jueves, 19 de marzo de 2020

STOP Ransomware - descifrador gratuito (STOP Djvu Decryptor)

STOP Ransomware - descifrador gratuito (STOP Djvu Decryptor)

Durante el mes de diciembre y en lo que llevamos de enero, se han distribuido hasta 17 variantes de este ransomware** . Todas ellas han sido distribuidas a través de sitios de descarga de cracks y software pirata como KMSPico, Cubase y Photoshop, entre otros.

Las variantes distribuidas durante esta campaña de ransomware no incluyen cambios importantes en su código , tan solo cambia la extensión utilizada para renombrar los ficheros cifrados . Las extensiones de las muestras conocidas hasta la fecha son: puma, .pumas, .pumax, .djvu , .djvuq, .djvur, .djvut, .djvuu, .pdff, .tfude , .tfudeq, .tro, .udjvu, .uudjvu, .tfudet, .rumba, .adobe, .adobee, .blower, .promos, .promorad, .promock, .promoz, .promok, .promorad2 , .kroput, .kroput1, .pulsar1, .charck, .kropun, .klope, .gusau, .madek, .tocue

En el apartado técnico, este ransomware utiliza Salsa20 como algoritmo de cifrado y una clave de 256 bits diferente para cada archivo. Para generar la clave de cifrado por cada fichero, usa una clave maestra que se obtiene realizando una petición al servidor de control, sin embargo, en caso de no poder realizar la conexión, usaría una clave maestra por defecto ya almacenada en el código. Una vez obtenida el hash md5 de dicha clave, se crea una cadena de texto con los primeros 5 bytes del fichero a cifrar concatenado con el hash MD5 de la clave maestra, y se utiliza como clave de cifrado el hash MD5 de esta cadena de texto. Como vector de inicialización (IV) para el algoritmo de cifrado utiliza los primeros 8 bytes de la clave.

Estas variantes del ransomware incluyen una peculiaridad que podría utilizarse para recuperar ciertos ficheros, y es que cifra únicamente los primeros 153600 bytes del fichero. Por el momento, el investigador y analista de malware, Michael Gillespie 580, ha publicado una herramienta que permite descifrar los ficheros cifrados utilizando la clave maestra que incluye por defecto el ransomware.

Cada una de las variantes utiliza un servidor de control diferente y estos servidores suelen estar activos durante un par de días, ya que mientras el servidor de control esté activo es posible obtener la clave de cifrado replicando la misma petición realizada por el malware.








No hay comentarios:

Publicar un comentario