gmt":"2020-06-10T16:41:54","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=19068"},"modified":"2020-08-03T06:44:07","modified_gmt":"2020-08-03T12:44:07","slug":"fake-djvu-ransomware-decryptor","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/fake-djvu-ransomware-decryptor\/19068\/","title":{"rendered":"Cifrar lo cifrado: el troyano Zorab en el cifrador STOP"},"content":{"rendered":"

\u00bfQu\u00e9 hacen las personas si descubren que un ransomware<\/em> ha cifrado sus archivos?\u00a0 Lo primero probablemente es entrar en p\u00e1nico, luego preocuparse y despu\u00e9s buscar maneras de recuperar la informaci\u00f3n sin pagar ning\u00fan rescate a los atacantes (lo cual ser\u00eda in\u00fatil de todos modos<\/a>). Es decir, recurren a Google en busca de una soluci\u00f3n o piden consejo en redes sociales. Y eso es exactamente lo que los creadores del troyano Zorab<\/a> quieren, tras haber integrado el malware<\/em> en una herramienta cuyo objetivo es ayudar a las v\u00edctimas del STOP\/Djvu.<\/p>\n

El falso descifrador STOP como carnada<\/h2>\n

De hecho, los cibercriminales han decidido a exacerbar los problemas que ya enfrentaban las v\u00edctimas del ransomware<\/em> STOP\/Djvu, los cuales cifran los datos y, dependiendo de la versi\u00f3n, les asignan una extensi\u00f3n a los archivos modificados, entre cuyas opciones se incluyen: .djvu, .djvus, .djvuu, .tfunde y .uudjvu. Los creadores de Zorab lanzaron una herramienta que supuestamente descifra estos archivos, pero en realidad los cifra de nuevo.<\/p>\n

La verdad es que puedes descifrar archivos comprometidos por versiones anteriores de STOP; Emsisoft lanz\u00f3 una herramienta<\/a> en octubre de 2019. Pero las versiones modernas usan un algoritmo de cifrado m\u00e1s confiable que la tecnolog\u00eda actual no puede quebrar. As\u00ed que, al menos por ahora, no existe ninguna herramienta de descifrado para las versiones modernas de STOP\/Djvu.<\/p>\n

Y dijimos \u201cpor ahora\u201d porque las herramientas de descifrado aparecen en uno de dos casos: ya sea que los cibercriminales cometan un error en el algoritmo de cifrado (o simplemente usen un cifrado d\u00e9bil); o que la polic\u00eda ubique y decomise sus servidores. Desde luego, los creadores podr\u00edan publicar las claves voluntariamente, pero es una posibilidad muy remota; e incluso si lo hacen, las empresas de la seguridad inform\u00e1tica a\u00fan tienen que crear una herramienta \u00fatil que las v\u00edctimas puedan usar para restaurar su informaci\u00f3n. Esto es lo que pas\u00f3 con las claves para los afectados por el ransomware<\/em> Shade, y nosotros publicamos un programa de descifrado en abril de este a\u00f1o<\/a>.<\/p>\n

C\u00f3mo saber si un descifrador es falso<\/h2>\n

Es pr\u00e1cticamente imposible que los bienhechores an\u00f3nimos hayan creado una herramienta de descifrado y la hayan colocado en un sitio desconocido, o que proporcionen un enlace directo en un foro o en redes sociales. Puedes encontrar herramientas genuinas en los sitios web de las empresas de seguridad de la informaci\u00f3n dedicadas a combatir el ransomware<\/em>, como nomoreransom.org<\/a>. Sospecha de cualquier herramienta albergada en cualquier otra parte.<\/p>\n

Los cibercriminales utilizan el p\u00e1nico, a sabiendas de que alguien que ha perdido sus archivos a manos de un cifrador, estar\u00e1 dispuesto a recurrir a cualquier cosa. E incluso si crees que una herramienta es de buena fe, no obstante, es importante mantener la calma y ser objetivo, y por tanto verificar el sitio como se debe. Si albergas cualquier suspicacia en torno a su legitimidad, entonces no uses la herramienta.<\/p>\n

C\u00f3mo protegerte de Zorab y otros ransomware<\/em><\/h2>\n