Cabecera-v2-web.jpg

Herramienta para desencriptar archivos encriptados por CrySIS


Hace unos dí­as se han publicado las claves maestras de descifrado del ransomware CrySIS, la cual ha permitido recuperar archivos encriptados por este ransomware. Un usuario anónimo con el seudónimo crss7777 compartió un enlace a una publicación en Pastebin en la que se podí­a observar la cabecera escrita en C conteniendo las claves maestras de descifrado de Crysis, así­ como también información acerca de cómo utilizarla para descifrar los archivos cifrados por este ransomware.

El ransomware CrySIS es una familia de ransomware que apareció a medidados de este año y ha afectado a numerosos ciudadanos y empresas en nuestro paí­s, en los últimos meses.

Se han observado diferentes vectores de infección, en los primeros meses las campañas de distribución se basaban en correos electrónicos con adjuntos maliciosos (archivos con doble extensión, documentos de Microsoft Word con macros maliciosas, archivos .zip con dropper JS, entre otros). Sin embargo, a finales de agosto se observaron los primeros casos en los que el ransomware infectó un equipo de forma directa, luego de un ataque de fuerza bruta a servicios RDP (Remote Desktop Protocol) expuestos a Internet con credenciales débiles. Luego de ingresar a un equipo a través de RDP, los atacantes obtienen acceso e infectan los dispositivos y recursos compartidos con el equipo inicial. De esta manera, lograron infectar una gran cantidad de servidores de archivos, afectando con un solo ataque a varias computadoras de una red.

que muestra el mensaje de rescate como fondo de pantalla. La información provista inicialmente está limitada a dos direcciones de correo de contacto de los extorsionadores (generalmente, @india.com o @aol.com). Tras enviarles el e-mail, la ví­ctima recibe más instrucciones. Entre otras cosas, incluye el precio de la herramienta de descifrado, que oscila entre 400 y 1500 euros. La ví­ctima recibe la orden de comprar bitcoins y enviarlos a la billetera virtual de los operadores, especificada al final del mensaje.

Se desconoce la razón por la cual el usuario anónimo, quien probablemente tenga relación con la banda de cibercriminales detrás de CrySIS, publicó las claves. Este comportamiento, así­ como otras caracterí­sticas de CrySIS, son similares a los observados con otra familia de ransomware, Teslacrypt, en la que la banda cibercriminal publicó las claves maestras de su última versión Teslacrypt 3.0, la cual hasta ese momento no tení­a solución. Sin embargo, cabe resaltar que no es frecuente ni está garantizado que una banda cibercriminal publique de forma voluntaria las claves maestras.

Como Solucionar

Luego de la publicación de las claves maestras y luego de que las mismas hayan sido analizadas y se haya confirmado su autenticidad, la empresa de seguridad Kaspersky actualizó su herramienta RakhniDecryptor para incluir estas claves. Gracias a esta herramienta, los usuarios afectados por cualquiera de las variantes de Crysis pueden recuperar sus archivos sin tener que pagar nada a cambio.

Es probable que próximamente se desarrollen otras herramientas similares, puesto que cualquier investigador puede revisar la cabecera y crear su propia versión para conseguir el descifrado de los archivos afectados.

A continuación, se detallan las instrucciones para desencriptar los archivos utilizando esta herramienta:



  • Antes de empezar, el usuario se tiene que asegurar que esté usando la versión 1.17.8.0 o superior, que es la que incluye el soporte descifrar el ransomware CrySis. Para comprobar eso, hacer click sobre el enlace About situado en la parte inferior izquierda en la pantalla principal. Esto mostrará una pequeña ventana que indicará la versión de RakhniDecryptor que se está utilizando.
  • En caso de confirmarse que la versión de RakhniDecryptor es la mencionada o superior, hacer click en Start scan.
  • Aparecerá un diálogo en el cual tendrá que seleccionar un fichero. Navegar hasta las carpetas que contienen los ficheros cifrados por CrySis y seleccionar uno, pudiendo ser este de Word, Excel, PDF, música o una imagen (formato original del fichero). No se debe seleccionar ningún fichero de texto plano (.txt) debido a que éstos no pueden ser usados para descifrar el resto de ficheros.

  • Una vez seleccionado el fichero a descifrar, pulsar sobre el botón Open para que RakhniDecryptor inicie el proceso de descifrado de todos los ficheros afectados por CrySis en la computadora.

El proceso de descifrado puede demorar varias horas, no se debe interrumpir el proceso. Se recomienda asegurar que el equipo se encuentre conectado a la corriente eléctrica y con la baterí­a cargada. Antes de iniciar el proceso, es recomendable realizar una copia de seguridad de los archivos encriptados, de modo a evitar la pérdida de los mismos en caso de que el proceso falle.

Una vez terminado el proceso de descifrado, RakhniDecryptor mostrará la pantalla con la lista de todos los ficheros descifrados.

Como prevenir

Si bien, en esta ocasión, la banda cibercriminal o un allegado a ella publicó la clave maestra, esto no es frecuente ni existen garantí­as de que esto vaya a ocurrir con otras familias de ransomware. Por lo tanto, las medidas preventivas para evitar la pérdida de información son fundamentales.

  • No abrir nunca correos sospechosos, tanto si vienen de usuarios conocidos como desconocidos. Asegurarse siempre de que la persona que le ha enviado el correo realmente le querí­a remitir ese adjunto.
  • Evitar abrir los archivos adjuntos sospechosos. Incluso los archivos aparentemente inofensivos, como los documentos de Microsoft Word o Excel, pueden contener un virus, por lo que es mejor ser precavido.
  • No ingresar a enlaces dudosos que le son enviados a través de correo electrónico, servicios de mensajerí­a, redes sociales, etc.
    Realizar copias de seguridad (backup) de toda la información crí­tica para limitar el impacto de la pérdida de datos o del sistema y para facilitar el proceso de recuperación. Idealmente, estos datos se debe mantener en un dispositivo independiente, y las copias de seguridad se deben almacenar offline.
  • Contar con soluciones de antivirus/firewall y mantenerlo actualizado, de modo a prevenir la infección.
  • Mantener su sistema operativo y el software siempre actualizado, con los últimos parches.
  • No acceder nunca a ningún pago u acción exigida por el atacante. No existe garantí­a de que se recupere los archivos, además se estará contribuyendo al financiamiento de otras actividades ilegales.
  • De ser posible, evitar exponer servicios sensibles al exterior de su red (RDP, SSH, FTP, etc.) En caso de requerir estos servicios, utilizar contraseñas robustas y controles de acceso lo más restrictivos posible (restricciones por IP, VPN, lí­mites de intentos fallidos, etc.)

Uno de los vectores de infección más frecuentes es la explotación de plugins vulnerables del navegador (Adobe Flash Player, Java, etc.) mediante drive-by-download. Algunas recomendaciones especí­ficas para evitar esto, son:

  • Evitar la ejecución automática de plugins como Adobe Flash Player, Java, etc. La mayorí­a de los navegadores modernos permiten configurarlo de modo a que se solicite permiso al usuario cada vez que un sitio web intente ejecutar un plugin.
  • Contar con mecanismos de protección contra la publicidad invasiva, muy ligada al malvertising (anuncios maliciosos embebidos en la web). Existen complementos muy útiles como por ejemplo AdBlock Plus, disponible para varios sistemas operativos y navegadores.
  • Evitar la ejecución automática de Javascript. Existen complementos como No-Script y ScriptSafe que deshabilitan por defecto la ejecución de Javascript, permitiendo al usuario habilitarlo sólo en las páginas en las que confí­a.

Aún no habiendo una solución en el momento de la infección, es importante guardar los archivos encriptados importantes ya que es posible que en un futuro sea desarrollada una solución.


Mas información: https://cert.gov.py/application/files/2714/7930...



pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11