Llegamos a ustedes gracias a:



Alertas de Seguridad

Herramientas de descifrado gratuitas

Para el ransomware Dharma

[06/03/2017] Los usuarios de computadoras que han sido afectadas por el ransomware Dharma y mantuvieron sus archivos cifrados, ahora pueden restaurarlos gratuitamente. Investigadores han creado herramientas de descifrado para este tipo de ransomware después de que alguien recientemente filtró las llaves de descifrado.

Dharma apareció por primera vez en noviembre y se basa en un programa de ransomware más antiguo conocido como Crysis. Es fácil reconocer los archivos afectados por él porque tienen la extensión: .[dirección de correo electrónico].dharma, donde la dirección de correo electrónico es la utilizada por el agresor como punto de contacto.

El miércoles, un usuario llamado gektar publicó un enlace a una entrada de Pastebin en el foro de soporte técnico de BleepingComputer.com. La entrada afirmó, contenía las llaves de descifrado para todas las variantes de Dharma.

Curiosamente, exactamente lo mismo ocurrió en noviembre con las llaves para Crysis, el predecesor de Dharma, permitiendo a los investigadores crear herramientas de descifrado para él.

No está claro quién es gektar o cuáles eran sus razones para filtrar las llaves de Dharma. El nombre de usuario parece haber sido creado en el foro solo para ello y no ha tenido otra actividad desde entonces.

Tampoco hay información acerca de cómo se obtuvieron las llaves en primer lugar. Sin embargo, fueron incluidas en un archivo de encabezado C, lo cual podría sugerir que el que filtró el contenido tenía acceso al código fuente del programa de ransomware.

La buena noticia es que las llaves filtradas son reales, y los investigadores de Kaspersky Lab y ESET verificaron que funcionaban. Las dos empresas han actualizado sus herramientas de descifrado de Crysis -descargas en Kaspersky RakhniDecryptor y ESET CrysisDecryptor- para que funcionen también con los archivos afectados por Dharma.

Esto debe servir como un recordatorio para que las víctimas de ransomware mantengan una copia de los archivos afectados, incluso si deciden no ceder ante las demandas de rescate de los atacantes. Los investigadores algunas veces encuentran fallas en las implementaciones de los programas de ransomware que permiten romper las llaves de cifrado. En otras ocasiones las autoridades se apoderan de los servidores de comando y control utilizados por las bandas de ransomware y liberan las llaves de descifrado.

De vez en cuando, como en este caso, las llaves encuentran su manera de llegar en línea debido a fugas inexplicables: Tal vez un desarrollador de ransomware decide cerrar el negocio y publicar las llaves, o tal vez un hacker penetra en los servidores de una pandilla rival y lanza las llaves para perjudicar sus operaciones. El punto es: Conserve esos archivos, por meses o incluso años si es necesario.

Es bueno revisar regularmente la sección de herramientas del sitio web NoMoreRansom.org. El sitio web es mantenido por una coalición de empresas de seguridad y agencias policiales y se actualiza con frecuencia con nuevas herramientas de información y descifrado.