Rescate de archivos secuestrados por AlphaCrypt

AlphaCrypt, otra variedad más de Ransomware -o malware que secuestra los datos de nuestros ordenador- ataca en Valladolid y nuestro socio, Nethive acude al rescate.

Tal como anunciábamos por segunda vez en pocos meses, hace escasos días en nuestro blog, desafortunadamente, las amenazas ransomware están de moda. CryptoLocker está distribuyéndose utilizando un supuesto email de Correos a toda velocidad y diversas variantes de dicho malware se propagan por la red día tras día.

Nuestros socios de NETHIVE Soluciones Informáticas, empresa dedicada al mantenimiento informático en Valladolid, han conseguido recientemente mitigar los daños causados por una variante de un ransomware que había dañado la información de los equipos de una empresa local.

Para ello el equipo de Nethive, utilizando algunas de nuestras herramientas, como Sophos Boot CD y la solución de seguridad Sophos Endpoint Antivirus. ha realizado un excelente trabajo que quieren compartir con nosotros, logrando no sólo desinfectar los equipos sino también recuperar los datos cifrados por el malware.

La amenaza en cuestión es una variante de TeslaCrypt, llamada AlphaCrypt y se trata de un ransomware con las mismas características que el anteriormente mencionado CryptoLocker, pero que no comparte código con este y se desarrolla independientemente. AlphaCrypt, infecta los equipos y se propaga por la red a la vez que cifra los ficheros con extensiones comunes del disco duro y cambia la extensión de dichos ficheros afectados a «.ezz».

Tirando del hilo de lo que se iba descubriendo en los equipos del cliente, los consultores de Nethive hallaron una herramienta de desencriptación para revertir los efectos de dicho malware creada por TALOS, que es el equipo de ciberseguridad de Cisco, y cuya eficacia hemos podido comprobar.

¿Cuál es el primer paso?

Como normal general, en caso de haber sido infectados con este o con cualquier otro malware, debemos en primer lugar desconectar los equipos afectados de la red para evitar su propagación.

Desinfectando

Una vez los equipos afectados estén aislados de la red, poderemos limpiar la amenaza utilizando Sophos Boot CD siguiendo nuestras instrucciones con la opción de eliminación. Sin embargo, aunque el equipo haya quedado desinfectado, aún tendremos los datos cifrados.

Hagamos una copia de seguridad

Antes de intentar revertir el cifrado de los ficheros, recomendamos copiar la información en un disco duro externo y conectarlo a otro equipo o máquina virtual. De esta forma nos protegeremos frente a la pérdida definitiva de la información en el caso de que la herramienta de desencriptación corrompiese los ficheros, cometiésemos algún error, o bien el malware realizara contramedidas con peores consecuencias aún en caso de detectar intentos de rescate de los datos.

Lo ideal es, si los datos son muy críticos, realizar una imagen del equipo del ordenador. Para ello podemos usar herramientas tipo Norton Ghost, o Clonezilla por citar una solución Open Source.

En este caso el equipo de Nethive decidió copiar también el fichero de clave de cifrado, generado por el malware que está ubicado en:

 "%AppData%/key.dat"

Dicho archivo se va a utilizar a continuación para revertir el cifrado y recuperar los archivos originales. Una vez tengamos los ficheros encriptados y el fichero de llaves en otro equipo diferente, procederemos a revertir el cifrado.

Descifrando los datos secuestrados

Descargaremos la utilidad TeslaDecrpyt y la ejecutaremos desde una línea de comandos con privilegios elevados:

TeslaDecrypt.exe /keyfile:"key.dat" /dir:"<<directorio con ficheros encriptados>>"

Este programa desencriptará recursivamente los ficheros contenidos en el directorio que le hemos pasado y eliminará la extensión que el malware les añadió. Un detalle importante: TeslaDecrypt buscará unicamente los ficheros con extensión «.ecc» provenientes del malware TeslaCrypt.

Renombrando la extensión de archivos cifrados

En caso de habernos infectado con la variante AlphaCrypt, como en nuestro caso, deberemos primero cambiar la extensión de todos los ficheros encriptados a con extensión «.ezz» a «.ecc» y, posteriormente, ejecutar el proceso anteriormente descrito. Para realizar este proceso, podemos utilizar la utilidad «Bulk Rename Utility«, disponible para descarga gratuita desde su sitio web.

Cuando la ejecución de la utilidad TeslaDecrypt termine, podemos comprobar si los ficheros han sido desencriptados correctamente.

Que esto no se repita

Por último, para prevenirse de amenazas de esta tipología, como siempre, recalcamos la importancia de mantener el sistema operativo y las aplicaciones instaladas siempre actualizadas y contar con una solución de seguridad integral como Sophos Endpoint Antivirus.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.