Llegamos a ustedes gracias a:



Noticias

Cisco presenta herramienta de descifrado

Disponible para el ransomeware TeslaCrypt dirigido a juegos

[05/05/2015] Algunos usuarios cuyas computadoras han sido infectadas con un programa ransomware llamado TeslaCrypt podrían estar de suerte: Los investigadores de seguridad de Cisco Systems han desarrollado una herramienta para recuperar sus archivos cifrados.

TeslaCrypt apareció este año y se enmascara como una variante del notorio ransomware CryptoLocker. Sin embargo, sus autores parecen apuntar a los gamers en particular.

Una vez instalado en un sistema, el programa cifra archivos con 185 diferentes extensiones, más de 50 de ellas se encuentran asociadas con juegos de computadora y software relacionado, incluyendo contenido generado por el usuario como game saves, mapas, perfiles, replays y mods.

En la nota de secuestro que se muestra en las computadoras infectadas, TeslaCrypt señala que usa cifrado asimétrico basado en el criptosistema de llaves públicas de RSA. Si es cierto, esto significaría que los datos se encuentran cifrados con una llave pública almacenada en el sistema, y que solo pueden ser descifrados con una llave privada que tienen los atacantes.

Sin embargo, luego de analizar el programa malicioso, los investigadores del Talos Group de Cisco encontraron que en realidad usa un algoritmo de cifrado simétrico llamado AES. Este algoritmo usa la misma llave tanto para el cifrado como para el descifrado.

Algunas versiones de TeslaCrypt almacenan la llave de cifrado en un archivo llamado key.dat en los sistemas infectados, pero otros la borran luego de terminar de cifrar los archivos y almacenan una versión cifrada de ella en un archivo diferente llamado RECOVERY_KEY.TXT, afirmaron los investigadores de Cisco en una entrada de blog el lunes.

Los investigadores desarrollaron una herramienta que puede descifrar archivos infectados por TeslaCrypt si la llave maestra de cifrado aún se encuentra en key.dat. Los usuarios deberían guardar una copia de este archivo tan pronto como se den cuenta que sus computadoras han sido infectadas con TeslaCrypt para que la puedan usar luego con la herramienta de Cisco.

Los investigadores de Cisco aún se encuentran trabajando en la ingeniería inversa del algoritmo utilizado por los atacantes para reestablecer la llave maestra de cifrado basada en la llave de recuperación. Si tienen éxito, esto les permitirá también descifrar archivos de las versiones de TeslaCrypt que borran la llave maestra del archivo kay.dat cuando la operación de cifrado se realiza.

Lucian Constantin, IDG News Service