Cómo restaurar archivos perdidos de CrypBoss Ransomware
Hay buenas noticias para cualquier persona afectada por el ransomware CrypBoss, HydraCrypt y UmbreCrypt. Fabian Wosar, un investigador de Emsisoft, ha logrado aplicarles ingeniería inversa y, en el proceso, ha lanzado un programa que puede descifrar archivos que de otro modo se perderían..
Estos tres programas de malware son muy similares. Esto es lo que necesita saber sobre ellos y cómo puede recuperar sus archivos.
Conocer a la familia CrypBoss
La creación de malware siempre ha sido una industria casera de mil millones de dólares. Los desarrolladores de software malintencionados escriben nuevos programas maliciosos y los subastan a criminales organizados en los confines más oscuros de la web oscura Journey Into The Hidden Web: una guía para nuevos investigadores Journey Into The Hidden Web: una guía para nuevos investigadores Este manual incluirá en un recorrido por los muchos niveles de la web profunda: bases de datos e información disponible en revistas académicas. Finalmente, llegaremos a las puertas de Tor. Lee mas .
Luego, estos delincuentes los distribuyen a lo largo y ancho, en el proceso de infectar miles de máquinas y hacer una cantidad de dinero impío. ¿Qué motiva a las personas a piratear computadoras? Pista: Dinero ¿Qué motiva a la gente a piratear computadoras? Pista: dinero Los delincuentes pueden usar la tecnología para ganar dinero. Tú lo sabes. Pero se sorprendería de lo ingeniosos que pueden ser, desde piratear y revender servidores hasta reconfigurarlos como mineros lucrativos de Bitcoin. Lee mas .
Parece que eso es lo que ha pasado aquí..
Tanto HydraCrypt como UmbreCrypt son variantes ligeramente modificadas de otro programa de malware llamado CrypBoss. Además de tener una ascendencia compartida, también se distribuyen a través del Angler Exploit Kit, que utiliza el método de descargas automáticas para infectar a las víctimas. Dann Albright ha escrito extensamente sobre kits de explotación. Así es como te hackean: el mundo turbio de los kits de hazaña. Así es como te piratean: el mundo turbio de los kits de explotadores. Los estafadores pueden usar paquetes de software para explotar vulnerabilidades y crear malware. ¿Pero cuáles son estos kits de explotación? ¿De dónde vienen? ¿Y cómo pueden ser detenidos? Leer más en el pasado.
Ha habido mucha investigación sobre la familia CrypBoss por algunos de los nombres más importantes en la investigación de seguridad informática. El código fuente de CrypBoss se filtró el año pasado en PasteBin y fue casi inmediatamente devorado por la comunidad de seguridad. La semana pasada, McAfee publicó uno de los mejores análisis de HydraCrypt, que explicaba cómo funciona en sus niveles más bajos..
Las diferencias entre HydraCrypt y UmbreCrypt
En términos de su funcionalidad esencial, HydraCrypt y UmbreCrypt hacen lo mismo. Cuando infectan un sistema por primera vez, comienzan a cifrar archivos según su extensión de archivo, utilizando una forma sólida de cifrado asimétrico.
También tienen otros comportamientos no básicos que son bastante comunes dentro del software de ransomware.
Por ejemplo, ambos permiten al atacante cargar y ejecutar software adicional en la máquina infectada. Ambos eliminan las instantáneas de los archivos cifrados, lo que hace imposible restaurarlos.
Quizás la mayor diferencia entre los dos programas es la forma en que “rescate” los archivos de vuelta.
UmbreCrypt es muy práctico. Le dice a las víctimas que han sido infectadas, y no hay posibilidad de que recuperen sus archivos sin cooperar. Para que la víctima inicie el proceso de descifrado, debe enviar un correo electrónico a una de dos direcciones. Estos están alojados en “engineer.com” y “consultant.com” respectivamente.
Poco después, alguien de UmbreCrypt responderá con información de pago. El aviso de ransomware no le dice a la víctima cuánto va a pagar, aunque sí le dice a la víctima que la tarifa se multiplicará si no paga dentro de las 72 horas.
Hilarantemente, las instrucciones proporcionadas por UmbreCrypt le dicen a la víctima que no las envíe por correo electrónico con “amenazas y rudeza”. Incluso proporcionan un formato de correo electrónico de muestra para que las víctimas usen.
HydraCrypt se diferencia ligeramente en la forma en que su nota de rescate es lejos mas amenazante.
Dicen que a menos que la víctima no pague en 72 horas, emitirán una sanción. Esto puede ser un aumento en el rescate, o la destrucción de la clave privada, haciendo así imposible descifrar los archivos..
También amenazan con divulgar la información privada. Aquí es cuánto puede valer su identidad en la web oscura. Aquí es cuánto puede valer su identidad en la web oscura. Es incómodo pensar que es una mercancía, pero todos sus datos personales, desde Nombre y dirección a los detalles de la cuenta bancaria, valen algo para los criminales en línea. ¿Cuanto vales? Lea más, archivos y documentos de no pagadores en la web oscura. Esto hace que sea un poco raro entre los ransomware, ya que tiene una consecuencia mucho peor que no recuperar sus archivos..
Cómo recuperar tus archivos
Como mencionamos anteriormente, Fabian Wosar de Emisoft ha podido romper el cifrado utilizado y ha lanzado una herramienta para recuperar sus archivos, llamada Descifrar HidraCript.
Para que funcione, necesitas tener dos archivos a mano. Estos deben ser cualquier archivo cifrado, más una copia no cifrada de ese archivo. Si tiene un documento en su disco duro del que hizo una copia de seguridad en Google Drive o en su cuenta de correo electrónico, use este.
De manera alternativa, si no tiene esto, solo busque un archivo PNG cifrado y use cualquier otro archivo PNG aleatorio que usted mismo cree o descargue de Internet.
Luego, arrástrelos y suéltelos en la aplicación de descifrado. Luego se activará y comenzará a tratar de determinar la clave privada..
Debes advertirte que esto no será instantáneo. El desencriptador hará algunos cálculos bastante complicados para resolver su clave de desencriptación, y este proceso podría llevar varios días, dependiendo de su CPU.
Una vez que se haya resuelto la clave de descifrado, se abrirá una ventana y le permitirá seleccionar las carpetas cuyo contenido desea descifrar. Esto funciona de forma recursiva, por lo que si tiene una carpeta en una carpeta, solo tendrá que seleccionar la carpeta raíz.
Vale la pena señalar que HydraCrypt y UmbreCrypt tienen una falla, en la que los últimos 15 bytes de cada archivo cifrado se dañan irremediablemente.
Esto no debería preocuparle demasiado, ya que estos bytes se usan generalmente para rellenar o metadatos no esenciales. Fluff, básicamente. Pero si no puede abrir sus archivos descifrados, intente abrirlos con una herramienta de restauración de archivos.
Sin suerte?
Existe la posibilidad de que esto no funcione para usted. Eso podría ser por una serie de razones. Lo más probable es que esté intentando ejecutarlo en un programa de ransomware que no sea HydraCrypt, CrypBoss o UmbraCrypt.
Otra posibilidad es que los creadores del malware lo modifiquen para utilizar un algoritmo de cifrado diferente..
En este punto, tienes un par de opciones..
La apuesta más rápida y prometedora es pagar el rescate. Esto varía un poco, pero generalmente rondan los $ 300 y verán sus archivos restaurados en unas pocas horas.
No hace falta decir que estás tratando con delincuentes organizados, por lo que no hay garantías de que realmente descifren los archivos, y si no estás contento, no tienes posibilidad de obtener un reembolso.
También debe considerar el argumento de que el pago de estos rescates perpetúa la propagación del ransomware, y sigue siendo económicamente lucrativo para los desarrolladores escribir programas de ransomware..
La segunda opción es esperar con la esperanza de que alguien lance una herramienta de descifrado para el malware con el que ha sido atacado. Esto sucedió con CryptoLocker CryptoLocker está muerto: ¡Aquí le explicamos cómo puede recuperar sus archivos! CryptoLocker está muerto: aquí es cómo puede recuperar sus archivos. Lea más, cuando las claves privadas se filtraron desde un servidor de comando y control. Aquí, el programa de descifrado fue el resultado de un código fuente filtrado.
Sin embargo, no hay garantía para esto. Muy a menudo, no hay una solución tecnológica para recuperar sus archivos sin pagar un rescate.
Prevenir es mejor que una cura
Por supuesto, la forma más efectiva de lidiar con los programas de ransomware es asegurarse de que no esté infectado en primer lugar. Al tomar algunas precauciones simples, como ejecutar un antivirus totalmente actualizado y no descargar archivos de lugares sospechosos, puede mitigar sus posibilidades de infectarse.
¿Te afectó HydraCrypt o UmbreCrypt? ¿Has conseguido recuperar tus archivos? Déjame saber abajo en los comentarios.
Créditos de imagen: mediante una computadora portátil, el dedo en el panel táctil y el teclado (Scyther5 a través de ShutterStock), Bitcoin en el teclado (AztekPhoto a través de ShutterStock)
Explorar más sobre: ransomware.