Victimas del ransomware Py-locky pueden descifrar sus archivos de forma gratuita

Las víctimas de PyLocky Ransomware pueden usar una herramienta lanzada por el investigador de seguridad Mike Bautista en el grupo Cisco Talos para descifrar sus archivos de forma gratuita.

Tengo buenas y malas noticias para las víctimas del PyLocky Ransomware . La buena noticia es que el investigador de seguridad Mike Bautista del grupo Cisco Talos lanzó una herramienta de descifrado que les permite descifrar sus archivos de forma gratuita.

Lo malo es que la recuperación del archivo no es simple porque el descifrador solo funciona si las víctimas han capturado el tráfico de red inicial (archivo PCAP) entre el ransomware de PyLocky y la infraestructura C2.

En esta fase, el ransomware envía al servidor de comando y control información sobre el proceso de cifrado, incluida una cadena que contiene el Vector de inicialización (IV) y una contraseña aleatoria utilizada por el ransomware para cifrar los archivos.

"Para combatir este ransomware, Cisco Talos está lanzando una herramienta de descifrado gratuita . Debido a que nuestra herramienta requiere la captura del tráfico inicial de comando y control PyLocky (C2) de una máquina infectada, solo funcionará para recuperar los archivos en una máquina infectada donde el tráfico de la red ha sido monitoreado ", lee la publicación publicada por Talos.

“Si el tráfico C2 inicial no se ha capturado, nuestra herramienta de descifrado no podrá recuperar archivos en una máquina infectada. Esto se debe a que el malware utiliza la llamada inicial para enviar la información de los servidores C2 que utiliza en el proceso de cifrado "

Cada archivo está codificado en formato base64 y luego el ransomware usa el Vector de Inicialización (IV) generado aleatoriamente y la contraseña para cifrar todos los archivos en un sistema infectado.

PyLocky fue descubierto por primera vez por Trend Micro en julio de 2018, está escrito en Python y está empaquetado con la herramienta PyInstaller que normalmente se usa para congelar los programas de Python en ejecutables independientes.

El ransomware se distribuyó a través de correos electrónicos no deseados, la mayoría de los cuales se dirigían a países europeos, especialmente a Francia.

PyLocky Destaca por su capacidad de aprendizaje anti-máquina, también aprovecha el Inno Setup Installer basado en script de código abierto.

Para evitar las herramientas de análisis, como las cajas de arena, el código malicioso se duerme durante 999.999 segundos, aproximadamente 11,5 días, si la memoria total visible del sistema infectado es inferior a 4 GB.

Las rutinas de cifrado se implementan utilizando la biblioteca PyCrypto y aprovechan el cifrado 3DES (Triple DES). PyLocky enumeró las unidades lógicas de la hot y genera una lista de archivos que utiliza para sobrescribir cada archivo de la lista con una versión cifrada.

Al final del proceso, el ransomware lanza una nota de rescate que podría estar en inglés, francés, coreano o italiano, una circunstancia que sugiere posibles objetivos de los operadores detrás de la amenaza.

El malware intenta hacerse pasar por una variante de Locky que muestra una nota de rescate que afirma ser una variante del temido ransomware.

Fecha actualización el 2021-01-11. Fecha publicación el 2019-01-11. Categoría: ransomware Autor: Oscar olg Mapa del sitio Fuente: securityaffairs
ransomware