martes, 2 de junio de 2015

El supuesto autor del ransomware Locker se arrepiente y descifra los ficheros

Hace unos días el supuesto autor del ransomware Locker publicó en Pastebin.com una nota en la que pedía perdón por la liberación del malware y liberaba la base de datos con las claves usadas en todas las infecciones.

Locker es un ransomware (software que secuestra recursos de un sistema informático y pide un rescate por su liberación) que afecta a plataformas Windows, en la línea del famoso CryptoLocker y el reciente TeslaCrypt. Sus características distintivas son: el vector principal de infección (una versión especialmente manipulada del videojuego Minecraft), el bajo precio pedido inicialmente para descifrar los archivos (0.1 bitcoins, aproximadamente 20 euros) y su particular forma de actuar. El programa auxiliar que iniciaba la infección (downloader) estaba programado originalmente para descargar e instalar Locker el 25 de mayo, y el 28 supuestamente borraba las claves del servidor (aunque finalmente sólo aumentó el pago a 1 bitcoin).

Como es costumbre últimamente en este tipo de malware, está diseñado para que la clave usada para cifrar sea enviada a un servidor externo (que cuenta con una base de datos almacenando la clave para cada infección). La forma "oficial" es pagar un rescate por la clave, pero en este caso, el supuesto autor de este malware parece haberse arrepentido y ha liberado la base de datos. Más aún, ha modificado la infraestructura del malware para que ordene a los ordenadores infectados que descifren todo automáticamente a las 00:00 del 2 de junio. Según atestiguan algunos usuarios del foro BleepingComputer.com en el hilo de soporte a los infectados por este malware, efectivamente se ha producido el descifrado automático. Todavía no hay noticias de si el arrepentimiento es completo y se va a devolver el dinero a los que pagaron previamente.

En el caso de que se haya borrado el malware antes de que haya ocurrido el descifrado automático, es posible descifrar con la herramienta Locker Unlocker (recomendamos consultar el hilo de BleepingComputer.com abajo enlazado para obtener la última versión). Esta herramienta usa la base de datos liberada con las claves para descifrar los archivos, y en su última versión prueba con todas las claves disponibles si no es capaz de relacionar la infección con una clave en particular. Antes de proceder con cualquier método de descifrado, recomendamos insistentemente que se realicen copias de seguridad de los archivos cifrados, ya que este tipo de herramientas son desarrolladas con rapidez y pueden contener fallos de programación que causen la corrupción de los archivos originales.

Más información:

Análisis técnico de Locker

Nota del autor de Locker en Pastebin.com

Noticia sobre la liberación de las claves

Hilo en BleepingComputer.com para los afectados por Locker



Carlos Ledesma

3 comentarios:

  1. Creo que ese "supuesto autor" no es en realidad el que codeo el malware, ya que actualmente estoy lidiando con la version 8 (Teslacrypt v8) de ese malware, que como partiularidad encrpta los archivos con extension: *.vvv

    Y de momento no funciona con esa herramientas.

    ResponderEliminar
  2. si alguien necesita ayuda para desencriptar archivos puede contactarme a mi facebook personal "facebook.com/ozzmadark1" Saludos !

    ResponderEliminar