Nuevas herramientas de descifrado para variantes de los ransomware HiddenTear e InsaneCrypt

A pesar de que durante todo 2018 el ransomware ha quedado ensombrecido por otras amenazas como la minería de criptomonedas no autorizada, esto no significa que el ransomware haya dejado de ser una preocupación para particulares y empresas. Al contrario, durante 2018 hemos visto como han aparecido nuevas variantes y como el secuestro de archivos sigue siendo un negocio muy interesante para los delincuentes.

Por ese motivo, la aparición durante esta semana de herramientas que permiten el descifrado de archivos afectados por algunas variantes conocidas de ransomware ha supuesto una alegría para muchos.

HiddenTear, el ransomware de código abierto

A quienes vengan siguiendo el desarrollo de la amenaza del ransomware desde hace tiempo es muy probablemente que les suene el nombre de HiddenTear. Se trata de una familia de ransomware que fue publicada hace alrededor de tres años como código abierto permitiendo que cualquiera lo modificase y lo utilizase para crear su propia variante.

Esto provocó que aumentase el número de variantes existentes, al disponer los delincuentes de un código base que les facilitaba mucho el trabajo de generar nuevas variantes. Así mismo, el número de víctimas también aumentó, provocando grandes daños a particulares y empresas.

Ahora, y gracias al trabajo realizado por el investigador Michael Gillespie se ha puesto a disposición de todo aquel que la necesita una herramienta que permite descifrar todos los archivos afectados por HiddenTear y aquellas variantes que utilicen el mismo código como base.

Al parecer, existe algún problema en el cifrado utilizado que permite conseguir la clave de descifrado utilizando fuerza bruta en un corto periodo de tiempo. Aprovechándose de este fallo, la aplicación desarrollada por Gillespie permite recuperar todos los archivos afectados por HiddenTear y sus variantes de forma sencilla.

Tan solo deberemos seleccionar la variante por la que hemos sido afectados, adjuntar un fichero afectado por el ransomware y, una vez obtenida la clave de descifrado seleccionar los directorios con archivos cifrados que queramos descifrar.

InsaneCrypt también dispone de herramienta de descifrado

De la misma forma que ha hecho con HiddenTear, el investigador Michael Gillespie, ayudado en esta ocasión por Maxime Meignan ha desarrollado una herramienta de descifrado para el ransomware InsaneCrypt, también conocido como Everbe 1.0, una familia de ransomware que también estaba basada en un proyecto de código abierto.

Es probable que los delincuentes utilizaran como vectores de ataque mensajes de correo electrónico e introduciéndose en sistemas con conexiones RDP con contraseñas débiles, poro no se a podido confirmar de forma segura.

Aquellos usuarios que se hayan visto afectados por esta variante también pueden descargarse una herramienta que facilita mucho la tarea de descifrar los archivos afectados por el ransomware. No obstante, hay que tener en cuenta que esta herramienta no sirve para descifrar los archivos afectados por la variante Everbe 2.0, limitándose a aquellas que utilizan las siguientes extensiones:

.[email].insane

.[email].DEUSCRYPT

.[email].deuscrypt

.[email].Tornado

.[email].twist

.[email].everbe

.[email].embrace

.[email].pain

.[email].volcano

ESET pasa a ser entidad asociada en NoMoreRansom.org

La lucha contra el ransomware es algo que se lleva haciendo desde que se detectaron los primeros casos pero, desde 2016, existe una iniciativa llamada NoMoreRansom.org que permite obtener información y ayuda a aquellos usuarios afectados por un caso de ransomware. Como parte de esta iniciativa forman parte numerosos cuerpos y fuerzas de seguridad, así como un buen número de empresas privadas que se dedican a la seguridad informática.

Hasta ahora, ESET había formado parte de esta iniciativa como entidad colaboradora, aportando información sobre nuevas variantes de ransomware. A partir de hoy, no obstante, ESET pasa a formar parte de las entidades asociadas, lo que permitirá incluir nuevas herramientas de descifrado a las ya existentes que los usuarios podrán descargar de forma gratuita.

De esta forma, ESET se reafirma en su propósito de luchar contra el ransomware y los delincuentes que se lucran con ello, aportando inteligencia sobre amenazas que pueda ser de utilidad para detener a los responsables, evitar las infecciones y poner a disposición de los usuarios afectados herramientas que les permitan recuperar sus datos personales o empresariales.

Conclusión

No cabe duda de que todo lo que hemos comentado en este artículo son buenas noticias para los usuarios, especialmente aquellos que se hayan visto afectado por las variantes de ransomware para las que se han desarrollado las herramientas de descifrado comentadas. Sin embargo, debemos permanecer atentos puesto que no dejamos de observar nuevas variantes cada semana y mucho mejor que recuperar archivos cifrados es evitar que se vean afectados por un ransomware.

Para ello debemos contar con una solución de seguridad que sea capaz de detectar y detener las variantes de ransomware que van apareciendo, disponer de una copia de seguridad para poder recuperar los datos en caso de verse afectados y, sobre todo,  aprender a detectar los vectores de ataque usados por los delincuentes para evitar caer en su trampa.

Josep Albors