• +54 (011) 4323-9362
  • |
  • de Lun a Vie de 9 a 17 hs
  • |
  • ciberseguridad@ba-csirt.gob.ar
22 octubre
GandCrab ofrece llaves de descifrado a víctimas de Siria

Los responsables del ransomware GandCrab, publicaron en un foro las llaves para descifrar los archivos afectados por esta amenaza para uso exclusivo de los usuarios de Siria.

En el día de hoy fue publicado un tweet por un padre sirio que fue víctima del ransomware GandCrab, en el que explica que como consecuencia de la infección ya no podía acceder a las fotos y videos que tenía de sus dos hijos fallecidos. Debido a eso, los desarrolladores del ransomware publicaron en un foro sobre cibercriminalidad, que estaban al tanto de este reclamo, y que por ello daban a conocer las llaves de descifrado para que todas las víctimas de GandCrab de Siría puedan recuperar su información, según el sitio BleepingComputer.

En su tweet, este padre llamado Jameel dice haber sido víctima de la versión 5.0.3 de GandCrab y que, si apenas tiene dinero para comer, mucho menos dispone de 600 dólares para pagar por el rescate de los archivos perdidos.

Por otra parte, los autores de GandCrab escribieron en el foro que por error no incluyeron a Siria en la lista de países en los que el ransomware no operaría. Además, en el mismo post incorporaron un enlace a un archivo zip que contiene 978 llaves de descifrado para víctimas de Siria y para versiones desde la 1.0 a la 5.0.

Días después de haberse publicado la noticia de que los desarrolladores de GandCrab revelaran las llaves de descifrado para las víctimas de Siria, la compañía Bitdefender desarrolló un descifrador para que las víctimas de GandCrab ubicadas en Siria puedan obtener sus archivos del cifrado.

Cabe aclarar, que esta herramienta funciona únicamente con las llaves de descifrado que dieron a conocer los desarrolladores del ransomware, que tal como indicaron, están asociadas solamente a víctimas de dicho país. Por lo tanto, la herramienta no servirá para aquellas víctimas que estén en otro país.

Tal como publicó BleepingComputer, esta actitud por parte de los desarrolladores de ransomware no es común, pero tampoco es la primera vez que pasa. En 2016 cuando, luego de intuir que los actores detrás del ransomware TeslaCrypt estaban por cerrar, el investigador de malware de ESET, Igor Kabina, se hizo pasar por una víctima y solicitó a los operadores que manifiesten la clave de descifrado para la última versión de TeslaCrypt. Y para su sorpresa, a los pocos días publicaron en la página de TeslaCrypt que el proyecto había cerrado y divulgaron la clave maestra. Según contó en su momento Kabina en una entrevista para WeLiveSecurity, apenas consiguió la clave maestra universal, comenzó a trabajar en una herramienta de descifrado para que las víctimas puedan recuperar sus archivos.

Si bien los responsables de GandCrab dijeron que por error no incluyeron a Siria en la lista de países que estarían al margen de este ransomware, varios países de América Latina figuran en la lista de países a infectar.

En agosto de este año, el Jefe del Laboratorio de ESET Latinoamérica, Camilo Gutiérrez, publicó un artículo en el que habló del veloz crecimiento de GandCrab en la región en la que asegura también, que en poco tiempo se posicionó como una de las familias de ransomware con mayor cantidad de detecciones, siendo Perú, México, Ecuador, Brasil y Colombia los países más afectados.

Además, de acuerdo al análisis del laboratorio de ESET Latinoamérica, durante los primeros cuatro meses del año utilizaron como vector de propagación una estrategia de ingeniería social infectando a las víctimas mediante la actualización de fuentes para el sistema operativo. Sin embargo, a partir de mayo se modificó el método de difusión y comenzaron a utilizar cracks de programas piratas.

Este ransomware cifra más de 450 extensiones de archivos, entre ellos archivos de Micosoft Office, Open Office, PDF, imágenes, música, videos, entre muchos otros más.

La realidad es que el ransomware se encuentra activo en América Latina y constantemente busca reinventarse.

Se recomienda que los usuarios tengan cuidado, y que cuenten con soluciones de seguridad, y sobre todo que tengan respaldos periódicos y seguros de sus archivos, ya que, si por accidente caemos en la trampa y resultamos infectados, perderemos archivos que pueden ser de gran valor, tal como le sucedió al padre sirio que escribió en las redes sociales pidiendo ayuda.

Referencia:

www.welivesecurity.com/la-es/2018/10/18/desarrolladores-del-ransomware-gandcrab-ofrecen-llaves-de-descifrado-victimas-de-siria/?utm_source=newsletter&utm_medium=email&utm_campaign=wls-newsletter-191018

Tu opinión nos ayuda a seguir creciendo.

Seleccioná la cantidad de estrellas que consideres apropiada.

BA-CSIRT, ¿cómo reportar un indicente de ciberseguridad?