Medidas contra una nueva variante del troyano ransom que afirma realizar el cifrado PGP-RSA de 2048 bits de la unidad de disco duro

Resumen

Este tipo de troyano ransom lo libera otro software malicioso o bien se descarga de Internet. Muestra un determinado mensaje e informa al usuario de que el sistema está bloqueado. Para desbloquearlo, el usuario debe pagar una suma de dinero.

Se mostrará el mensaje siguiente si se ejecuta el troyano:

Pantalla de bloqueo del troyano ransom
 

El software malicioso ransom afirma que todos los archivos locales se han cifrado con una clave PGP de 2048 bits.
En realidad, es un cifrado RC4, y si se dispone de los archivos originales (procedentes de copia de seguridad o de otra fuente), se pueden descifrar todos los archivos.

Comportamiento del software malicioso

El troyano infecta el equipo a partir de otro software malicioso o bien al visitar sitios Web maliciosos y descargarlo de dichos sitios.

Se replica en la carpeta siguiente:

C:\WINDOWS\system32\%random%.exe

El software malicioso ransom realizarla las modificaciones siguientes en el registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"userinit"="C:\\WINDOWS\\system32\\userinit.exe,C:\\WINDOWS\\system32\\%random%.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "D8812EB1"="C:\\Documents and Settings\\%userprofile%\\Application Data\\%random%\\%random%.exe

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableRegistryTools"=dword:00000001 "DisableRegedit"=dword:00000001

Todos los archivos presentes localmente, excepto los de "Windows" y "Programa" del sistema, se bloquearán con el método RC4. Asumirán la sintaxis siguiente:

locked-*original file name*.*4 random characters*

Consulte este enlace para obtener más información sobre este software malicioso ransom.

Solución

Avira proporciona una herramienta de descifrado, denominada "Avira Ransom File Unlocker".

"Avira Ransom File Unlocker" es una herramienta programada en .NET 2.0 para descifrar los archivos cifrados por un tipo de software malicioso ransom que afirma que los archivos se han cifrado con una clave PGP de 2048 bits. En realidad, es un cifrado RC4, por lo que si se dispone de los archivos originales (de una copia de seguridad o de cualquier otra fuente), se pueden descifrar todos los archivos.

ransom file unlocker
 

La herramienta no cambiará ni eliminará los archivos cifrados, para así evitar la pérdida de datos en caso de que el descifrado no funcione, probablemente por tratarse de una nueva variante de este tipo de software malicioso.

Para descifrar los archivos cifrados, el usuario debe seleccionar un archivo cifrado de la unidad de disco duro y la versión original de dicho archivo de la unidad de disco duro o de otra fuente.

Es imprescindible que la versión original sea una copia exacta del archivo cifrado antes de la infección del sistema; en caso contrario, la herramienta no funcionará correctamente.

Actualización con la versión 1.0.1:
Aparecerá un mensaje de error si ha añadido dos archivos cifrados o descifrados como "Locked file" (Archivo bloqueado) y "Original file" (Archivo original).

Descargar Avira Ransom File Unlocker

Productos afectados

  • Avira Professional Security [Windows]
  • Avira Free Antivirus [Windows]
  • Avira Antivirus Premium 2013 [Windows]
  • Avira Antivirus Pro [Windows]
  • Avira Internet Security [Windows]
  • Avira Professional Security, Version 2012 [Windows]
  • Avira Antivirus Premium, Version 2012 [Windows]
  • Avira Internet Security, Version 2012 [Windows]
  • Avira Internet Security Suite [Windows]
  • Avira Family Protection Suite [Windows]
  • Avira Ultimate Protection Suite [Windows]
  • Creado : viernes 27 de abril de 2012
  • Última actualización: lunes 14 de octubre de 2013
  • Evaluar artículo
¿Le ha sido útil?