Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
Descifrado disponible para afectados por ransomware TeslaCrypt
Investigadores de seguridad encontraron que las llaves de descifrado pueden ser recuperadas de sistemas infectados por TeslaCrypt.
Algunos usuarios cuyas computadoras han sido infectadas con el ransomware llamado TeslaCrypt podrían ser beneficiados con la herramienta que investigadores de Cisco Systems han desarrollado para recuperar archivos cifrados.
TeslaCrypt apareció a principios de este año y se identificó como una variante de CryptoLocker. Sin embargo, sus autores parecen estar interesados en atacar a usuarios adictos a los videojuegos.
Una vez instalado en el sistema, TeslaCrypt cifra los archivos que tengan una de 185 diferentes extensiones, de las cuales más de 50 están asociadas a juegos de computadora y software relacionado, incluyendo contenido generado por el usuario como partidas guardadas, mapas, perfiles, etc.
En el mensaje que el malware muestra en las computadoras infectadas, TeslaCrypt afirma utilizar criptografía asimétrica basada en el sistema de cifrado de llave pública RSA. Si esto es cierto, significa que los datos están cifrados con una llave almacenada en el sistema y que pueden ser descifrados únicamente con la llave privada en poder de los atacantes.
Sin embargo, después de analizar el programa malicioso, los investigadores del grupo Talos de Cisco encontraron que en realidad el malware utiliza el algoritmo de cifrado simétrico AES. Este algoritmo utiliza la misma llave tanto para cifrar como para descifrar.
Algunas versiones de TeslaCrypt almacenan en el equipo infectado la llave de cifrado en un archivo llamado key.dat, pero otras lo eliminan al finalizar el cifrado de los archivos, almacenando una versión cifrada de la llave en un archivo diferente llamado RECOVERY_KEY.TXT, indicaron los investigadores de Cisco en su blog.
Los investigadores desarrollaron una herramienta que puede descifrar los archivos afectados por TeslaCrypt si la llave de cifrado maestra se encuentra aún en key.dat. Los usuarios deben guardar una copia de este archivo tan pronto como se den cuenta de que sus computadoras han sido infectadas con TeslaCrypt para así utilizarlo con la herramienta de Cisco.
Si los investigadores tienen éxito en regenerar la llave de cifrado maestra a partir de la llave de recuperación, esto permitiría descifrar archivos de las versiones de TeslaCrypt que borran la llave maestra del archivo key.dat cuando la operación de cifrado termina.
