{"id":8096,"date":"2016-12-07T06:22:49","date_gmt":"2016-12-07T06:22:49","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=8096"},"modified":"2022-05-05T09:50:37","modified_gmt":"2022-05-05T15:50:37","slug":"ransomfails","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/ransomfails\/8096\/","title":{"rendered":"Ransomfails: algunas batallas que los cifradores han perdido"},"content":{"rendered":"

Hemos o\u00eddo algunas historias, un poco tristes, sobre los peligros del ransomware<\/em>. Para cambiar (y para entretenernos un poco), nos gustar\u00eda hablar de algunas historias sobre c\u00f3mo derrotar el ransomware.<\/em><\/p>\n

\u201cHelpme\/file2\u201d<\/strong><\/p>\n

De este ransomware<\/em> solo se conoc\u00edan dos direcciones de correo electr\u00f3nico, helpme@freespeechmail.org y file2@openmailbox.org, despu\u00e9s de que dos usuarios tuvieran que contactar con los autores del malware<\/em> para recibir las instrucciones der pago para el posible descifrado.<\/p>\n

El autor (o autores) ped\u00eda tres bitcoins<\/em> en concepto de fianza. Los foros tecnol\u00f3gicos calificaron el ransomware<\/em> de fastidioso porque hab\u00eda causado mucha destrucci\u00f3n.<\/p>\n

\u00a0<\/p>\n

Ransomfails: algunas batallas que los cifradores han perdido<\/p>\n

Tweet<\/a><\/p><\/blockquote>\n

Sin embargo, en oto\u00f1o de 2015 se descubri\u00f3<\/a> mediante la utilidad de Kaspersky Lab RakhniDecryptor<\/a> que el ransomware<\/em> tiende a utilizar la fuerza bruta. Dicha utilidad se cre\u00f3 con la intenci\u00f3n de acabar con el \u201cvenerable\u201d cifrador Rakhni (Trojan-Ransom.Win32.Rakhni) conocido desde 2013. Es muy probable que el ransomware<\/em> \u201chelpme@freespeechmail\u201d derive del anterior.<\/p>\n

Por ello, es muy posible que se pueda dar puerta a los delincuentes (y no darles el rescate).<\/p>\n

El fallo \u00e9pico del cifrador DMA<\/strong><\/p>\n

Se trata de un malware<\/em> polaco de cifrado que, al principio, llevaba una nota de rescate en el idioma de su pa\u00eds origen. Aun as\u00ed, con el tiempo se mejor\u00f3 su c\u00f3digo y se a\u00f1adi\u00f3 una nota de rescate en ingl\u00e9s.<\/p>\n

M\u00e1s tarde, los investigadores de Malwarebytes decidieron entrar en el juego<\/a> y encontraron muchas cosas divertidas sobre DMA.<\/p>\n

La primera: los autores del malware<\/em> advert\u00edan de que hab\u00edan usado una clave AES-256 para cifrar los archivos y que luego la protegieron con un cifrado RSA-2048, pero los investigadores descubrieron que solo hab\u00edan empleado un algoritmo de cifrado por defecto que se rompi\u00f3 r\u00e1pidamente.<\/p>\n

\u00a0<\/p>\n

\"excellent\"<\/p>\n

La segunda: DMA no ten\u00eda protecci\u00f3n contra ingenier\u00eda inversa, lo que fueron excelentes noticias para los investigadores.<\/p>\n

La tercera: la clave de cifrado de DMA no estaba muy codificada en uno de sus binarios.<\/p>\n

La cuarta: los autores de DMA introdujeron en descifrador dentro de la nota de rescate, creando as\u00ed un ransomware<\/em> dual que puede cifrar y descifrar archivos desde el mismo c\u00f3digo fuente.<\/p>\n

Aunque los listillos que escribieron DMA descubrieran que hab\u00edan cometido un error al introducir el descifrado, su algoritmo de cifrado por defecto sigue siendo d\u00e9bil. Por fortuna para las v\u00edctimas, se trata de un trabajo de aficionados que no resultar\u00e1 ning\u00fan peligro.<\/p>\n

\u00a0<\/p>\n

El ransomware<\/em> Petya<\/strong><\/p>\n

En marzo se descubri\u00f3 un vil cifrador llamado Petya (el equivalente en ruso de Pedro). Ten\u00eda una caracter\u00edstica en particular: sus objetivos eran los registros de arranque principales del dispositivo infectado y la \u00fanica opci\u00f3n que les quedaba a las v\u00edctimas era gastarse 400 d\u00f3lares en bitcoins<\/em> para adquirir la clave de descifrado.<\/p>\n

Un individuo con el nombre de @leostone public\u00f3 un algoritmo para generar las claves de descifrado.<\/p>\n

Se puede derrotar el #ransomware, pero influye m\u00e1s la suerte y los errores de los delincuentes (algo de lo que no se puede depender)<\/p>\n

Tweet<\/a><\/p><\/blockquote>\n

Como se indica en Theatpost<\/a>, los usuarios pueden generar una clave de descifrado siempre y cuando puedan introducir en la herramienta la informaci\u00f3n del disco infectado (el sector de arranque y el n\u00famero asociado a \u00e9l).<\/p>\n

Esto puede no resultar f\u00e1cil para un usuario medio, pero Fabian Wosar, un investigador de seguridad de Emsisoft, cre\u00f3 un ejecutable para extraer la informaci\u00f3n desde los discos que Petya hab\u00eda infectado para acelerar el proceso.<\/p>\n

El mismo Wosar tambi\u00e9n ha podido romper el cifrado de las familias de ransomware HydraCrypt y UmbreCrypt<\/a>.<\/p>\n

Lawrence Abrams, un experto en inform\u00e1tica forense que escribe en BleepingComputer.com y ha seguido el tema del ransomware<\/em>, public\u00f3 una gu\u00eda sobre c\u00f3mo usar la herramienta. La prob\u00f3 y pudo recuperar la informaci\u00f3n de una m\u00e1quina de pruebas. Sin embargo, admiti\u00f3 que los autores de Petya podr\u00edan actualizar pronto su ransomware<\/em> para complicar mucho m\u00e1s el proceso de descifrado.<\/p>\n

\u00bfQuer\u00edas jugar a un juego? \u00bfEn serio?<\/strong><\/p>\n

Un s\u00e1dico ransomware<\/em> no solo cifraba archivos, sino que tambi\u00e9n los borraba a no ser que la v\u00edctima pagara 0,4 bitcoins<\/em> o 150 d\u00f3lares en el plazo de una hora. Si se reiniciaba el PC, se borraban 1 000 archivos.<\/p>\n

La nota de rescate conten\u00eda una imagen de la franquicia de pel\u00edculas de terror Saw<\/em> y la frase \u201cVamos a jugar a un juego\u2026\u201d<\/p>\n

Fin del juego<\/a>, al menos por ahora. Los investigadores, incluidos los de MalwareHunterTeam y los expertos en inform\u00e1tica forense Michael Gillespie y Lawrence Abrams, han analizado el malware<\/em> y desarrollado una herramienta de descifrado que permite a las v\u00edctimas recuperar sus archivos gratis.<\/p>\n

\u00a0<\/p>\n

\n

\"saw\"<\/p>\n

Lo m\u00e1s divertido: se puede impedir que Jigsaw borre cualquier archivo si un usuario afectado abre el Administrador de tareas de Windows y cierra el proceso firefox.exe y todos los drpbx.exe. De hecho, Jigsaw se introduce en el sistema como un archivo de instalaci\u00f3n falso del navegador Firefox.<\/span><\/p>\n

\u00a0<\/span><\/p>\n

Luego solo queda un problema de descifrado que se puede resolver con la herramienta antes mencionada.<\/span><\/p>\n<\/div>\n

Todav\u00eda no es com\u00fan<\/strong><\/p>\n

No es com\u00fan aventajar a los delincuentes de ransomware<\/em>. De hecho, es muy extra\u00f1o. Cada vez m\u00e1s a menudo, los usuarios y los negocios se enfrentan a la posibilidad de pagar el rescate sin la garant\u00eda de que vayan a recuperar sus archivos.<\/p>\n

Algunos ransomware<\/em> son imposibles de descifrar sin conocer las claves simplemente porque el algoritmo de cifrado es demasiado fuerte.<\/p>\n

\u00a0Por ello, es mucho m\u00e1s razonable tomar medidas preventivas y no dejar que se cuelen en nuestros dispositivos.<\/span><\/p>\n

\u00a0<\/span><\/p>\n

Andrey Pozhogin lo explic\u00f3<\/a>:<\/span><\/p>\n

\u201cRecuerden el planteamiento de seguridad de varias capas. Hagan copias de seguridad a menudo. Detengan el phishing en vuestro servidor de correo y en el navegador web. Detengan los malware conocidos\u2026 Verifiquen con la inteligencia en la nube. Usen el aislamiento de procesos. Dejen que el cortafuegos trabaje por vosotros. Asegurense de que la aplicaci\u00f3n de control de privilegios de seguridad detiene los procesos que intentan acceder a vuestros datos personales a no ser que se permita de forma espec\u00edfica. O activen directamente el modo de denegaci\u00f3n por defecto\u201d.<\/em><\/p>\n

\u00a0<\/em><\/p>\n

Es mucho m\u00e1s f\u00e1cil prevenir un incendio que extinguirlo cuando ya ha empezado.<\/span><\/p>\n

\u00a0<\/span><\/p>\n

Miren nuestra soluci\u00f3n Kaspersky Security for Windows Server<\/a>, el cual cuenta con tecnolog\u00eda anticifrado para impedir que los ransomware<\/em> se extiendan por todo el mundo.<\/p>\n

\u00a1Tengan cuidado!<\/p>\n

P.D.: \u00a1Cu\u00e9ntanos en los comentarios tus propias experiencias con ransomware<\/em> si es que las has tenido!<\/p>\n

\u00a0<\/p>\n","protected":false},"excerpt":{"rendered":"

Hemos o\u00eddo algunas historias, un poco tristes, sobre los peligros del ransomware. Para cambiar (y para entretenernos un poco), nos gustar\u00eda hablar de algunas historias sobre c\u00f3mo derrotar el ransomware.<\/p>\n","protected":false},"author":2706,"featured_media":8102,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2795,3540],"tags":[151,472],"class_list":{"0":"post-8096","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-smb","9":"tag-business","10":"tag-ransomware"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/ransomfails\/8096\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/ransomfails\/3707\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/ransomfails\/15137\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/ransomfails\/15137\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/ransomfails\/15137\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/business\/","name":"business"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/8096","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/2706"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=8096"}],"version-history":[{"count":1,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/8096\/revisions"}],"predecessor-version":[{"id":9347,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/8096\/revisions\/9347"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/8102"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=8096"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=8096"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=8096"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}