Liberan las claves maestras del ransomware Crysis para poder descifrar los archivos

ransom_tecla

A mediados de mayo nos encontrábamos con la sorpresa de que los creadores de TeslaCrypt, uno de los ransomware más predominantes hasta esa fecha, habían decidido liberar las claves maestras de descifrado para que todo el que lo quisiera descifrara sus archivos sin tener que hacer pago alguno. No tardaron en aparecer herramientas de descifrado que ayudaron a miles de afectados en todo el mundo a recuperar sus ficheros, pero la plaga del ransomware estaba lejos de terminar.

Crysis toma el relevo

Sin embargo, 2016 está siendo especialmente prolífico en lo que a variantes de ransomware se refiere, y ya desde principios de año empezamos a observar cómo una nueva familia llamada Crysis tomaba el relevo de TeslaCrypt, relevo que se consumó cuando los creadores de este último decidieron abandonar el proyecto.

Durante meses, este ransomware ha supuesto una auténtica pesadilla para muchos usuarios que veían cómo se quedaban sin poder acceder a sus ficheros a menos que pagasen un rescate por ellos (a veces ni con esas). Es por eso que la noticia de la liberación de las claves maestras de descifrado de Crysis supondrá una alegría para muchos de los afectados.

El descifrado, al alcance de todos

La noticia llegaba hace apenas un par de días de la mano de un usuario anónimo con el seudónimo crss7777, que compartió un enlace a una publicación en Pastebin en la que se podía observar la cabecera escrita en C conteniendo las claves maestras de descifrado de Crysis, así como también información acerca de cómo utilizarla para descifrar los archivos cifrados por este ransomware.

ESET ya cuenta con una herramienta de descifrado gratuita gracias a la cual los usuarios afectados por Crysis pueden recuperar sus archivos sin tener que pagar nada a cambio.

Es muy probable que durante las próximas horas veamos más herramientas similares, puesto que cualquier investigador puede revisar la cabecera y crear su propia versión para conseguir el descifrado de los archivos afectados.

Motivos de esta publicación

Al igual que sucedió con el caso de TeslaCrypt, no hay un motivo aparente para que se publique este tipo de información por parte de alguien que parece relacionado directamente con el desarrollo de este malware. Obviamente, está la posibilidad del arrepentimiento, pero cuando un malware de estas características hace ganar miles de euros a bandas de delincuentes, este arrepentimiento es bastante improbable.

Lo más seguro es que los delincuentes comenzaran a sentir la presión de las diferentes fuerzas policiales que se encargan de luchar contra este tipo de cibercrimen en todo el mundo. Al haber llamado tanto la atención y afectando a tantas víctimas, se convirtieron en uno de los objetivos principales de la policía.

Esto les habría llevado a abandonar la propagación de Crysis y liberar las claves maestras para así librarse de la presión policial, o al menos intentarlo. No obstante, esto no significa que hayan abandonado su actividad delictiva y lo más seguro es que vuelvan a operar con alguna nueva técnica con la que conseguir monetizar sus creaciones.

Conclusión

Estamos ante una buena noticia para todos aquellos afectados por este rasomware, que han sido muchos en varias partes del mundo pero especialmente en Rusia, Japón, Corea, Brasil o España, por poner solo unos pocos ejemplos.

No cabe duda de que la labor tanto policial como de los investigadores de empresas de seguridad informática ha ayudado a que Crysis forme ya parte de la historia. Sin embargo, aún quedan muchas otras variantes por derrotar y que causan estragos a diario, especialmente por no tomar las medidas de protección adecuadas, por lo que no debemos bajar la guardia y sí seguir haciéndoles frente.

Josep Albors

Malware y mensajería instantánea: un clásico que no pasa de moda