¿Qué harías cualquier persona si descubriera que un ransomware ha cifrado sus archivos? Lo primero probablemente es entrar en pánico, luego preocuparse y después buscar una forma de recuperar la información sin pagar ningún rescate a los atacantes (lo que resultaría inútil de todos modos). Es decir, recurren a Google en busca de una solución o piden consejo en redes sociales. Y eso es exactamente lo que los creadores del troyano Zorab quieren, tras haber integrado el malware en una herramienta cuyo objetivo es ayudar a las víctimas del STOP/Djvu.
El falso descifrador STOP como cebo
De hecho, los ciberdelincuentes han decidido agravar los problemas a los que ya se enfrentaban las víctimas del ransomware STOP/Djvu, el cual cifra los datos y, dependiendo de la versión, les asigna una extensión a los archivos modificados, entre cuyas opciones se incluyen: .djvu, .djvus, .djvuu, .tfunde y .uudjvu. Los creadores de Zorab lanzaron una herramienta que supuestamente descifra estos archivos, pero en realidad los cifra de nuevo.
Sí que es cierto que puedes descifrar archivos comprometidos por versiones anteriores a STOP; Emsisoft lanzó una herramienta en octubre del 2019. Pero las versiones modernas usan un algoritmo de cifrado más complejo que la tecnología actual no puede quebrantar. Así que, al menos por ahora, no existe ninguna herramienta de descifrado para las versiones modernas de STOP/Djvu.
Y decimos “por ahora” porque las herramientas de descifrado aparecen en uno de cada dos casos: ya sea porque los ciberdelincuentes cometan un error en el algoritmo de cifrado (o simplemente usen un cifrado débil); o que la policía localice y se incaute de sus servidores. Sí, los creadores podrían publicar las claves de forma voluntaria, pero es una posibilidad muy remota y, aunque lo hicieran, las empresas de seguridad de la información aún tendrían que desarrollar una herramienta útil que las víctimas puedan usar para restaurar su información. Esto es lo que sucedió con las claves de los archivos afectados por el ransomware Shade, y nosotros publicamos un programa de descifrado en abril de este año.
Cómo saber si un descifrador es falso
Es prácticamente imposible que algún anónimo con buena intención cree una herramienta de descifrado y la coloque en un sitio desconocido, o que proporcione un enlace directo en un foro o en redes sociales. Puedes encontrar herramientas auténticas en los sitios web de las empresas de seguridad de la información dedicadas a combatir el ransomware, como nomoreransom.org. Por tanto, te recomendamos que sospeches de cualquier herramienta que encuentres por ahí.
Los ciberdelincuentes utilizan el pánico, pues saben que alguien que ha perdido sus archivos a manos de un cifrador estará dispuesto a recurrir a cualquier cosa. Y, aunque creas que una herramienta es de buena fe, es importante mantener la calma y ser objetivo, y verificar el sitio como es debido. Si tienes una mínima sospecha sobre su legitimidad, no uses la herramienta.
Cómo protegerte de Zorab y otros ransomware
- No accedas a enlaces sospechosos ni abras archivos ejecutables si no confías en su origen. Si buscas un descifrador, las fuentes más fiables, es decir, los lugares por lo que debes comenzar a buscar, son noransom.kaspersky.es, y nomoreransom.org (un proyecto conjunto entre varias empresas) y los sitios de otros proveedores de soluciones de seguridad. Si encuentras una herramienta en cualquier otra parte, te aconsejamos que verifiques la legitimidad de sus autores y del sitio donde se publicó antes de usarla.
- Realiza copias de seguridad de los archivos importantes.
- Usa una solución de seguridad de confianza que detecte el ransomware conocido y, cuando encuentre algo desconocido, identifique y bloquee los intentos de modificación de los archivos.
Para las empresas que temen al ransomware pero que usan otro tipo de protección, ofrecemos la solución independiente Kaspersky Anti-Ransomware Tool. Es compatible con la mayoría de las soluciones de seguridad y detecta las amenazas que puedan filtrarse a través de sus líneas de defensa.