Otro ransomware que pierde la batalla frente a los expertos en seguridad. Hace unos días hablábamos de esta amenaza que se distribuye desde hace al menos 10 días, provocando una gran cantidad de usuarios con sistema operativo Windows infectados. Sin embargo, parece que Alpha ya no tiene ningún secreto y los expertos han conseguido descifrar los archivos.
Lo característico de esta amenaza es que el cifrado que realiza es selectivo, es decir, no actúa de forma masiva como otros. Para que sirva como ejemplo, en unidades o volúmenes secundarios cifra todos menos aquellos que tengan como extensión .INI. En el caso de la unidad C, cifra un total de 249 tipos distintos de archivos y si hablamos de unidades de red o dispositivos de almacenamiento extraíbles el cifrado es completo.
La amenaza utiliza el algoritmo de cifrado AES de 256 bits y añade la terminación .encrypted a los archivos afectados. Tras la finalización de la operación se genera un documento de texto en el escritorio donde se explica lo sucedido y cuáles son los pasos a seguir si se quiere recuperar el acceso a los archivos. En esta ocasión la cifra económica que se debe abonar en criptomonedas es inexistente, cambiando totalmente respecto a otras amenazas del mismo tipo. A cambio, el usuario debe comprar “tarjetas de iTunes” por un valor de 400 dólares, algo que no se debe realizar bako ningún concepto ya que son falsas.
La semana pasada ya hemos hablado de otras dos amenazas que utilizaba este tipo de pago, concretamente Cyber.Police y TrueCrypter, de las que la segunda también es descifrable al 100%.
El programa para recuperar los archivos afectados por Alpha también disponible
Antes de nada conviene advertir que algunas herramientas de seguridad puedan detectar la utilidad como un virus. Se ha preguntado a los desarrolladores sobre este aspecto e indican que se debe a la ofuscación de código que se utilizado durante la programación.
Para evitar conflictos conviene desactivar de forma momentánea las herramientas de seguridad existentes, activándolas cuando el proceso de descifrado haya terminado.
En el foro de Bleeping Computer se está tratando este aspecto y parece que la herramienta es totalmente fiable de acuerdo a las opiniones de otros usuarios, por lo tanto, si estás afectado por este ransomware y has perdido el acceso a tus archivos ya posees una vía sin la necesidad de recurrir a copias de seguridad ni restaurar el sistema. Añadir que conviene en primer lugar eliminar la amenaza antes de llevar a cabo el proceso.
Fuente:https://www.redeszone.net/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
