BUENA NOTICIA: POSIBLE SOLUCION PARA EL NUEVO RANSOMWARE TorrentLocker y utilidad de descifrado

El Ransomware TROJANLOCKER es una nueva variante de ransomware (secuestrador de ficheros) , mezcla de los ya conocidos CRYPTOLOCKER y CRYPTOWALL, pero con diferencias, que pueden permitir el descifrado sin tener que recurrir el pago al hacker.

A medida que el algoritmo es simétrico, la misma clave que se utiliza tanto para cifrar se puede usar para descifrar los datos. Debido a que el programa malware necesita tener la clave en algún momento en la máquina infectada para ser capaz de cifrar los archivos, la recuperación de la clave en la máquina infectada podría ser posible, al menos en teoría.
…

El flujo de cifrado puede ser fuerte, pero hay algunas cuestiones fundamentales que deben ser evitados con el fin de mantener la codificación criptográficamente segura. Una de las cosas más importantes es no utilizar el flujo de clave más de una vez.

En nuestro análisis, hemos tenido muestras de ambas versiones cifradas y texto claro de los mismos archivos. A medida que el cifrado se realiza mediante la combinación de la cadena de claves con el archivo de texto plano usando la operación XOR, hemos sido capaces de recuperar el flujo de clave utilizada para cifrar los archivos mediante la simple aplicación XOR entre el archivo cifrado y el archivo de texto plano. Probamos esto con varias muestras de los archivos afectados que teníamos y nos dimos cuenta de que el programa malware utiliza el mismo flujo de claves para cifrar todos los archivos dentro de la misma infección. Esto fue un error de cifrado por parte del autor del malware, ya que nunca se debe utilizar el flujo de clave más de una vez.
Si este tipo de error hubiera sido realizado por una compañía tecnológica de confianza para cifrar nuestras comunicaciones y mantenerlas seguras de los hackers, estaríamos en pie de guerra por tal aplicación tan descuidada en su algoritmo de cifrado.

Pero sin embargo, creo que todos deberíamos sentir algo de alegría por esta vez ya que un programador cometió un error tan tonto. Si no hubieran codificado TorrentLocker tan mal, podría haber causado tanto daño como otros ejemplos recientes de ransomware como CryptoLocker y CryptoWall.

La pena es que es probable que los autores de malware no tarden de emitir una actualización para TorrentLocker, y lo más probable es que la nueva versión haya corregido el error de cifrado.

Tales errores en TorrentLocker no significan que el problema sobre el ransomware haya terminado. Los delincuentes han demostrado en el último año que pueden amasar una considerable fortuna mediante la difusión de software malicioso diseñado para tomar los archivos de rehenes de las víctimas. Otros hackers maliciosos están obligados a ver qué ransomware pueden generar dinero fácil, siempre que hagan una codificación de manera competente.

Lo aconsejable para evitar estas situaciones es mantener fuertes defensas y adoptar un régimen de copia de seguridad riguroso y constante, lo que incluye mantener copias de sus datos más importantes separados de su red para evitar que se vea comprometida, al mismo tiempo que el resto de los archivos.

Fuente:

torrentlocker-unlocked/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+tripwire-state-of-security+%28The+State+of+Security+%7C+Tripwire%2C+Inc.%29
Al respecto se ha desarrollado una utilidad de descifrado que ofrece el codigo de descifrado de cada ordenador afectado, a saber:

ver:
torrentunlocker.jpg

(requiere instalacion de las NET FRAMEWORK 4)
Tras la instalacion/ejecución del TROJAN UNLOCKER, aparece esta imagen en la que se pide el fichero cifrado y el fichero original correspondiente, tras lo cual se puede generar la utilidad de descifrado para todos los ficheros del ordenador afectado.
to y [b]link descarga utilidad[/b] en torrentlocker-ransomware-cracked-and-decrypter-has-been-made/

Si bien lo conveniente es disponer de copia de seguridad externa a los equipos, en este caso parece que puede conseguirse el descifrado de los datos codificados, sin necesidad del pago al hacker, aparte de que en equipos Windows7 y 8 se dispone de la funcion SHADOW COPY que guarda automaticamente copia de seguridad de los datos, y que en los servers con windows server2003, 2008 y 1012, la indicada función SHADOWCOPY está disponible pero debe activarse, al considerar Microsoft que la copia de seguridad debe realizarse fuera del equipo, en principio para no llenar el disco duro del server con los datos de copia de todos los usuarios. Por ultimo y MUY IMPORTANTE recordamos la conveniencia de configurar en la CONSOLA DEL VIRUSCAN, el nivel de proteccion heuristica a NIVEL ALTO, aunque ello ralentice algo el proceso del ordenador.

saludos

ms, 18-9-2014