Llegamos a ustedes gracias a:



Noticias

Lanzan herramientas gratuitas de descifrado para dos ransomware

PowerWare y Bart

[09/08/2016] Los investigadores de seguridad han lanzado la semana pasada herramientas que podrían ayudar a los usuarios a recuperar archivos cifrados por dos amenazas relativamente nuevas de ransomware: Bart y PowerWare.

PowerWare, también conocido como PoshCoder, fue visto por primera vez en marzo, cuando fue utilizado en ataques contra organizaciones de salud. Destacó porque se implementó en Windows PowerShell, un entorno de secuencias de comandos diseñado para automatizar tareas de administración de aplicaciones y sistemas.

Los investigadores de la empresa de seguridad Palo Alto Networks han descubierto recientemente una nueva versión de esta amenaza que imita un programa sofisticado y extendido de ransomware llamada Locky. Utiliza la extensión .locky para los archivos cifrados y también muestra la misma nota de rescate utilizada por la ransomware Locky real.

Ésta no es la primera vez que los creadores de PowerWare/PoshCoder han imitado amenazas de ransomware bien diseñadas, probablemente en un intento de convencer a los usuarios de que no tiene ningún sentido tratar de recuperar sus archivos sin pagar. En el pasado, han utilizado las notas de rescate de CryptoWall y TeslaCrypt.

Por suerte, PowerWare no es de ninguna manera tan fuerte como los programas de ransomware que suplanta. Utiliza el algoritmo de cifrado AES-128, pero con una llave de código fuerte, que permitió a los investigadores de Palo Alto crear una herramienta de descifrado que debería funcionar por lo menos en esta última variante.

También esta semana, investigadores de la firma de antivirus AVG lograron romper otro programa de ransomware llamado Bart que apareció por primera vez en junio. Esta amenaza es notable porque encierra los archivos dentro de archivos ZIP protegidos por contraseña en lugar de utilizar algoritmos de cifrado sofisticados.

Las infecciones de Bart son fáciles de identificar, ya que los archivos afectados tendrán la extensión .bart.zip anexado a su nombre original y extensión -por ejemplo document.docx se convertirá en document.docx.bart.zip.

El cifrado basado en ZIP de Bart usa una contraseña muy larga y compleja, pero los investigadores de AVG han encontrado la manera de adivinar la clave utilizando métodos de fuerza bruta. Su herramienta de descifrado de Bart requiere que el usuario tenga al menos una copia no afectada de un archivo que haya sido cifrado.

El programa compara la versión original del archivo con la versión archivada y protegida por contraseña y luego procede a adivinar la contraseña. El proceso puede tomar varios días.

Debería ser bastante fácil para los usuarios encontrar una versión no afectada de un archivo que ha sido cifrado por Bart. Ésta puede ser un documento o imagen recibida vía correo electrónico o descargada de un lugar conocido en Internet. También puede ser uno de los archivos de sonido o fondos de pantalla predeterminados con Windows y que se pueden copiar desde un equipo limpio.

Lucian Constantin, IDG News Service