El laboratorio de malware, Emsisoft, lanzó una herramienta de desencriptación gratuita el 4 de junio, la herramienta permite a las víctimas recuperar los archivos cifrados por ataques de ransomware Tycoon sin necesidad de pagar el rescate.
Los investigadores de la unidad de seguridad de BlackBerry fueron quienes descubrieron por primera vez el ransomware, ellos declararon en TechCrunch que Tycoon utiliza un formato de archivo Java, esto lo hace más difícil de detectar antes de desplegar su carga útil que encripta los archivos.
Como funciona Tycoon
Hablando con Cointelegraph, Brett Callow, analista de amenazas de Emsisoft, dijo:
“Tycoon es un ransomware operado por humanos basado en Java que parece apuntar específicamente a empresas más pequeñas y generalmente se implementa a través de un ataque a RDP. el ransomware basado en Java es inusual, pero ciertamente no es único, Microsoft advirtió sobre otra variedad de ransomware basada en Java, PonyFinal, el mes pasado «.
En cuanto a la herramienta, Callow también aclaró algunas de las limitaciones de la herramienta gratuita «Emsisoft Decryptor for RedRum»:
“(…) la herramienta solo funciona para archivos cifrados por la variante original de Tycoon, no para archivos cifrados por ninguna de las variantes posteriores, esto significa que funcionará para archivos que tengan una extensión .RedRum, pero no para archivos con extensión .grinch o .thanos, Desafortunadamente, la única forma de recuperar archivos con esas últimas extensiones es pagar el rescate».
Un ransomware multi-OS
Los investigadores de BlackBerry señalaron que el ransomware, Tycoon, puede ejecutarse en computadoras con Windows y Linux, empleando la misma técnica de solicitar pagos en criptomonedas como Bitcoin (BTC).
Los últimos hallazgos muestran que las infecciones de Tycoon se dirigen principalmente a instituciones educativas y casas de software, los investigadores de BlackBerry creen que el número real de infecciones «es probablemente mucho más alto».
Además, advierten que las versiones más nuevas del ransomware Tycoon han estado mejorando su poder de ataque, antes se podían utilizar herramientas de desencriptación para recuperar archivos de múltiples víctimas, pero ya no es posible.
El 3 de junio, ElevenPaths, la unidad especializada en ciberseguridad del conglomerado de telecomunicaciones español, Telefónica, creó una herramienta gratuita llamada «VCrypt Decryptor», esta herramienta tiene como objetivo recuperar los datos cifrados por el ransomware VCryptor en medio de la iniciativa internacional de «No más ransomware».