El ransomware es el tipo de malware más peligroso de los últimos tiempos. Este malware infecta a los usuarios a través de diferentes técnicas y, una vez tiene el control sobre el sistema, empieza a cifrar los datos de la víctima, guardando la clave de cifrado en la nube y pidiendo el pago de un “rescate” para recuperar la clave y poder descifrar de nuevo todos los archivos. Un nuevo ransomware que está causando quebraderos de cabeza a los usuarios es NanoLocker.
Cuando un usuario se infecta con NanoLocker, todos sus archivos se cifran con una clave AES de 256 bits, sin embargo, el malware funciona en 3 pasos desde que genera la clave (paso 1), comienza a cifrar los archivos (paso 2) y finalmente termina el cifrado, eliminando la clave (paso 3) y mostrando al usuario el correspondiente mensaje sobre la infección y los pasos a seguir para recuperar los datos.
Mientras que si hemos sido infectados por este ransomware y el proceso de infección y cifrado de datos ha finalizado (es decir, hemos llegado al paso 3) ya no podemos hacer nada. Sin embargo, si nos damos cuenta de infección antes de que esto ocurra es posible recuperar la clave de cifrado para descifrar los archivos ya que esta se encuentra almacenada en el fichero de configuración del ransomware, para que este pueda acceder a él siempre que lo necesite.
Un investigador de seguridad de la empresa Cyberclues ha descubierto que si un usuario detecta la actividad del ransomware mientras se encuentra en una de las dos primeras fases (mientras la clave está en el ordenador) y apaga o suspende el sistema, el ransomware “pausa” su actividad, quedando aún la clave guardada en el sistema y permitiéndonos descifrar todos los archivos que habrán sido secuestrados por NanoLocker.
El investigador de seguridad que se ha dado cuenta de este “fallo” en el ransomware ha creado también una sencilla herramienta, disponible en GitHub, con la que poder recuperar los archivos cifrados por NanoLocker.
Los principales síntomas de infección son, como en casos similares, lentitud del sistema (el proceso de cifrado utiliza mucho procesador) y, en el administrador de tareas, veremos un proceso extraño haciendo uso del sistema.
Cómo recuperar los archivos cifrados por NanoLocker
El archivo de configuración de este malware, con la correspondiente clave privada de cifrado (antes de ser eliminada) se almacena en el directorio %LOCALAPPDATA%\lansrv.ini. Si hemos apagado el ordenador a tiempo, lo primero que debemos hacer es conectar el disco duro a otro ordenador para eliminar el malware, llamado lansrv.exe y todas sus claves persistentes del registro de Windows (HKCU\SOFTWARE\Microsoft\CurrentVersion\Run\LanmanServer) para evitar que, al arrancar el ordenador de nuevo, continúe su tarea.
En caso de haber detenido la infección a tiempo y haber eliminado el binario del malware, lo primero que debemos hacer es compilar la herramienta anterior (o descargarla ya compilada desde Google Drive) y hacer una copia del archivo de configuración lansrv.ini en la misma carpeta que esta herramienta.
Con todo listo, comienza la ardua tarea de descifrar los archivos, uno a uno. Para ello simplemente abriremos una ventana de MS-DOS en la ruta de la herramienta y teclearemos en ella:
- NanoLocker_Decryptor.exe <fichero_cifrado> <nombre_fichero_descifrado> <fichero_lansrv.ini>
En segundos tendremos el archivo descifrado de nuevo.
Esta técnica, aunque funciona, es un embrollo ya que los ficheros ya que descifrarlos uno a uno y si el ransomware ha trabajado lo suficiente como para cifrar miles de ficheros, el trabajo de descifrado puede no tener fin. Sea como sea, a más de uno le salvará de un apuro, pudiendo recuperar, al menos, los archivos más importantes.
Fuente:https://www.redeszone.net/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad