ElevenPaths forma parte de la alianza de NoMoreRansom.org, como entidad asociada. Este prestigioso estatus se logra cuando se aporta alguna herramienta de descifrado para alguna variante del ransomware. Hace unos años conseguimos crear una sencilla herramienta para descifrar el ransowmare PopCorn sin necesidad de pagar el rescate. En esta ocasión, hemos aportado otra sencilla herramienta para descifrar el ransowmare VCryptor.
A finales de 2016 se puso de moda un ransomware muy interesante, no por el plano técnico, sino por su fórmula de “extorsión”. Ofrecía dos vías para descifrar el contenido: la vía “normal”, en la que se paga un rescate; y la vía “nasty” (así la denominan ellos mismos), en la que si se envía un enlace a un ejecutable a dos personas, se infectan y pagan, se te dará un código “gratis” para poder descifrar tu contenido. Un “plan amigo” de difusión en la que el atacante se asegura dos infecciones por el precio de una, y un método de difusión más eficaz. En ElevenPaths lo analizamos y descubrimos que podíamos descubrir la contraseña y descifrar los archivos. Esto nos llevó a formar parte de NoMoreRansom.
La plataforma www.nomoreransom.org tiene el claro objetivo de, por un lado, asistir y permitir a las víctimas del ransomware la recuperación de su documentación cifrada sin tener que pagar a los criminales. Por otro, perseguir desde el plano legal a los responsables de estas estafas compartiendo información con las fuerzas de seguridad.
ElevenPaths aporta su experiencia en este campo desarrollando y ofreciendo gratuitamente una herramienta a esta iniciativa, lo cual, gracias a la labor del Área de Innovación y Laboratorio, le ha permitido formar parte del consorcio como una de las entidades asociadas junto con Avast, Bitdefender, CERT de Polonia, Check Point, Emsisoft y Kasperksy.
El malware VCryptor
En esta ocasión hemos contribuido creando una sencilla herramienta para descifrar los ficheros cifrados por el malware VCryptor. Descubierto por varias casas antivirus, el malware cifra en un zip con contraseña los ficheros de usuario (escritorio, documentos, imágenes…) y crea con extensión .vcrypt los ficheros por los que pide el rescate. La carta de extorsión es la siguiente.
Tras comprobar que almacenaba la contraseña algo ofuscada en su código y que resultaba fácil su descifrado, hemos creado una sencilla (aunque muy pesada, por utilizar pyQT) herramienta que permite recuperar los archivos sin necesidad de pagar el rescate. La contraseña que aparece por defecto es la correspondiente a la variante más conocida, que también se reconoce por un nombre de proceso característico.
Creamos un rápido script para descifrar los ficheros, pero para mostrarla en NoMoreRansom.org era necesario acompañarlo de una interfaz.
Finalmente, se puede encontrar la herramienta en el repositorio más útil para los usuarios infectados por malware.