Publican herramienta para descifrar ficheros afectados por los ransomware HydraCrypt y UmbreCrypt

ransom_tecla

La lucha contra el ransomware sigue estando a la orden del día. Prueba de ello son la aparición de nuevas variantes de esta molesta amenaza y la publicación de herramientas para descifrar los archivos afectados, conforme los investigadores van diseccionando las variantes existentes.

Un ejemplo de esto es la reciente publicación de una herramienta que permite descifrar aquellos ficheros afectados por alguna de las variantes de ransomware que se han estado propagando últimamente, como son HydraCrypt y UmbreCrypt.

hydracrypt1b

Distintas variantes, mismo origen

Estas dos variantes de ransomware están estrechamente relacionadas con el código fuente de la familia de ransomware CrypBoss, código que fue filtrado el año pasado y publicado en Pastebin, lo que permitió que muchos delincuentes crearan su propia variante de ransomware.

Sin embargo, esta filtración también permitió que investigadores como Fabian Wosar analizaran el código y buscaran métodos para conseguir descifrar el algoritmo de cifrado utilizado por las nuevas variantes. De esta forma, los usuarios afectados tienen ahora la posibilidad de recuperar los archivos sin tener que pagar un rescate por ellos, ficheros que suelen quedar de la siguiente forma una vez han sido cifrados por el ransomware:

hydracrypt2

De hecho, y según este investigador, los cambios implementados por HydraCrypt y UmbreCrypt son mínimos respecto al código fuente de CrypBoss. El único problema con el que tuvo que lidiar a la hora de recuperar ficheros afectados por estas nuevas variantes está relacionado con el hecho de que los ficheros cifrados tienen hasta 15 bytes de datos dañados al final del archivo.

Esto no impide la recuperación de los ficheros en la gran mayoría de los casos, puesto que esos bytes pueden reconstruirse con herramientas específicas. Así pues, Fabian asegura que el 99 por ciento de los ficheros pueden recuperarse usando la herramienta que ha puesto a disposición de los usuarios.

Recuperando los archivos afectados

Gracias a la herramienta DecryptHydraCrypt, cualquier usuario que haya sido víctima de HydraCrypt o UmbreCrypt puede intentar recuperar sus datos con un porcentaje bastante alto de éxito. Para ello se necesita primero encontrar la clave de descifrado adecuada para los ficheros cifrados de su sistema. Esta clave se puede conseguir pasando un fichero cifrado y el original sin cifrar (desde una copia de seguridad) por la herramienta.

En caso de no disponer de una copia de los ficheros originales sin cifrar, se puede seguir obteniendo la clave de descifrado utilizando un fichero con extensión .PNG cifrado y otro aleatorio descargado desde Internet. Tan solo deberemos seleccionar ambos ficheros y arrastrarlos a la herramienta, tal y como se observa en la siguiente animación:

hydracrypt3

La herramienta intentará obtener la clave de descifrado a partir de esos dos ficheros. Esta operación puede durar bastante, dependiendo de la capacidad de procesamiento de nuestro ordenador, por lo que se recomienda tomárselo con calma. Una vez obtenida la clave, se mostrará un mensaje similar al que se puede ver a continuación:

hydracrypt4

Tan solo deberemos pulsar sobre el botón OK y añadir las carpetas con los ficheros cifrados para que la herramienta realice su labor. En caso de obtener algún mensaje de error, debemos asegurarnos de que los ficheros que hemos proporcionado eran el original y la copia cifrada o las dos imágenes PNG (cifrada y sin cifrar).

También podría ser que estuviéramos afectados por una variante más reciente de estos ransomware, y que esta herramienta no fuera capaz de descifrarla. En este caso, recomendamos hacer una copia de seguridad de los ficheros cifrados por si en el futuro se pudiesen recuperar en su estado original.

Se recomienda probar primero con carpetas con pocos ficheros para asegurarse de que el descifrado se realiza de forma correcta. Si es así, podemos añadir todas las carpetas del sistema afectadas (la herramienta detecta también las subcarpetas) y dejar que el descifrado comience.

Asimismo, debemos asegurarnos de que disponemos de suficiente espacio en el sistema, puesto que la herramienta conserva por defecto el fichero cifrado original. En caso de no disponer del espacio suficiente, es recomendable hacer una copia de los ficheros afectados y realizar la restauración en otro disco con mayor capacidad.

Conclusión

Como en muchos otros casos de malware, estamos ante el juego del gato y el ratón, con los delincuentes tratando de crear nuevas variables más difíciles de descifrar y los investigadores tratando de proporcionar soluciones para los desaguisados causados por el ransomware.

Hay que tener en cuenta que, como usuarios, también podemos prevenir ser afectados por el ransomware tomando las precauciones adecuadas. Estas incluyen mantener nuestro sistema y aplicaciones actualizados, contar con una solución de seguridad capaz de detectar rápidamente las nuevas variantes de ransomware, instalar aplicaciones como AntiRansom que permitan detectar cuándo nuestros ficheros se están viendo afectados y, sobre todo, disponer de una copia de seguridad actualizada de toda la información importante que guardemos en nuestro sistema.

Josep Albors

MazarBOT: Nuevo malware avanzado para Android que roba nuestros datos