ElevenPaths, la compañía de ciberseguridad de la multinacional de telecomunicaciones Telefónica, anunció el lanzamiento de una herramienta para recuperar los archivos secuestrados por el ransomware VCryptor. Así lo dieron a conocer el pasado 2 de junio a través de Twitter.
El lanzamiento de la herramienta forma parte de la iniciativa No More Ransom, de la cual forma parte ElevenPaths. La herramienta ya está disponible en el sitio web de dicha iniciativa y, además, es completamente gratuita.
De esta forma, VCryptor se une a la lista de herramientas de descifrado de No More Ransom, la cual incluye a más de 100 tipos de ransomware, como: Mapo, JavaLocker, DragonCyber, GoGoogle, Magniber, SimpleLocker, KokoKrypt, OuroBoros, Ransomwared, ChernoLocker, Turkstatic, WannaCryFake, entre otros.
Según la publicación compartida por ElevenPaths, el VCryptor genera un nuevo archivo .zip con contraseña, en el cual se guardan todos los archivos secuestrados. De forma paralela, este ransomware genera archivos con la extensión .vcrypt que sustituyen a los originales.
Seguidamente, VCryptor muestra un mensaje al operador del dispositivo, en el cual le indica que ha sido víctima de un ataque de ransomware, además de que incluye un enlace que lo lleva hacia una página web en donde se le insta a la víctima a pagar para descifrar y recuperar sus archivos.
ElevenPaths añadió que la vulnerabilidad del ransomware VCryptor radica en que su propio código contiene la contraseña de cifrado, a diferencia de otros tipos de ransomware, en los cuales se requieren de claves distintas para cifrar y descifrar. Además, en otros tipos de software malicioso, la clave para descifrar los archivos suele estar sólo bajo el control de los ciberatacantes.
Según la fuente, en el caso de VCryptor la clave está presente en el ransomware, la cual había sido modificada para dificultar su inteligibilidad, pero los investigadores de ElevenPaths lograron «desofuscarla» y así, crear esta nueva herramienta para recuperar los archivos secuestrados por VCryptor.
VCryptor también se diferencia de otros tipos de ransomware en que, entre las opciones para rescatar que crearon los ciberatacantes, ofrecen la opción de infectar a los contactos o pagar el rescate. «De este modo, si dos de ellos finalmente pagan el rescate, la víctima (que ahora se ha convertido en verdugo), obtiene gratuitamente la clave para desencriptar sus ficheros», se indica en la fuente compartida por ElevenPaths.
No More Ransom es una iniciativa que promueve la divulgación y prevención del ransomware, así como también ofrece soluciones para descifrar archivos que fueron secuestrados por ransomware, de manera que contribuye a que sus dueños no tengan que pagar por los rescates exigidos por ciberdelincuentes para recuperar sus archivos.
Cabe destacar que No More Ransom es una alianza internacional conformada en julio de 2016 por entidades públicas y privadas. Sus fundadores son: el Centro Europeo de Ciberdelincuencia (EC3), las compañías de ciberseguridad Kaspersky y McAfee;y la policía de los Países Bajos (Politie); además, tiene otros socios, como la subsidiaria de Amazon de gestión de TI, Amazon Web Services y la compañía Barracuda Networks.
Adicionalmente, No More Ransom cuenta con el apoyo de más de 150 entidades públicas y privadas, entre las que se encuentran compañías de seguridad y tecnología, así como también cuerpos policiales globales, como Microsoft, Avast, ESET, Interpol y Verizon.
Recientemente, Avast reportó que entre marzo y abril detectaron un incremento del 20% en ataques de ransomware a nivel mundial con respecto a los registros de enero y febrero; además, señalaron que en Australia reportaron un incremento del 10% de los ataques durante el mismo periodo. Avast indicó que los registros volvieron a cantidades normales en abril, y apuntaron un cambio en el patrón de ataques, registrándose más de ellos durante fines de semana que durante días laborales. Entre los tipos de software malicioso que detectaron, mencionaron a: Sodinokibi, Maze, Nemty, Snake, Phobos, CrySiS y STOP.
Por otro lado, el pasado 21 de mayo la compañía británica de ciberseguridad Sophos lanzó una advertencia con respecto a Ragnar Locker, un nuevo ransomware que implementa una máquina virtual completa en equipos de Windows en redes empresariales, y que exige como forma de rescate el pago de 1.580 BTC.
Imagen destacada por MasterTux/ pixabay.com