Familia del ransomware Xorist ahora se puede decodificar gratuitamente.


Los usuarios pueden recuperar los archivos bloqueados sin tener que pagar el rescate


Buenas noticias para algunas víctimas del ransomware, ya que los investigadores de seguridad que trabajan con Bleeping Computer han logrado encontrar una vulnerabilidad que pueden explotar para descifrar los archivos bloqueados por la familia del ransomware Xorist.

Xorist es relativamente una nueva variante de ransomware que fue visto por primera vez a inicio del año. Técnicamente, es un ransomware muy simple, menos intrusivo que Locky, TeslaCrypt o cryptolocker.

Xorist se distribuye como un creador de ransomware automático

Lo que es único acerca de esta amenaza es el hecho de que el codificador detrás de él está siendo vendido como un creador automático ejecutable (foto de abajo), que permite que cualquiera pueda generar su propia versión personalizada del ransomware. Los que compran el programa creador del ransomware pueden personalizar muchas de las características de Xorist, y lo más importante la extensión del archivo encriptado.

La extensión del archivo encriptado es la extensión adicional agregado al final de cada archivo después que realiza la encriptación el ransomware. Para Locky, la extensión del archivo encriptado es ".locky", haciéndolo que sea fácil de detectar.

El programa creador de Xorist, se vende a cualquier persona que quiera entrar en una vida de delito cibernético, permite que se pueda personalizar la extensión del archivo a voluntad, junto con muchas otras opciones más. La extensión del archivo encriptado es importante porque los usuarios y expertos de Soporte Técnico podrán saber cómo averiguar el nombre del ransomware.

El pago de rescates por Xorist se realiza por medio de SMS

Pero en el caso de Xorist, hay otra manera de saber que fue lo que le infectó. Una vez que Xorist llega en la PC de un usuario y bloquea sus archivos, va a dejar una nota de rescate que le informará que enviará un identificador a través de SMS a un determinado número de teléfono.

Este es el primer signo de una infección por Xorist porque no muchas familias de ransomware utilizan los servicios de SMS en estos días, la mayoría utilizan el Bitcoin y sitios web alojados por medio de Tor.

El segundo signo es que para descifrar los archivos, los usuarios tienen que introducir la contraseña de descifrado (recibida a través de SMS como respuesta) en una ventana emergente realizada por el ransomware.

Una vez más, esta es otra señal de una infección de Xorist, sobre todo porque este método no está actualizado, en la mayoría de veces los creadores del ransomware proporcionan un descifrador independiente, separado del cuerpo principal del ransomware, que es entregado al usuario sólo después de que se haya pagado.

Las victimas son advertidas de no introducir contraseñas aleatorias en este cuadro, ya que Xorist limita el número de intentos de descifrado, y puede perder sus archivos para siempre.

Las víctimas de Xorist pueden solicitar ayuda para el desbloqueo de sus archivos

Xorist puede estar utilizando el TEA (Tiny Encryption Algorithm) o el algoritmo XOR para cifrar los archivos, y ataca a 57 tipos de archivos por defecto. Algunas de las extensiones de los archivos cifrados observados con infecciones de Xorist en estos días son: .EnCiPhErEd, .73i87A, .p5tkjw, y .PoAr2w. Pero como se mencionó anteriormente, todos estos parámetros pueden ser ajustados a través del programa creador, y puede haber más de otras personas afectadas por esta amenaza.

La buena noticia es que Fabian Wosar de Emsisoft ha logrado encontrar un defecto en el cifrado de Xorist. La mala noticia es que esta no es una solución general para todos, y los usuarios tendrán que ponerse en contacto con él personalmente. Si usted es una de las víctimas, puede solicitar su ayuda a través de estos dos temas de los foros (tema 1 , tema 2 ).


Fuente: Softpedia