Paree que los investigadores comienzan a encontrar la luz al final del túnel en lo referido a los ransomware. Aunque aún son muchas las amenazas de este tipo, en esta ocasión expertos de Kasperksy han descubierto la forma de recuperar los archivos afectados por las versiones más antiguas del malware TeslaCrypt.
Tal y como es habitual en este tipo de amenazas, una vez han llegado al equipo realizan el cifrado de un número indeterminado de archivos, modificando posteriormente el fondo de escritorio o bien creando un archivo en el que se explica todo lo sucedido y los pasos a seguir si se está interesado en recuperar el acceso a estos. Son muchos los usuarios que han procedido al pago de la cantidad solicitada y luego no han recibido la clave.
Pero a partir de ahora esto ya no será un problema porque desde Kasperksy han ideado una solución partiendo un problema encontrado durante el proceso de cifrado, pudiéndose aplicar esta solución a todas las versiones del ransomware excepto a la 3.0, aparecida recientemente.
Es decir, los archivos cifrados que se pueden recuperar son aquellos que poseen la extensión .ECC, .EZZ, .EXX, .XYZ, .ZZZ, .AAA, .ABX, .CCC y .VVV, mientras que los que no se pueden recuperar son .TTT, .XXXy .MICRO, es decir, los correspondientes a la última versión a la que hemos hecho referencia con anterioridad.
Distribuyen una nueva versión de TeslaCrypt en una campaña spam
En definitiva, todas las versiones de esta malware que almacenan la clave de cifrado en el propio equipo afectado permiten gracias a un fallo recuperar el acceso a los archivos.
Un fallo en el almacenamiento de la clave
La amenaza utiliza el algoritmo de cifrado AES para convertir los datos en inaccesibles. El autor decidió utilizar la misma clave para todos los usuarios y después proteger esta con un cifrado mucho más seguro. Sin embargo, todo parece apuntar que no ha sido suficiente y se ha conseguido esquivar este y recuperar los archivos afectados.
Cómo recuperar el acceso a los archivos afectados por TeslaCrypt
Si estás afectado por esta amenaza hay que decir en primer lugar que no existe una versión pública que permiat desbloquear los archivos. El motivo no es otro preservar de esta forma que los ciberdelincuentes encuentren el problema y lo resuelvan. Sin embargo, sí que existe un foro de afectados donde se ofrece soporte y se explica cómo se puede recuperar el acceso.
Para recuperar el acceso el sistema es necesario aplicar la fuerza bruta y así hacerse con la clave que cifró los archivos. Se han dado casos en que en cinco minutos el problema resuelto y otros en los que ha sido necesario un proceso de varias horas.
Fuente:https://www.redeszone.net/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad