El Centro de Respuestas ante Incidentes Cibernéticos (CERT-PY) ha informado sobre la reciente aparición de una vulnerabilidad en el ransomware Teslacrypt, la cual ha permitido recuperar archivos encriptados por este ransomware. A fines de noviembre del año pasado se observó un aumento importante de campañas de distribución de una nueva versión de Teslacrypt, a través de correos electrónicos con adjuntos .zip. Teslacrypt es un ransomware, un tipo de software malicioso (malware) que encripta los archivos, exigiendo que la víctima pague un "rescate" de 500 ~ 1000 US$ para desencriptarlos.
Investigadores han descubierto una vulnerabilidad en el ransomware, que permite desencriptar
aquellos archivos encriptados por las versiones anteriores a Teslacrypt 3.0, la cual añade extensiones .ECC, .EZZ, .EXX, .XYZ, .ZZZ, .AAA, .ABC, .CCC, y .VVV a los archivos encriptados.
1/2
La vulnerabilidad se encuentra en la manera en que se almacenan las claves de cifrado en los
archivos encriptados, las cuales se añaden a la cabecera del archivo de forma encriptada. Sin
embargo, la longitud de esta clave es relativamente corta, por lo que es posible reconstruir la clave de descifrado.
Como los valores de las claves varían para cada víctima, a algunos, el proceso de recuperación de los archivos podría tomar tan poco como 5 minutos, mientras que a otros podría llevar días.
Investigadores han desarrollado herramientas, TeslaCrack y TeslaDecoder, la cual permite
desencriptar los archivos encriptado por las versiones anteriores a TeslaCrypt 3.0. En la siguiente versión la cual empezó a circular hace unas semanas (extensión .ttt, .xxx y .micro), no es posible aplicar dicho método.
El CERTPY ha elaborado una guía detallada para recuperar archivos utilizando una de ellas,
TeslaDecoder:
http://www.cert.gov.py/application/files/1814/5555/5808/Guia_20160215_TeslaDecoder.pdf
Cuando un equipo fue infectado por un ransomware, es importante no modificarlo: no se debe
eliminar archivos ni reinstalar el sistema operativo, hasta tanto se haya realizado un análisis detallado de la infección, que debe ser llevado a cabo por expertos en la materia. En caso de víctima de ransomware se recomienda reportarlo al Centro de respuestas ante Incidentes Cibernéticos (CERT?PY).
Aún no habiendo una solución en el momento de la infección, es importante guardar los archivos encriptados importantes ya que es posible que en un futuro sea desarrollada una solución. Sin embargo, el mejor consejo es realizar siempre copias de seguridad de la información importante y evitar abrir programas o enlaces sospechosos, de modo a evitar la infección por ransomware y minimizar su impacto.