EL RANSOMWARE POLYGOT SE PUEDE DESENCRIPTAR

Kaspersky Lab han publicado una herramienta de descifrado del ransomware Polyglot, que permite a los usuarios que han sufrido este ransomware, también conocido como MarsJoke, restaurar sus archivos

El ransomware Polyglot ha estado propagandose a través de correos electrónicos no deseados que contienen un archivo adjunto malicioso empaquetado en una RAR-archivo. Durante el proceso de cifrado, el troyano no cambia los nombres de los archivos en una máquina infectada, pero en vez bloquea el acceso a ellos.

Una vez completado el cifrado, el fondo de escritorio en la pantalla de la víctima se reemplaza con la petición de rescate. Los estafadores solicitan su rescate en bitcoins, y si el pago no se produce en el tiempo, el troyano se borrarse a sí mismo desde el dispositivo infectado dejando todos los archivos cifrados.

Este nuevo ransomware es similar al ransomware CTB-Locker. Sin embargo, tras un análisis adecuado, los expertos de Kaspersky Lab no han encontrado similitud entre sus códigos de malware.

El ransomware Polyglot imita a CTB-Locker en casi todos los sentidos. Cuenta con una interfaz gráfica casi idéntica, se requiere una secuencia similar de acciones para obtener la clave de descifrado, y la página de pago, Fondos de escritorio, etc., todos tienen el mismo aspecto. Los creadores de Polyglot aparentemente pensaron que mediante la imitación de CTB-Locker podrían engañar a los usuarios y hacerles pensar que están sufriendo de software malicioso grave, dejándolos sin otra opción que pagar a los criminales.

Los expertos han examinado cuidadosamente el mecanismo de cifrado Polyglot y se encontró que a diferencia de CTB-Locker se utiliza un generador de clave de cifrado débil. Una búsqueda de fuerza bruta a través de todo el conjunto de posibles variantes clave de descifrado Polyglot se puede realizar en menos de un minuto en un PC estándar. El descubrimiento de esta debilidad permitió a los expertos para desarrollar una herramienta que puede ayudar a desbloquear los datos de los usuarios.

Segun Kaspersky Lab: "En este caso, los autores de malware tuvierón un error de ejecución, por lo que es posible romper el cifrado. Sin embargo, los usuarios no deben confiar solamente en la suerte cuando se trata de ransomware. Este caso es la excepción y no la regla, por lo que recomendamos a todos los usuarios para proteger sus dispositivos de forma proactiva mediante el uso de una solución de seguridad fiable y asegurándose de que todas las tecnologías anti-cifrado están activados ".

La herramienta de descifrado está disponible aquí. Fuente de la descarga: Kaspersky Lab


Fecha actualización el 2016-10-4. Fecha publicación el 2016-10-4. Categoría: Malware. Autor: Oscar olg Mapa del sitio
kaspersky