Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
Compañías de seguridad publican herramientas para descifrar ransomware
En los últimos meses han aparecido programas ransomware con implementaciones de cifrado débiles en comparación con los demás.
Investigadores de seguridad han lanzado esta semana herramientas que podrían ayudar a los usuarios a recuperar archivos cifrados por dos amenazas relativamente nuevas de ransomware: Bart y PowerWare.
PowerWare, también conocido como PoshCoder, fue visto por primera vez en marzo cuando fue utilizado en los ataques contra las organizaciones de salud. Este ransomware destacó porque fue implementado en Windows PowerShell, un entorno de programación diseñado para la automatización de tareas del sistema y la administración de las aplicaciónes en Windows.
Los investigadores de la empresa de seguridad de Palo Alto Networks han encontrado recientemente una nueva versión de esta amenaza que imita a Locky, un programa ransomware sofisticado y extendido ampliamente. Utiliza la extensión .locky extensión para archivos cifrados y también muestra la misma nota de rescate que es utilizada por el verdadero ransomware Locky.
PowerWare utiliza el algoritmo de cifrado AES-128, pero con una fuerte llave codificada, lo cual permitió a los investigadores de Palo Alto crear una herramienta de descifrado que debería trabajar al menos en esta última variante.
También esta semana, los investigadores de la firma de antivirus AVG lograron romper otro programa ransomware llamado Bart, que apareció por primera vez en junio. Esta amenaza es notable porque bloquea los archivos protegidos con contraseña dentro de archivos ZIP en lugar de utilizar sofisticados algoritmos de cifrado.
Las infecciones de Bart son fáciles de identificar debido a que los archivos afectados tienen la extensión .bart.zip anexado a su nombre original y la extensión, por ejemplo document.docx se convertirá en document.docx.bart.zip. El cifrado para el ZIP del ransomware Bart, utiliza una contraseña muy larga y compleja, pero los investigadores de AVG han descubierto una manera de adivinar la clave utilizando métodos de fuerza bruta.
La herramienta de descifrado para Bart requiere que el usuario tenga al menos una copia no afectada de un archivo que se ha cifrado. El programa compara la versión original del archivo con la versión archivada y protegida por contraseña, luego procede a adivinar la contraseña. El proceso puede tardar hasta varios días.
