Herramientas gratuitas para el descifrado de ransomware


El ransomware Crypt888 se moderniza en busca de nuevas víctimas.

Hemos seguido la lenta evolución de un interesante tipo de ransomware al que denominamos ‘Crypt888’ y que difiere mucho de otros de los cuales hemos informado durante los últimos meses. Crypt888 ha centrado su estrategia en experimentar con la interfaz de usuario en lugar de mejorar su código, presentando instrucciones para el rescate en diversos idiomas, incluyendo el italiano y más recientemente el checo.

En junio de 2016, el Laboratorio de Virus de AVG lanzó seis desencriptadores gratuitos para los tipos de ransomware más recientes. Seguimos monitorizando la situación, preparados para actualizar las herramientas según vaya evolucionando el ransomware.
Nuestra investigación descubrió una variante de Crypt888 que se comporta de manera diferente a las demás. En lugar de mejorar el código, los autores del malware pusieron el foco en experimentar con la interfaz de usuario como por ejemplo cambiando el lenguaje de los mensajes del ransomware.
Esto significa que el script Autolt sigue siendo el mismo que en las versiones anteriores…, pero curiosamente las instrucciones para el rescate solo se presentan en checo en la última versión.

Así es como identificamos y efectuamos el seguimiento de la evolución de Crypt888.

Rastreando la amenaza

Crypt888, también conocido como MicroCop y Mircop, es una de los muchos tipos de ransomware descubiertos en 2016 y su evolución ha sido muy específica. Después de analizar varias muestras, descubrimos que el fondo de pantalla que contiene las instrucciones para el rescate es la única parte de Crypto888 que ha cambiado.

El script Autolt ha seguido siendo más o menos el mismo en todas las versiones conocidas. Tampoco han cambiado el algoritmo de cifrado, la clave de cifrado, los nombres de los archivos y otros componentes, lo cual no es muy habitual. Aunque esto significa que nuestro desencriptador puede rescatar sus archivos encriptados, también significa que la manera en que Crypt888 se presenta a sí mismo sigue cambiando. En la última versión, las instrucciones para el rescate se presentan en checo.

El cambio del idioma en el que presenta el mensaje de rescate ha sido una característica distintiva de esta específica amenaza. Hemos rastreado varias evoluciones de Crypt888 desde que éste apareciera por primera vez en el mes de junio de este año.

  • Versión ‘Guy Fawkes’, 22 de junio de 2016:la primera versión conocida de este ransomware.
  • Versión ‘Tarjeta de Visita’, 8 de julio de 2016: esta versión tiene el aspecto de una versión de prueba, ya que no hay instrucciones para el pago.
  • Versión ‘italiana’, 29 de julio de 2016: esta versión tenía varias características nuevas y los errores del texto sugerían que se había efectuado una traducción automática.
  • Versión ‘Checa’, 21 de septiembre de 2016: la última versión aparece en un nuevo idioma, también en este caso con errores que sugieren que el autor no es un hablante nativo.

El primer encuentro

La primera versión conocida de Crypt888 apareció como un fondo de pantalla negro con la imagen de la máscara de Guy Fawkes, un conocido símbolo que normalmente se asocia con Anonymous. El mensaje acusaba a la víctima de haber robado 48,48 bitcoins (30.000 USD) a las “personas equivocadas” y solicitaba su devolución.

Se intimidaba a la víctima afirmando que habría consecuencias, pero no se proporcionaban detalles sobre cómo efectuar la devolución o sobre cómo se efectuaría el proceso de descifrado una vez se hubiera realizado el pago. Ésta es probablemente la razón por la que hasta ahora solo hemos encontrado una transacción a la dirección de bitcoin facilitada.

Probando… probando… 1.2.3…

Algunas semanas más tarde identificamos una segunda versión. En esta ocasión, el fondo de pantalla con el tema del robo y las acusaciones ya no aparecían. De hecho, tampoco había ningún tipo de instrucciones para el pago, y el fondo de pantalla contenía una “tarjeta de visita”, tal como puede verse en este vídeo.

No tenemos ninguna explicación clara sobre por qué se ha utilizado esta imagen en concreto, pero creemos que probablemente se trataba de una versión de prueba basándonos en el hecho de que no se proporcionaba a las víctimas ni instrucciones ni direcciones para el pago.

Por si acaso hemos lanzado una herramienta de descifrado para Crypt888 gratuita que es capaz de recuperar los archivos cifrados tanto por esta versión como por la versión anterior.

El affaire italiano

Tres semanas más tarde identificamos una nueva versión de Crypt888 en la que había múltiples cambios. Puesto que también en este caso el código de AutoIt era similar al de las versiones anteriores y se utilizaban los mismos algoritmos, nuestra herramienta de descifrado sigue siendo totalmente funcional para esta versión – el código estaba ofuscado.

En esta versión había una nueva imagen que contenía instrucciones para el rescate en italiano, con errores tipográficos y gramaticales que apuntaban a una traducción automática. Además, esta versión de Crypt888 no creaba el archivo de texto LEGGIMI.txt, que debería contener las instrucciones para el pago. Siendo así, la víctima se encontraría con archivos cifrados y sin instrucciones sobre la manera de recuperarlos.

La conexión checa

El investigador de malware S!Ri identificó esta última versión un mes después de la aparición de la versión italiana. Volvimos a investigar y descubrimos que este código ya no estaba ofuscado y que esencialmente era igual que las dos primeras versiones, siendo la única diferencia notable el fondo de pantalla.

En esta ocasión las instrucciones para el rescate aparecían en checo y presentaban diferencias con respecto a las versiones anteriores en lo relativo al contenido. En primer lugar, el ransomware afirma ser un “Petya ransomware 2017”. Pero no te dejes engañar, no lo es. Se trata probablemente de una maniobra para engañar a las víctimas afectadas por Crypt888 que buscan una manera de solucionarlo online.

Petya es un ransomware mucho más sofisticado y no es descifrable por el momento. Ésta no es la primera vez que un ransomware ha fingido ser otro; ya hemos visto en varias ocasiones que algunos menos conocidos han tratado de hacerse pasar por otros más famosos, como por ejemplo TeslaCrypt, CryptoLocker o CryptoWall.

La versión checa también difiere en que la cantidad del rescate “solo” es de 0,8 bitcoins (480 USD en el momento de la redacción de este informe). Esta cifra refleja una aparente fijación con el número “8”, que se utiliza profusamente en el programa (en las cantidades del rescate, en la configuración del algoritmo de cifrado, en los nombres de los archivos creados, etc.). Ésta es la razón por la que cuando la identificamos decidimos darle el nombre de Crypt888.

Otro cambio es que se amenaza a las víctimas con un plazo límite de cinco días para efectuar el pago y se proporcionan dos direcciones de correo electrónico para que la víctima envíe una prueba del pago (y supuestamente para recibir la herramienta de descifrado), aunque no se mencionan represalias si no se cumple dicho plazo.

Por último, los autores dan una pista sobre el origen del ransomware con la inclusión de una frase que, traducida, significa “Pertenecemos a los Hackers Rusos/checos”. Basándonos en el grado de corrección del texto y en la calidad del código, resulta difícil creer esa afirmación, ya que contiene un gran número de errores tipográficos, de orden incorrecto de las palabras, extrañas combinaciones de texto con y sin signos diacríticos checos y otros tipos de errores. Los más probable es que el texto se haya creado mediante traducción automática, igual que en el caso de la versión italiana.

En el momento de la redacción de este informe, no hemos encontrado otras variantes de idioma de este ransomware y podemos ofrecer la tranquilidad de que nuestra herramienta de descifrado gratuita funcionará para todas las versiones descritas en este informe.
Creemos que los autores de Crypt888 siguen realizando nuevas versiones de su ransomware. Su técnica se diferencia de la de los autores de otras familias de ransomware en que se centra fundamentalmente en la modificación de los gráficos y en crear historias falsas, en lugar de en mejorar su código. Seguimos monitorizando la situación en busca de nuevas variantes que harían que fuera necesario adaptar nuestra herramienta de descifrado con el fin de asegurar que las víctimas tengan una manera de mitigar un ataque de Crypt888.

Creemos que los autores de Crypt888 siguen realizando nuevas versiones de su ransomware. Su técnica se diferencia de la de los autores de otras familias de ransomware en que se centra fundamentalmente en la modificación de los gráficos y en crear historias falsas, en lugar de en mejorar su código. Seguimos monitorizando la situación en busca de nuevas variantes que harían que fuera necesario adaptar nuestra herramienta de descifrado con el fin de asegurar que las víctimas tengan una manera de mitigar un ataque de Crypt888.

Jakub Kroustek – Analista de malware e ingeniería inversa en AVG Technologies

Si quieres adquirir una licencia de AVG puedes hacerlo desde la web de nuestro partner Tienda PDA