El mes pasado apareció un ransomware en países nórdicos de Europa y poco a poco se fue extendiendo a otros gracias en parte por las adaptaciones que se realizaron a diferentes idiomas. Todo parecía indicar que los autores de DMA habían realizado un buen trabajo en su implementación. Sin embargo, esto no es así y ahora un grupo de expertos ha conseguido recuperar el acceso a los archivos afectados.
Cuando la amenaza afecta a los archivos, esta solicitaba el pago de 2 Bitcoin (o lo que es lo mismo 800 dólares) para acceder al menos a la clave que permite acceder de nuevo a los dato que se habían visto afectados. Por suerte para muchos usuarios esto ya no es necesario, ya que algunos expertos en seguridad han conseguido encontrar la clave con la que se cifran estos archivos.
Se trata de un ransomware que por el momento solo estaba afectando a sistemas operativos Windows y se desconoce si existen versiones listas para afectar a Linux o Mac OS X.
Los expertos han concretado que este malware es sin lugar a dudas el trabajo de un amateur en este tipo de temas. A pesar de todo, utiliza AES de 256 bits para cifrar los archivos y RSA de 2048 para proteger la clave que se ha utilizado para dejar inaccesibles los datos, recurriendo para ello a un algoritmo modificado.
El fallo muy importante que han tenido los desarrolladores de este virus ha sido dejar aplicar el desarrollo inverso, o lo que es lo mismo, permitir que se produzca el acceso al código fuente. Analizando los binarios desempaquetados han descubierto que la clave de cifrado se encuentra en uno de estos archivos. Pero este no es el único fallo clamoroso en la implementación.
DMA incluye también una herramienta para realizar el descifrado
Aunque parezca mentira, el anterior no es el fallo más importante que han tenido los desarrolladores de esta amenaza. Los expertos en seguridad han concretado que a la vez que la clave se encuentra entre los binarios, al ejecutar uno de estos se accede a una herramienta que permite obtener la clave y y por lo tanto proceder al descifrado de los archivos afectados, lo que sucede es que un usuario de a pie no habría sido capaz de darse cuenta de este aspecto si no realiza el desempaquetado del virus informático.
Fuente:https://www.redeszone.net/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
