El proyecto No More Ransom que asiste a las víctimas de ransomware tiene buenas noticias: la policía belga, en cooperación con Kaspersky Lab, consiguió las claves para recuperar los archivos cifrados con las nuevas versiones del ransomware Cryakl, también conocido como Fantomas. La herramienta actualizada para descifrar estas claves ya está disponible en la web del proyecto.
¿Qué es Cryakl?
Primero, el troyano ransomware Cryakl (Trojan-Ransom.Win32.Cryakl) se distribuyó a través de archivos adjuntos en correos electrónicos que parecían provenir de un tribunal de arbitraje relacionado con un presunto delito. Hay algo en esos mensajes que te pone nervioso y hace que incluso los que saben del tema caigan en la tentación de hacer clic en el archivo adjunto. Después, el correo electrónico varía y parece un mensaje de otras organizaciones, como una asociación local de propietarios.
Al cifrar los archivos del ordenador de una víctima, Cryakl crea una clave larga que se envía a un servidor de mando y control (C&C). Sin esa clave, es casi imposible recuperar los archivos afectados por el malware. Después, Cryakl remplaza el fondo de escritorio con información de contacto de sus creadores junto con su petición de rescate. Cryakl también muestra una imagen de la máscara de la película francesa de 1964 Fantomas, de ahí su nombre alternativo. Este malware suele centrar sus ataques en usuarios rusos, por lo que existe más información sobre este tema en ruso.
Una historia exitosa
Como ya hemos comentado, la unión entre nuestros expertos y la policía belga ha conseguido las claves maestras. La investigación empezó cuando la unidad de crimen organizado descubrió que había víctimas de ransomware en Bélgica y que había un servidor C&C en un país vecino. Una operación dirigida por el fiscal federal belga neutralizó el servidor, junto con otros servidores C&C que recibieron claves maestras de ordenadores infectados. Luego, Kaspersky Lab intervino para volver a ayudar a los organismos de seguridad. Como siempre, los resultados fueron óptimos: nuestros expertos ayudaron a analizar los datos encontrados y a descifrar las claves.
Las claves ya se han añadido a la herramienta RakhniDecryptor en la página web de No More Ransom y la policía federal belga es ahora un socio oficial del proyecto. No More Ransom, que lleva activa desde julio de 2016, ha ayudado hasta la fecha a decenas de miles personas a descifrar de forma gratuita archivos inutilizados por ransomware y ha privado a los ciberdelincuentes de un posible botín de al menos 10 millones de euros.
Cómo rescatar archivos cifrados por el ransomware Cryakl
El sitio No More Ransom ofrece dos herramientas para descifrar los archivos corruptos por Cryakl. RannohDecryptor existe desde 2016 y sirve para las versiones anteriores de Cryakl. Puedes descargarla en NoMoreRansom.org y obtener instrucciones de descifrado aquí.
Hemos actualizado recientemente la segunda herramienta, RakhniDecryptor, agregando las claves maestras del servidor confiscado por la policía belga. Se puede descargar desde el mismo sitio, las instrucciones están disponibles aquí. Se necesita RakhniDecryptor para descifrar los archivos afectados por las últimas versiones de Cryakl. Cualquiera de las herramientas debería restaurar por completo los archivos infectados con Cryakl.
Cómo mantenerse a salvo en el futuro
Cuando se trata de ransomware cifrador, es mucho más barato prevenir que curar. En otras palabras, es mejor que te protejas y duermas tranquilo que perder el tiempo descifrando archivos. Nos gustaría compartir algunos consejos de prevención para que protejas tus archivos:
- Guarda siempre una copia de tus archivos más importantes en otro lugar: en la nube, en otra unidad, en una memoria extraíble o en otro ordenador. Encontrarás más información sobre las opciones de copias de seguridad aquí.
- Usa un software antivirus de fiar. Algunas soluciones de seguridad, como Kaspersky Total Security, también pueden ayudar con las copias de seguridad de archivos.
- No descargues programas de fuentes sospechosas. Sus instaladores pueden contener algo que no querrías en tu ordenador.
- No abras archivos adjuntos en correos electrónicos de desconocidos, incluso si parecen importantes y creíbles. En caso de duda, busca el número de teléfono en el sitio web oficial de la organización y llama para comprobarlo.