MarsJoke: el cifrador y la solución

Polyglot, conocido como MarsJoke, tenía aspiraciones. Intentaba ser el siguiente CTB-Locker, pero hemos desarrollado una solución.

A diario, aparecen nuevas versiones y variaciones de ransomware. Los creadores de malware siguen creyendo que el ransomware es la mejor forma de enriquecerse, a pesar de que los organismos policiales cada vez prestan más atención al problema.

https://media.kasperskydaily.com/wp-content/uploads/sites/88/2020/06/30161820/polyglot-decryptor.jpg

De hecho, existen muchísimas versiones y los creadores de ransomware han empezado a repetirse o copiar el trabajo de otro. Por ejemplo, el recién descubierto troyano Trojan-cryptor Polyglot, conocido como MarsJoke, es una imitación del infame ransomware CTB-Locker.

Se pueden ver rastros de CTB-Locker por todo Polyglot. Su interfaz es absurdamente parecida a la del antiguo troyano. Cambia el fondo de pantalla de la víctima del mismo modo y, al igual que CTB-Locker, permite a la víctima desbloquear cinco archivos como prueba de que se pueden descifrar.

Las instrucciones de Polyglot para la víctima también son idénticas a las de CTB-Locker (parece que han copiado y pegado el texto). Incluso la ventana de “petición fallida” que aparece si no hay conexión a Internet es la misma.

https://media.kasperskydaily.com/wp-content/uploads/sites/88/2020/06/30161825/polyglot-comparison-screen.png

El algoritmo de cifrado que utiliza Polyglot también es el mismo (y son muy fuertes). Polyglot se distribuye mediante correo no deseado con enlaces maliciosos que supuestamente llevan a documentos importantes. Por supuesto, no hay documentos, tan solo un archivo malicioso ejecutable. Una vez instalado, Polyglot se conecta con su servidor de mando y control, envía información sobre el PC infectado y fija el rescate. En nuestro caso, pedía 0.7 bitcoins, unos 285 €.

Quizá la única discrepancia visual entre CTB-Locker y su nuevo clon sea que MarsJoke/Polyglot deja los archivos cifrados con su extensión original, mientra que CTB-Locker la cambiaba (normalmente a .ctbl o a .ctb2).

A pesar de las aparentes similitudes entre Polyglot y CTB-Locker, son dos tipos de malware diferentes. Casi no comparten código. Nuestros expertos creen que al imitar la apariencia de CTB-Locker, los creadores de Polyglot intentaban despistar a los investigadores.

https://media.kasperskydaily.com/wp-content/uploads/sites/88/2020/06/30161830/polyglot-comparison-screen2.png

Por fortuna, los creadores de Polyglot cometieron un error con el generador de claves que posibilitó que los investigadores de Kaspersky Lab crearan un descifrador gratuito

Como ya sabrás, no hay forma conocida de descifrar los archivos que CTB-Locker ha cifrado sin pegar el rescate. Pero, de nuevo, Polyglot y CTB-Locker no son del todo iguales. Y, por fortuna, los creadores de Polyglot cometieron un error con el generador de claves que posibilitó que los investigadores de Kaspersky Lab crearan una solución (una utilidad gratuita que puede descifrar todos los archivos dañados).

Para descifrar los archivos que Polyglot/MarsJoke ha cifrado, descarga e instala la utilidad gratuita RannohDecryptor (versión 1.9.3.0 o posterior) desde noransom.kaspersky.com. Recuperará tus archivos.

La verdad es que tenemos suerte con Polyglot/MarsJoke. Los creadores de malware están constantemente adaptando y mejorando sus creaciones. Por ejemplo, después de que solucionáramos en tres ocasiones lo de CryptXXX, al final su creador mejoró tanto su algoritmo de cifrado que nuestras utilidades no pueden con él. Quizá el creador de Polyglot llegue a hacer lo mismo. Conclusión: no se puede confiar en que una utilidad de descifrado esté disponible para cualquier ransomware que te encuentres.

El mejor modo de estar a salvo de los ransomware es atraparlo antes de que empiece a hacer nada. Y eso es lo que los buenos antivirus hacen, como Kaspersky Internet Security.

Para tu protección, también te recomendamos que hagas copias de seguridad de tus archivos con frecuencia y que evites abrir adjuntos sospechosos o hacer clic en enlaces sospechosos.

Consejos