El equipo de Malwarebytes identificó una debilidad en el esquema de cifrado utilizado por el ransomware LockCrypt que pueden explotar para recuperar los datos de una víctima.
La falla explicada en un informe de Malwarebytes aquí reside en el hecho de que el equipo de LockCrypt decidió implementar un esquema de cifrado personalizado en lugar de usar sistemas probados.
Los esfuerzos de los investigadores también fueron ayudados después de descubrir una muestra de LockCrypt que no estaba ofuscada ni encriptada, permitiendo a los investigadores acceder a la estructura interna del ransomware con gran detalle.
Con la nueva información recopilada por los investigadores, ahora pudieron brindar ayuda a las víctimas que se infectaron con esta amenaza.
LockCrypt ransomware instalado después de ataques RDP
El ransomware LockCrypt fue descubierto por primera vez en junio del 2017. Los investigadores creen que la pandilla LockCrypt había distribuido previamente versiones del Satan ransomware.
El caso más notorio de una infección LockCrypt ocurrió en diciembre del año pasado cuando los ladrones lograron infectar la red del condado de Mecklenburg en Carolina del Norte.
Hubo poca actividad de esta variante ransomware porque el grupo LockCrypt no distribuyó en masa su malware a través de spam de correo electrónico o kits de explotación, sino que irrumpieron en las redes de las organizaciones a través de RDP e instalaron manualmente el ransomware en las computadoras comprometidas.
El ransomware pasó por dos fases diferentes, clasificadas según la extensión de archivo que utilizaban para señalar archivos encriptados: el primero cuando los ladrones usaban la extensión .lock y el segundo cuando cambiaban a .1btc.
Es esta última versión que los investigadores lograron descifrar.
LockCrypt descrito como descuidado, poco profesional
Fecha actualización el 2021-04-06. Fecha publicación el 2018-04-06. Categoría: ransomware. Autor: Oscar olg Mapa del sitio Fuente: bleempingcomputer"LockCrypt es un ejemplo de otro ransomware simple creado y utilizado por atacantes poco sofisticados. Sus autores ignoraron pautas bien conocidas sobre el uso adecuado de la criptografía. La estructura interna de la aplicación tampoco es profesional", dice el equipo de Malwarebytes.
"El código poco profesional y poco profesional es bastante común cuando se crea un ransomware para la distribución manual. Los autores no tardan mucho en preparar el ataque o la carga útil, sino que se centran en una ganancia rápida y fácil, en lugar de crear algo para a largo plazo. Debido a esto, podrían ser derrotados fácilmente ".
