descifrado

Los responsables de AstraLocker han decidido finalizar su ciclo de vida. Por lo tanto ya no se realizarán más acciones con el mismo y, adicionalmente, han publicado las claves necesarias para que sus víctimas puedan recuperar sus activos. Estas fueron enviadas por uno de los responsables de AstraLocker a Bleeping, y su laboratorio las ha probado y verificado que son auténticas y que funcionan.

Aunque no es lo más común, cada cierto tiempo tenemos noticia de que algún grupo dedicado al ransomware, por la razón que sea, decide echar el cierre y cesar todas sus operaciones. Esto, al igual que cuando se produce alguna operación policial que permite acabar con alguna de estas organizaciones es algo a celebrar, puesto que aunque la cantidad de bandas que siguen operando es enorme, y cada semana se suman nuevos actores, una amenaza menos es siempre un elemento menos del que preocuparse.

Y la noticia es aún mucho mejor si el cese de actividad, ya sea voluntario o involuntario, va acompañado de la publicación de las claves de descifrado, para que todos aquellos que hayan sido víctimas de dicho ransomware, se hayan negado a pagar y aún conserven los activos cifrados, puedan finalmente recuperarlos. Una esperanza que, aunque poco probable, se cumple cada cierto tiempo, ya sea por un inesperado golpe de buena voluntad por sus creadores, por las pesquisas policiales o por el trabajo de la comunidad de expertos en seguridad.

El envío consta de varias claves, entendemos que asociadas a las distintas campañas que se han ido llevando a cabo con AstraLocker, y si bien el laboratorio hasta el momento solo ha podido probar una de ellas, el correcto funcionamiento de la misma es una señal de que el resto también deben ser efectivas. De momento no hay una aplicación capaz de probar las diferentes claves con un archivo cifrado, para determinar qué clave es la necesaria en cada caso, pero todo apunta a que no tardaremos demasiado tiempo en que ésta se materialice.

Esta es, por lo tanto, una muy buena noticia que, no obstante, solo tiene un pero, y es que en declaraciones a Bleeping, un miembro del equipo de AstraLocker ha afirmado lo siguiente:

Fue divertido, y las cosas divertidas siempre terminan en algún momento. Estoy cerrando la operación, los descifradores están en archivos ZIP, limpios. Volveré […] Terminé con el ransomware por ahora. Voy a hacer cryptojaking lol.

AstraLocker había ganado popularidad recientemente, lo que por una parte puede ser considerado como un éxito por parte de sus responsables, pero que también implica un mayor nivel de atención por parte de investigadores, entidades policiales y judiciales, etcétera y, por lo tanto, un mayor riesgo de cesar igualmente actividad, pero en este caso por causas de fuerza mayor.

La peor parte, claro, ese «Volveré». Ya sea, tal y como afirma, dedicándose al cryptojaking (secuestro de monederos de criptomonedas), a otras áreas de la ciberdelincuencia o volviendo al ransomware, como es común no nos encontramos frente a un adiós, sino a un hasta luego. Esperemos que, al menos, ese retorno a la actividad se produzca lo más tarde posible.

La lista de herramienta se la siguiente: Avaddon, Ragnarok, SynAck, TeslaCrypt, Crysis, AES-NI, Shade, FilesLocker, Ziggy, y FonixLocker.

Fuente y redacción: segu-info.com.ar

Compartir