lolloj - Fotolia

P
Resolver Problemas Consiga ayuda para problemas específicos con sus proyectos, procesos y tecnologías.

¿Cómo restaura datos la herramienta descifradora del ransomware Thanatos?

El descifrador del ransomware Thanatos, Cisco Talos, puede recuperar archivos afectados por un nuevo ransomware que no descifra los archivos rescatados incluso cuando se haya pagado un rescate.

Cuando apareció por primera vez el nuevo ransomware Thanatos, cifró los datos de las víctimas, pero como el malware no pudo registrar la clave de cifrado, las víctimas que pagaron el rescate no tuvieron suerte. Los investigadores del Talos Intelligence Group de Cisco Systems Inc. encontraron una manera de romper el cifrado y crear un descifrador de ransomware para las víctimas. ¿Cómo pudieron hacer esto y qué protocolo deberían seguir las empresas si se encuentran víctimas de ransomware?

Las empresas deben continuar abordando los ataques de ransomware en evolución, ya que el ransomware continúa afectando a empresas e individuos a una velocidad asombrosa. Si bien algunos ataques de ransomware se han vuelto mucho más sofisticados, otros parecen estar atrayendo la ola de atención: Los nuevos autores de malware están surgiendo y es posible que no tengan las capacidades técnicas de los hackers establecidos.

El grupo de investigación de seguridad MalwareHunterTeam informó inicialmente que había encontrado la variante de ransomware Thanatos en febrero de 2018. El análisis inicial indicó que el nuevo malware no parecía tener capacidades o características técnicas notables. Sin embargo, en un análisis más detallado, se encontró que era aún más destructivo, ya que el malware carecía de una característica crítica: La capacidad de descifrar archivos rescatados.

Los investigadores de Talos, Edmund Brumaghin, Earl Carter y Andrew Williams escribieron sus resultados y crearon un programa de descifrador del ransomware Thansatos capaz de descifrar los archivos afectados, lo que significa que las víctimas pueden recuperar sus datos sin tener que pagar. Los investigadores descubrieron que el malware se entregó a las víctimas como un archivo adjunto a los mensajes enviados a través de la plataforma de chat de voz y texto Discord.

Una vez que el malware está en el punto final, las víctimas a menudo pueden recuperar sus datos utilizando el descifrador de ransomware proporcionado por Talos.

Los investigadores descubrieron detalles de la evolución del ransomware al observar múltiples muestras del malware. Descubrieron que si bien la falla para producir una clave de descifrado puede haber sido inicialmente el resultado de un error, las versiones posteriores indican que el atacante no tenía intención de proporcionar una clave de descifrado incluso después de que se pagó un rescate.

Para versiones anteriores del ransomware Thanatos, el cifrado se basa en la cantidad de milisegundos que el sistema infectado se ha estado ejecutando. Si bien la criptografía fuerte es difícil incluso para los desarrolladores avanzados, y usar criptografía estándar como AES-256 para cifrar un archivo es una buena idea, basar la clave de cifrado en la cantidad de milisegundos que un sistema se ha estado ejecutando tiene sus limitaciones. Esto le dio a Talos lo que necesitaba para crear una herramienta descifradora del ransomware Thanatos para recuperar datos cifrados.

Cuando se investiga cualquier ataque de ransomware, es útil averiguar si existe una herramienta de descifrado. Los defensores también deben verificar si los archivos están incluso encriptados. Mientras que en este caso los investigadores de Talos pudieron producir un remedio, los usuarios no deben depender de que la comunidad de seguridad pueda crear un descifrador.

Y no hace falta decir que la opción de pagar un rescate para recuperar los datos no siempre va a producir un resultado positivo. Las empresas deben contar con sistemas de respaldo seguros para garantizar que sus datos estén protegidos.

Profundice más

¿Qué necesita resolver?

Por favor, añada un título para su pregunta

Obtenga respuestas de un experto de TechTarget en lo que sea que necesite resolver

Usted será capaz de añadir detalles en la siguiente página

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close