Noticias
Aprende a descifrar los ransomware Hydracrypt y Umbrecrypt
El ransomware se ha convertido en una de las mayores amenazas para la seguridad de los usuarios. Se trata de un tipo de malware que restringe el acceso a diversos archivos (siendo blanco generalmente los personales, aunque también puede afectar a los del sistema) a través de cifrado, para luego pedir un pago para descifrarlos que generalmente se realiza a través de BitCoin (para evitar dejar rastros sobre la persona que está detrás del ataque).
En este artículo vamos a describir cómo descifrar los ficheros bloqueados a través de los ransomware Hydracript y Umbercrypt, siendo ambos derivados de CrypBoss y propagados a través de Angler Exploit Kit.
El código de CrypBoss fue colgado en Pastebin para luego ser analizado por Fabian Wosar, investigador de seguridad de Emsisoft. Esta persona fue capaz de romper el algoritmo de cifrado para crear una herramienta que ayude a descifrar algunas de sus variantes, como los mencionados Hydracript y Umbercrypt.
Cómo descifrar ficheros que han sido afectados por Hydracript o Umbercrypt
Hacer doble click en la herramienta es suficiente para iniciar el proceso de descifrado, el usuario tendría que conseguir una clave una vez que la tarea se haya completado. El tiempo que toma para romper el cifrado dependerá de las capacidades del ordenador.
Una vez generada la clave de descifrado, el usuario tiene que escribirla en algún papel. Luego tendrá que ejecutar la herramienta de descifrado y seleccionar las carpetas con los ficheros que quiere descifrar. Después la propia herramienta pedirá la clave al usuario.
Para evitar disgustos, se recomienda empezar con la ejecución de la herramienta de descifrado para un número reducido de ficheros, con el fin de comprobar si el proceso se realiza correctamente, ya que cabe la posibilidad de que el proceso de descifrado de como resultado unos ficheros corruptos en lugar de los legítimos. Realizar esto tendría que asegurar los ficheros y ayudar a no perder tiempo con el proceso. Otro dato importante es la de asegurarse de tener espacio suficiente en el disco duro o SSD.
Cómo comprobar si un fichero se ha descifrado correctamente
Realizar la comprobación resulta sencillo. El usuario solo tiene que coger el fichero legítimo y su versión cifrada y arrastrarlos hacia la herramienta de descifrado.
En caso de obtener un resultado legítimo como salida, el usuario puede realizar la operación de descifrado con el resto de ficheros afectados por los ransomware Hydracript y Umbercrypt.
Más vale prevenir que curar
Lo peor de los ransomware es que no hay recetas genéricas contra estos. Los antimalware raras veces incorporan mecanismos para combatirlos, y cada ransomware se subsana de una forma diferente, así que lo único que queda es tomar precauciones para minimizar los daños en caso de ser infectados por un malware de este tipo.
Lo más sencillo es realizar copias de seguridad en un disco duro externo o en discos ópticos (DVD, Blu Ray…), y se recomienda encarecidamente no conectar el disco duro de los backups en el sistema afectado por el ransomware, siendo preferible formatear y reinstalar el sistema antes de realizar dicha acción.
A por los ficheros personales
Los ransomware tienen un enfoque más dirigido a dañar los ficheros personales que los del sistema.
Años atrás Windows tenía una situación de casi “monopolio absoluto” en el mercado de la computación doméstica, pero en los últimos tiempos hemos visto que los sistemas operativos móviles y los productos de Apple han cambiado de forma radical esa situación.
Con este panorama, el sistema operativo en sí ha perdido peso frente a los ficheros personales, que pueden estar alojados en distintos dispositivos y en distintos sistemas operativos. Esto ha hecho que lo realmente valioso para el usuario no sea tanto el sistema como sus propios datos.
Sin embargo, los hackers ya están manos a la obra para adaptar el malware a este nuevo contexto, con ransomware como Ransom32, que a través de pocas modificaciones es capaz de infectar Windows, Mac OS X y Linux gracias al uso de JavaScript.