Blog

Lanzan un descifrador gratuito para las víctimas de BlackByte Ransomware

Hace unos días atrás, se ha publicado un descifrador gratuito para aquellas victimas cuyos activos fueron comprometidos (cifrados) por el Ransomware BlackByte, el cual permitirá a diferentes organizaciones y usuarios al rededor del mundo el volver a recuperar sus activos digitales sin la necesidad de pagar un «rescate».

Estas claves se cifran mediante el uso del algoritmo RSA y se añaden al final de un archivo cifrado o de una nota de rescate. Esta clave cifrada sólo puede ser descifrada con la clave privada, cuyo conocimiento de la llave lo tienen los operadores del Ransomware. Esto hace que los actores de la amenaza puedan descifrar los activos comprometidos, cuando la víctima paga un rescate.

En un informe de la empresa Trustwave, los investigadores explican que el ransomware descargaba un archivo llamado ‘forest.png‘ desde un sitio bajo su control. Aunque este archivo tiene un nombre que aparenta ser una simple imagen, en realidad contiene la clave de cifrado AES utilizada para cifrar un dispositivo.

Como BlackByte utiliza el cifrado simétrico AES, la misma clave se utiliza tanto para el cifrado como para el descifrado de los archivos. Aunque BlackByte también cifra esta clave con AES, Trustwave descubrió que la banda de ransomware estaba reutilizando el mismo archivo forest.png para múltiples víctimas.

Encrypt-flow

Como se reutilizaba la misma clave de cifrado, Trustwave podía utilizarla para construir un descifrador que logre recuperar los activos digitales comprometidos de forma gratuita. Sin embargo, siempre hay inconvenientes cuando se lanzan descifradores gratuitos como éste, y esto es debido a que alerta a las bandas de ransomware de los fallos de sus programas y son corregidas rápidamente para evitar que sean validas para las futuras víctimas.

El informe y el descifrador de Trustwave no pasaron desapercibidos para la banda de ransomware, que advirtió que habían utilizado más de una clave y que utilizar el descifrador con la clave equivocada podría corromper los activos digitales.

BlackByte ha dicho lo siguiente: «Hemos visto en algunos sitios tienen un descifrado para nuestro rescate. No le recomendamos que lo utilice. Porque no utilizamos sólo una clave. Si utiliza el descifrado incorrecto para su sistema puede corromperlo todo, y no será capaz de restaurar su sistema de nuevo. Sólo queremos advertirle, si decide utilizarlo, es bajo su propio riesgo«.

Si haz sido una víctima de BlackByte y quieres utilizar el descifrador de Trustwave, tendrás que descargar el código fuente de GitHub y compilarlo tú mismo. Aunque Trustwave ha incluido un archivo predeterminado «forest.png» que se utilizará para extraer la clave de descifrado, es posible que BlackByte haya rooteado las claves de cifrado.

Debido a esto, se recomienda encarecidamente hacer una copia de seguridad de los archivos antes de ejecutar el software. Además, si tiene un archivo «forest.png» en un dispositivo cifrado, debería utilizar ese mismo archivo en vez de usar el que incluye Trustwave.

IOCs – Trustwave

FilenameDescriptionSHA256
Obamka.jsJscript launcher884e96a75dc568075e845ccac2d4b4ccec68017e6ef258c7c03da8c88a597534
forest.pngKey file9bff421325bed6f1989d048edb4c9b1450f71d4cb519afc5c2c90af8517f56f3
yk0pdddkBlackByte Ransomwared3efaf6dbfd8b583babed67046faed28c6132eafe303173b4ae586a2ca7b1e90
vylvz3le.dllBlackByte Loader92ffb5921e969a03981f2b6991fc85fe45e07089776a810b7dd7504ca61939a3
2edpcniu.dllBlackByte Loaderf8efe348ee2df7262ff855fb3984884b3f53e9a39a8662a6b5e843480a27bd93

Más Información

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/blackbyte-ransomware-pt-1-in-depth-analysis/

https://github.com/SpiderLabs/BlackByteDecryptor

Artículos Relacionados

Protege tus aplicaciones Web y API

Accede a una evaluación completamente funciona

La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Ir al Demo
Alerta Temprana de Riesgos Cibernéticos
Reduce tu ventana de exposición al riesgo a las amenazas externas, mejorando la eficiencia en la detección y respuesta ante ciberamenazas.
Más Info
Endpoint - Panda Security
Endpoint Protection Platform, EDR y Servicios de 100% Atestación y Threat Hunting integrado
Más Info

Últimos Artículos

No dejes tu seguridad para después.

Si tienes alguna duda o pregunta con nuestros servicios, puedes comunicarte directamente con nosotros o completar el formulario, y nos pondremos en contacto contigo en breve.

Ubicación

Providencia, Santiago de Chile

Twitter

@Cronup_CyberSec

Linkedin

Cronup Ciberseguridad

CronUp Newsletter

Suscríbete a nuestro resumen semanal de noticias y alertas de seguridad para mantenerte actualizado sobre el panorama de amenazas en la región y el mundo.

* indicates required