Las variantes de Crypto-ransomware tienen a las empresas al limite debido a la amenaza de que susarchivos sean dañados irreversiblemente. Algunas organizaciones, incluyendo más recientemente el Tewksbury, Ma., El departamento de policía ha ido tan lejos como para pagar cientos de dólares en rescate por la clave de recuperación.
Algunas empresas de tecnología están comenzando a luchar con herramientas que descifran datos potencialmente perdidos. Kaspersky Lab, en colaboración con la Unidad Nacional de Delitos de Alta Tecnología de los Países Bajos y la Fiscalía Nacional de Holanda, recientemente hizo herramienta disponible que ayuda a recuperar archivos pierde en el ransomware CoinVault. Hasta el 17 de abril se registraron más de 700 claves de descifrado disponibles en la base de datos de la aplicación de descifrado.
Hoy, Cisco hizo lo mismo con un extenso análisis del ransomware TeslaCrypt y una herramienta de descifrado similar, una utilidad de línea de comandos que es capaz de descifrar los archivos perdidos de TeslaCrypt siempre que el propietario es capaz de proporcionar una llave maestra.
TeslaCrypt es una variante de CryptoLocker que se dirige específicamente a los jugadores, pero que alcance podría ser pronto expandiendo con algunos investigadores señalando que explotan a los kits que incluyen Nuclear, Sweet Orange y Angler, han estado propagando TeslaCrypt.
Una vez que infecta una máquina y cifra los archivos, TeslaCrypt instruye a la víctima para proceder a un sitio donde el descifrado de 2,5 BTC o alrededor de $ 550, que pueden descifrar sus archivos. Hasta la fecha 16 de abril nadie había pagado un rescate, dijeron los investigadores del Instituto SANS.
Investigadores de Bromium, el mes pasado, dijeron TeslaCrypt se enfoca en los archivos de datos asociados con 20 juegos en línea diferentes, bloqueo de contenido descargable en un intento de dirigirse a usuarios informáticos más jóvenes. Un sitio web comprometido no especificado estaba sirviendo el malware, y las víctimas estaban siendo redirigidos por un exploit en flash a un sitio que aloja el Angler exploit kit y ahi descargaba la variante CryptoLocker.
Cisco TeslaCrypt Decryptor requiere el archivo key.dat el fin de recuperar la llave maestra utilizada para el cifrado.
"Antes de que comience la ejecución, busca 'key.dat' en su ubicación original (directorio de datos de aplicación del usuario), o en el directorio actual," los investigadores Talos de Cisco escribieron hoy. "Si no es capaz de encontrar y analizar correctamente el archivo 'key.dat', se devuelve un error y se cierra."
Si el archivo key.dat se puede copiar en el directorio de la herramienta, el usuario puede especificar qué archivos o directorios descifrar. Un número de opciones de línea de comandos se hacen disponibles, así que no sólo descifra archivos y directorios, pero también puede desinfectar y eliminar el codigo que planta TeslaCrypt. Cisco recomienda a los usuarios realizar copias de seguridad de archivos cifrados antes de utilizar la utilidad. Cisco pone a disposición un binario de Windows, script Python y el código fuente de Windows para su herramienta.
"A nuestra herramienta aun le faltan algunas características. En particular, no hemos tenido el tiempo suficiente para implementar el algoritmo necesario para recuperar la llave maestra de la clave de recuperación ", dijo Cisco. "Esto es importante porque en algunas versiones del archivo que infecta, la llave maestra se extrae del archivo 'key.dat' tan pronto como se complete el cifrado de archivos."
En su análisis de TeslaCrypt, los investigadores de Cisco dijeron que el ransomware está haciendo uso de cifrado simétrico AES, en lugar de asimétrica RSA-2048 como dice en la advertencia presentada a las víctimas. Los jugadores deben tener en cuenta que el ransomware encripta partidas guardadas y las claves de activación de Steam.
"Esto significa que TeslaCrypt está apuntando a diferentes tipos de usuarios, incluidos los jugadores de PC. Al igual que las fotos irremplazables, una partida guardada, que es el producto de innumerables horas de juego, es extremadamente valiosa y difícil de reemplazar ", dijo Cisco.
 |
| Fuente: ThreatPost |
Hoy, Cisco hizo lo mismo con un extenso análisis del ransomware TeslaCrypt y una herramienta de descifrado similar, una utilidad de línea de comandos que es capaz de descifrar los archivos perdidos de TeslaCrypt siempre que el propietario es capaz de proporcionar una llave maestra.
TeslaCrypt es una variante de CryptoLocker que se dirige específicamente a los jugadores, pero que alcance podría ser pronto expandiendo con algunos investigadores señalando que explotan a los kits que incluyen Nuclear, Sweet Orange y Angler, han estado propagando TeslaCrypt.
Una vez que infecta una máquina y cifra los archivos, TeslaCrypt instruye a la víctima para proceder a un sitio donde el descifrado de 2,5 BTC o alrededor de $ 550, que pueden descifrar sus archivos. Hasta la fecha 16 de abril nadie había pagado un rescate, dijeron los investigadores del Instituto SANS.
- LEE TAMBIÉN: ¿Que es Ransomware?
Investigadores de Bromium, el mes pasado, dijeron TeslaCrypt se enfoca en los archivos de datos asociados con 20 juegos en línea diferentes, bloqueo de contenido descargable en un intento de dirigirse a usuarios informáticos más jóvenes. Un sitio web comprometido no especificado estaba sirviendo el malware, y las víctimas estaban siendo redirigidos por un exploit en flash a un sitio que aloja el Angler exploit kit y ahi descargaba la variante CryptoLocker.
Cisco TeslaCrypt Decryptor requiere el archivo key.dat el fin de recuperar la llave maestra utilizada para el cifrado.
"Antes de que comience la ejecución, busca 'key.dat' en su ubicación original (directorio de datos de aplicación del usuario), o en el directorio actual," los investigadores Talos de Cisco escribieron hoy. "Si no es capaz de encontrar y analizar correctamente el archivo 'key.dat', se devuelve un error y se cierra."
Si el archivo key.dat se puede copiar en el directorio de la herramienta, el usuario puede especificar qué archivos o directorios descifrar. Un número de opciones de línea de comandos se hacen disponibles, así que no sólo descifra archivos y directorios, pero también puede desinfectar y eliminar el codigo que planta TeslaCrypt. Cisco recomienda a los usuarios realizar copias de seguridad de archivos cifrados antes de utilizar la utilidad. Cisco pone a disposición un binario de Windows, script Python y el código fuente de Windows para su herramienta.
"A nuestra herramienta aun le faltan algunas características. En particular, no hemos tenido el tiempo suficiente para implementar el algoritmo necesario para recuperar la llave maestra de la clave de recuperación ", dijo Cisco. "Esto es importante porque en algunas versiones del archivo que infecta, la llave maestra se extrae del archivo 'key.dat' tan pronto como se complete el cifrado de archivos."
En su análisis de TeslaCrypt, los investigadores de Cisco dijeron que el ransomware está haciendo uso de cifrado simétrico AES, en lugar de asimétrica RSA-2048 como dice en la advertencia presentada a las víctimas. Los jugadores deben tener en cuenta que el ransomware encripta partidas guardadas y las claves de activación de Steam.
"Esto significa que TeslaCrypt está apuntando a diferentes tipos de usuarios, incluidos los jugadores de PC. Al igual que las fotos irremplazables, una partida guardada, que es el producto de innumerables horas de juego, es extremadamente valiosa y difícil de reemplazar ", dijo Cisco.
