Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
Desmantelan primer ransomware de Linux
Los administradores de servidores web que fueron infectados con un ransomware recientemente lanzado para Linux están de suerte, hay una herramienta gratuita que puede descifrar sus archivos.
La herramienta fue creada por investigadores de malware de la firma de antivirus Bitdefender, que encontró un defecto importante en la forma en que el ransomware Linux.Encoder.1 utiliza el cifrado.
El programa vuelve los archivos ilegibles utilizando el Advanced Encryption Standard (AES), que utiliza la misma llave tanto para las operaciones de cifrado como para las de descifrado. La llave AES es entonces cifrada mediante el uso de RSA, un algoritmo de cifrado asimétrico.
El algoritmo RSA utiliza un par de llaves, una pública y una privada, en lugar de una sola llave. La llave pública se utiliza para cifrar los datos y la llave privada se utiliza para descifrarlos. En el caso de Linux.Encoder.1, el par de llaves de RSA se generan en los servidores de los atacantes y sólo la llave pública se envía a los sistemas infectados, se utiliza para cifrar la llave AES.
Si se aplica correctamente este proceso, sería imposible para cualquier persona descifrar los archivos sin la llave privada de RSA retenida por los atacantes. Sin embargo, los investigadores de Bitdefender descubrieron que cuando genera las llaves AES, el programa malicioso utiliza una fuente débil de datos aleatorios: la hora y fecha al momento de cifrado.
Esta marca de tiempo es fácil determinar observando cuándo fueron creadas las llaves AES en el disco. Por lo tanto, los investigadores son capaces de revertir el proceso y recuperar las llaves AES sin necesidad de descifrarlos, haciendo que la llave pública y privada del RSA queden sin sentido.
La herramienta creada y publicada por Bitdefender es un script escrito en Python que determina los vectores de inicialización y llaves de cifrado AES mediante el análisis de los archivos cifrados por el ransomware. A continuación, descifra los archivos y fija sus permisos en el sistema.
"Si usted puede iniciar el sistema operativo comprometido, descargue el script y ejecutelo bajo el usuario root", dijeron los investigadores de Bitdefender en un blog que contiene las instrucciones detalladas sobre cómo utilizar la herramienta.
