En la actualidad las posibilidad de recuperar los datos encriptados por ransomware con bajas. Suele ser muy difícil encontrar un algoritmo de descifrado universal para el ransomware moderno. Por eso, normalmente lo único que la víctima puede hacer es pagar el rescate. Según estadísticas de Kaspersky Labs 36% de las personas que pagan el rescate no recuperan sus archivos y es por esto que no recomendamos hacerlo a menos que sea el último recurso, asumiendo el riesgo.
Los usuarios deben hacer una copia de seguridad de los archivos en una unidad de red o unidad USB y desconectarlo después de la copia de seguridad. Casi todos los ransomwares cifran las unidades de red.
Es un hecho interesante que la función de copia de instantáneas de volumen también es utilizada por malware para almacenar un código malicioso y sobrescribirlo con contenido inocente para evadir el análisis antivirus incluso con una firma actualizada. Este código malicioso se recupera y ejecuta posteriormente cuando es necesario.
Cuando se abre un archivo para su edición, casi todas las aplicaciones crean una copia temporal del archivo original. Todos los cambios se realizan en el archivo temporal que sobrescribe el archivo original cuando se guarda. Así es como Microsoft Office recupera archivos si la aplicación se cierra abruptamente. Una vez que un usuario sale de la aplicación, el archivo temporal se elimina. En Windows, eliminar un archivo significa eliminar el puntero del archivo (no del contenido) en el sistema de archivos NTFS / FAT / EFS. Este espacio se marca entonces como libre y disponible para sobrescribir. Utilizando las técnicas forenses avanzadas, es posible recoger el espacio libre en el disco para obtener información útil. Cuanto más tiempo se utilice el sistema después de un ataque, mayor será el riesgo de sobrescribir los archivos originales.
Por ejemplo, durante el proceso de cifrado, Cryptolocker 2.0 crea un nuevo archivo .encrypt. Lee el contenido del archivo original y lo guarda en la memoria, luego encripta el contenido y escribe el contenido cifrado en el archivo ‘.Encrypt’ – después de lo cual se eliminan los archivos originales.
Se espera que la versión más reciente de ransomware utilice programas incorporados de Windows para eliminar permanentemente los datos. Por ejemplo, en ventanas, una herramienta integrada diseñada para cifrar y descifrar datos también puede emplearse para eliminar permanentemente el contenido mediante el comando «cipher / w c: \ backup.txt».
Un comando similar en Unix (dependiendo de la distribución) es «srm» o «rm – p» que se puede utilizar para borrar un archivo a un estado irrecuperable.
Eliminar de forma segura un archivo lleva más tiempo que crearlo. Normalmente, los hackers estudian el patrón de uso del objetivo y realizan un proceso de eliminación de cifrado / seguro cuando el sistema no está en uso.
Una variante de cryptolocker, Racketeer, que se extendió a través de un falso correo electrónico de Energy Australia, usó un proceso defectuoso de generar un par de claves RSA en la máquina de una víctima, que luego se resquebrajó durante el análisis y la clave privada fue recuperada usando la técnica de fuerza bruta.
En otro caso, el investigador de seguridad Fakebit (fakebit.com) descubrió un intento fallido de falsificar el criptorrector bien diseñado. Esta variante decía utilizar RSA de 2048 bits, pero en su lugar utilizaba el Tiny Encryption Algorithm (TEA).
Ransomware es una amenaza constante, y los gobiernos y los proveedores de TI tienen que unir fuerzas para llevar a los criminales a la justicia.
Un notable esfuerzo combinado por parte del sector privado y del gobierno es «Operación Tovar» contra la botnet Gameover Zeus. Gameover Zeus era una red peer to peer de botnet y fue ampliamente utilizado como plataforma de lanzamiento para ataques cryptolocker. En 2014, los funcionarios de la aplicación de ley de los EEUU anunciaron el éxito de la operación Tovar e interceptaron la transferencia de 500.000 llaves privadas. El creador de Gameover Zeus botnet, apodado «lucky12345» fue identificado como un hombre ruso, Evgeniy Bogachev. En febrero de 2015, el FBI anunció una recompensa de $ 3million para cualquier información sobre su paradero.
Finalmente la Europol EC3 en conjunto de algunos colaboradores como Intel Security y Kaspersky, ha publicado herramientas para desencriptar archivos afectados por algunos tipos de Ransomware. Puedes revisarlas en: https://www.nomoreransom.org
Fuente: SANS Institute: InfoSec Reading Room – Enterprise Survival Guide for Ransomware Attacks https://www.nomoreransom.org