Para una empresa que no hace los deberes y no mantiene copias de seguridad de sus datos críticos, ser atacada por un ransomware es una tragedia. Más aún si ese ransomware tiene bugs que impiden desencriptarlo.
No vamos a señalar a nadie, porque la mayoría de nosotros seguro que no tenemos copias de seguridad actualizadas. Pero para una compañía comercial, la responsabilidad es mayor.
La empresa de seguridad Guidepoint Security narra una historia en su blog, que cuenta lo que le ocurrió a una anónima compañía que decidió pagar a los ciberdelincuentes, para desencriptar sus discos duros secuestrados.
Hazard, un ransomware lleno de bugs
Según explica Guidepoint, fue contratada para que mediara con unos ciberdelincuentes que habían secuestrado ordenadores con el ransomware Hazard.
Lo que hace un ransomware es encriptar los discos duros y SSD de un ordenador, para bloquearlo. Después pide un rescate, normalmente en bitcoins, para desbloquear el ordenador infectado.
Los expertos aconsejan no pagar, porque muchas veces estos ciberdelincuentes reciben el dinero, y desaparecen. Pero al parecer esta empresa tenía datos muy valiosos secuestrados, así que decidió aceptar el chantaje.
En esta ocasión, los secuestradores sí entregaron la clave de desencriptación cuando recibieron el dinero. Pero no funcionaba.
Cuando Guidepoint se lo comunicó, le entregaron la misma clave con otro nombre de fichero, y desaparecieron.
La empresa de seguridad tenía la clave correcta, pero no funcionaba, así que decidió investigar para ver que es lo que estaba pasando con el malware. Descubrió que se trataba de un bug.
“Se produjo un fallo cuando el autor de la amenaza ejecutó varios cifradores en el mismo sistema”, explica GuidePoint. “Cada archivo se cifró una segunda vez antes de ser renombrado con una nueva extensión, lo que provocó que faltaran bytes en un fragmento de datos añadidos al archivo original”.
Faltaban tres bytes del fichero original, que impedían que la clave de desencriptado se aplicase correctamente. Así que recurrieron a la fuerza bruta. Probaron todas las combinaciones posibles de estos tres bytes, hasta que localizaron la correcta. Así pudieron desencriptar los archivos secuestrados.
La historia tiene un final feliz, pero la suerte jugó un papel importante. Si hubiesen faltado más bytes, las combinaciones se habría disparado a los miles de millones, y desencriptar hubiese sido imposible, o habría tardado años.
Los ransomware son muy peligrosos, más aún si tienen algún bug. Por eso pagar el rescate supone un grave riesgo.
Conoce cómo trabajamos en ComputerHoy.
Etiquetas: Malware
