RansomWarrior, un nuevo ransomware que se puede desencriptar

  • Seguridad

El cifrado utilizado por el ransomware es un cifrado de flujo que usa una clave elegida al azar de una lista de 1.000 claves codificadas en el código binario de RansomWarrior. El equipo de Check Point Research ha podido extraer las claves para desbloquear el ransomware.

Aunque los troyanos bancarios están perdiendo protagonismo en los ordenadores, el ransomware está ocupando su lugar, principalmente por su alta efectividad. El último ejemplar detectado por Check Point Research es 'RansomWarrior', un ransomware que afortunadamente se puede eliminar.

De acuerdo con los investigadores, el "cifrado" utilizado por el ransomware es un cifrado de flujo que usa una clave elegida al azar de una lista de 1.000 claves codificadas en el código binario de RansomWarrior. Al estar alojada la contraseña en el propio dispositivo de la víctima, se pueden obtener las claves correctas para desbloquear el ransomware. El equipo de Check Point Research ha podido extraer las claves y ha puesto a disposición de los usuarios la herramienta de descifrado.

“El archivo ejecutable del ransomware no está protegido, un detalle que nos hace pensar que los que están detrás de él son amateurs. Estamos ante un ejemplo de cómo cada vez más ciberdelincuentes optan por campañas globales”, explican desde Check Point, que atribuyen esta operación a gran escala a hackers indios.

“Es posible que los ciberataques a gran escala empiecen a incluir el ransomware como parte de su operación para evitar que el usuario pueda defenderse. Sin embargo, dado que este tipo de amenaza sigue evolucionando, no es descabellado suponer que en el futuro próximo aparecerán variantes capaces de inutilizar todo el terminal, incluso aunque éste se resetee. Además, también podrán bloquear los dispositivos de almacenamientos conectados, que a menudo contienen los datos más valiosos”, aseguran desde Check Point.

TAGS