Cómo restaurar archivos perdidos de CrypBoss Ransomware

Anuncio publicitario

Hay una gran noticia para cualquier persona afectada por el ransomware CrypBoss, HydraCrypt y UmbreCrypt. Fabian Wosar, investigador de Emsisoft, ha se las arregló para realizar ingeniería inversa, y en el proceso ha lanzado un programa que es capaz de descifrar archivos que de otro modo se perderían.

Estos tres programas de malware son muy similares. Esto es lo que necesita saber sobre ellos y cómo puede recuperar sus archivos.

Conociendo a la familia CrypBoss

La creación de malware siempre ha sido una industria artesanal de miles de millones de dólares. Los desarrolladores de software malintencionados escriben programas de malware novedosos y los subastan a delincuentes organizados en los confines más sórdidos de la web oscura Journey Into The Hidden Web: una guía para nuevos investigadoresEste manual lo llevará en un recorrido a través de los muchos niveles de la web profunda: bases de datos e información disponible en revistas académicas. Finalmente, llegaremos a las puertas de Tor. Lee mas .

Estos delincuentes luego los distribuyen por todas partes, en el proceso infectando miles de máquinas y creando una cantidad impía de dinero ¿Qué motiva a las personas a piratear computadoras? Pista: dineroLos delincuentes pueden utilizar la tecnología para ganar dinero. Tú lo sabes. Pero te sorprendería lo ingeniosos que pueden ser, desde piratear y revender servidores hasta reconfigurarlos como lucrativos mineros de Bitcoin. Lee mas .

Parece que eso es lo que pasó aquí.

Ambos HydraCrypt y UmbreCrypt son variantes ligeramente modificadas de otro programa de malware llamado CrypBoss. Además de tener una ascendencia compartida, también se distribuyen a través de el kit de explotación del pescador, que utiliza el método de descargas no autorizadas para infectar a las víctimas. Dann Albright tiene escrito extensamente sobre kits de exploits Así es como te piratean: el turbio mundo de los kits de explotaciónLos estafadores pueden usar paquetes de software para explotar vulnerabilidades y crear malware. Pero, ¿qué son estos kits de explotación? ¿De dónde vienen? ¿Y cómo detenerlos? Lee mas en el pasado.

Ha habido mucha investigación sobre la familia CrypBoss por parte de algunos de los nombres más importantes en la investigación de seguridad informática. El código fuente de CrypBoss se filtró el año pasado en PasteBin y fue devorado casi de inmediato por la comunidad de seguridad. A fines de la semana pasada, McAfee publicó uno de los mejores análisis de HydraCrypt, que explica cómo funciona en sus niveles más bajos.

Las diferencias entre HydraCrypt y UmbreCrypt

En términos de su funcionalidad esencial, HydraCrypt y UmbreCrypt hacen lo mismo. Cuando infectan un sistema por primera vez, comienzan a cifrar archivos en función de su extensión de archivo, utilizando una forma sólida de cifrado asimétrico.

También tienen otros comportamientos secundarios que son bastante comunes dentro del software ransomware.

Por ejemplo, ambos permiten al atacante cargar y ejecutar software adicional en la máquina infectada. Ambos eliminan las instantáneas de los archivos cifrados, por lo que es imposible restaurarlos.

Quizás la mayor diferencia entre los dos programas es la forma en que "rescatan" los archivos.

UmbreCrypt es muy práctico. Les dice a las víctimas que han sido infectadas y que no hay posibilidad de que recuperen sus archivos sin cooperar. Para que la víctima inicie el proceso de descifrado, debe enviar un correo electrónico a una de las dos direcciones. Estos se encuentran alojados en "Engineer.com" y "consultant.com", respectivamente.

Poco después, alguien de UmbreCrypt responderá con la información de pago. El aviso de ransomware no le dice a la víctima cuánto va a pagar, aunque sí le dice a la víctima que la tarifa se multiplicará si no paga dentro de las 72 horas.

Hilarantemente, las instrucciones proporcionadas por UmbreCrypt le dicen a la víctima que no les envíe correos electrónicos con "amenazas y grosería". Incluso proporcionan un formato de correo electrónico de muestra para que lo utilicen las víctimas.

HydraCrypt difiere ligeramente en la forma en que su nota de rescate es lejos más amenazante.

Dicen que a menos que la víctima no pague en 72 horas, emitirán una sanción. Esto puede ser un aumento en el rescate o la destrucción de la clave privada, lo que hace imposible descifrar los archivos.

También amenazan con liberar la información privada Esto es lo que podría valer su identidad en la Dark WebEs incómodo pensar en usted como una mercancía, pero todos sus datos personales, desde el nombre y la dirección hasta los datos de la cuenta bancaria, valen algo para los delincuentes en línea. ¿Cuanto vales? Lee mas , archivos y documentos de los que no pagan en la Dark web. Esto lo convierte en una rareza entre el ransomware, ya que tiene una consecuencia mucho peor que no recuperar sus archivos.

Cómo recuperar sus archivos

Como mencionamos anteriormente, Fabian Wosar de Emisoft ha podido romper el cifrado utilizado y ha lanzado una herramienta para recuperar sus archivos, llamada Descifrar HydraCrypt.

Para que funcione, debe tener dos archivos a mano. Estos deben ser cualquier archivo cifrado, más una copia no cifrada de ese archivo. Si tiene un documento en su disco duro del que hizo una copia de seguridad en Google Drive o en su cuenta de correo electrónico, use esto.

Alternativamente, si no lo tiene, busque un archivo PNG encriptado y use cualquier otro archivo PNG aleatorio que usted mismo cree o descargue de Internet.

Luego, arrástrelos y suéltelos en la aplicación de descifrado. Luego entrará en acción y comenzará a intentar determinar la clave privada.

Se le debe advertir que esto no será instantáneo. El descifrador hará algunos cálculos matemáticos bastante complicados para calcular su clave de descifrado, y este proceso podría demorar varios días, dependiendo de su CPU.

Una vez que haya resuelto la clave de descifrado, se abrirá una ventana y le permitirá seleccionar las carpetas cuyo contenido desea descifrar. Esto funciona de forma recursiva, por lo que si tiene una carpeta en una carpeta, solo tendrá que seleccionar la carpeta raíz.

Vale la pena señalar que HydraCrypt y UmbreCrypt tienen un defecto, en el que los últimos 15 bytes de cada archivo cifrado se dañan irremediablemente.

Esto no debería preocuparle demasiado, ya que estos bytes se utilizan normalmente para relleno o metadatos no esenciales. Pelusa, básicamente. Pero si no puede abrir sus archivos descifrados, intente abrirlos con una herramienta de restauración de archivos.

¿Sin suerte?

Existe la posibilidad de que esto no funcione para usted. Eso podría deberse a varias razones. Lo más probable es que esté intentando ejecutarlo en un programa de ransomware que no es HydraCrypt, CrypBoss o UmbraCrypt.

Otra posibilidad es que los creadores del malware lo hayan modificado para utilizar un algoritmo de cifrado diferente.

En este punto, tiene un par de opciones.

La apuesta más rápida y prometedora es pagar el rescate. Esto varía bastante, pero generalmente ronda los $ 300 y verá sus archivos restaurados en unas pocas horas.

No hace falta decir que se trata de delincuentes organizados, por lo que no hay garantías realmente descifrarán los archivos, y si no está satisfecho, no tiene ninguna posibilidad de obtener una reembolso.

También debe considerar el argumento de que el pago de estos rescates perpetúa la propagación de ransomware, y continúa haciendo que sea económicamente lucrativo para los desarrolladores escribir ransomware programas.

La segunda opción es esperar con la esperanza de que alguien lance una herramienta de descifrado para el malware que le ha afectado. Esta sucedió con CryptoLocker CryptoLocker está muerto: ¡así es como puede recuperar sus archivos! Lee mas , cuando las claves privadas se filtraron desde un servidor de comando y control. Aquí, el programa de descifrado fue el resultado de un código fuente filtrado.

Sin embargo, no hay garantía para esto. Muy a menudo, no existe una solución tecnológica para recuperar sus archivos sin pagar un rescate.

Prevenir es mejor que curar

Por supuesto, la forma más eficaz de lidiar con los programas de ransomware es asegurarse de no estar infectado en primer lugar. Si toma algunas precauciones simples, como ejecutar un antivirus completamente actualizado y no descargar archivos de lugares sospechosos, puede mitigar sus posibilidades de infectarse.

¿Fue afectado por HydraCrypt o UmbreCrypt? ¿Ha logrado recuperar sus archivos? Déjame saber abajo en los comentarios.

Créditos de imagen: Usando una computadora portátil, el dedo en el panel táctil y el teclado (Scyther5 a través de ShutterStock), Bitcoin en el teclado (AztekPhoto a través de ShutterStock)