¡TorrentLocker desbloqueado! Error en el ransomware permite la recuperación fácil de archivos encriptados.



Lejos de ser los genios que a los medios les gusta retratar, los hackers maliciosos pueden cometer errores tan absurdos como cualquier otro ... y eso es ciertamente el caso de quienes estuvieran detrás del ransomware TorrentLocker.

Los cerebritos finlandeses Taneli Kaivola, Patrik nisen y Antti Nuopponen de Nixu Oy han descubierto que hay una manera para que las víctimas de TorrentLocker puedan recuperar el contenido de sus archivos cifrados, sin entregar ningún dinero a los criminales detrás del ataque.

De acuerdo con una entrada de blog publicada por el trío, es un juego de niños recuperar los archivos si tienen una copia de seguridad sin cifrar de sólo uno de los archivos que han sido encriptados por TorrentLocker.

A medida que el algoritmo es simétrico, la misma clave que se utiliza tanto para cifrar se puede usar para descifrar los datos. Debido a que el programa malware necesita tener la clave en algún momento en la máquina infectada para ser capaz de cifrar los archivos, la recuperación de la clave en la máquina infectada podría ser posible, al menos en teoría.
...
El flujo de cifrado pueden ser fuertes, pero hay algunas cuestiones fundamentales que deben ser evitados con el fin de mantener la encriptación criptográficamente segura. Una de las cosas más importantes es no utilizar el flujo de clave más de una vez.

En nuestro análisis, hemos tenido muestras de ambas versiones cifradas y texto claro de los mismos archivos. A medida que el cifrado se realiza mediante la combinación de la cadena de claves con el archivo de texto plano usando la operación XOR, hemos sido capaces de recuperar el flujo de clave utilizada para cifrar los archivos mediante la simple aplicación XOR entre el archivo cifrado y el archivo de texto plano. Probamos esto con varias muestras de los archivos afectados que teníamos y nos dimos cuenta de que el programa malware utiliza el mismo flujo de claves para cifrar todos los archivos dentro de la misma infección. Esto fue un error de cifrado por parte del autor del malware, ya que nunca se debe utilizar el flujo de clave más de una vez.

Si este tipo de error hubiera sido realizado por una compañía tecnológica de confianza para cifrar nuestras comunicaciones y mantenerlas seguras de los hackers, estaríamos en pie de guerra por tal aplicación tan descuidada en su algoritmo de cifrado.

Como es, sin embargo, creo que todos deberíamos sentir algo de alegría por esta vez ya que un programador cometió un error tan tonto. Si no hubieran codificado TorrentLocker tan mal, podría haber causado tanto daño como otros ejemplos recientes de ransomware como CryptoLocker y CryptoWall.

No es una mala noticia, aunque-parece muy probable que los autores de malware no tardarán de emitir una actualización para TorrentLocker, y lo más probable es que la nueva versión haya corregido el error de cifrado.

Tales errores en TorrentLocker no significan que el problema sobre el ransomware haya terminado. Los delincuentes han demostrado en el último año que pueden amasar una considerable fortuna mediante la difusión de software malicioso diseñado para tomar los archivos de rehenes de las víctimas. Otros hackers maliciosos están obligados a ver qué ransomware pueden generar dinero fácil, siempre que hagan una codificación de manera competente.

¿Mi consejo?... Asegúrese de mantener fuertes defensas y adoptar un régimen de copia de seguridad riguroso y constante, lo que incluye mantener copias de sus datos más importantes separados de su red para evitar que se vea comprometida, al mismo tiempo que el resto de los archivos.

Graham Cluley
Sep 11, 2014

Fuente: Tripwire