Introducción a Crypt0L0cker y como desencriptar
Aprovechando que halloween está a la vuelta de la esquina, vamos a contar una historia de miedo… con final feliz. Recordaréis una entrada que hicimos tiempo atrás hablando del ransomware. En aquel post os hablábamos de estos virus en general y del llamado Cryptolocker (o Crypt0l0cker, procedente de TorrentLocker y que, en sus distintas variables, infecta convirtiendo los archivos a archivos comprimidos con la extensión «.encrypted») en particular al que nos habíamos enfrentado, impotentes, con varios de nuestros clientes en Almería.
Por aquel entonces no se conocía forma humana de descifrar las nuevas versiones y el panorma era bastante desalentador, siendo las copias de seguridad y la prevención las únicas alternativas a la pérdida de datos. Sin embargo, y por fortuna, este panorma es cada vez menos negro y ya existen métodos de recuperación para muchas de las variantes (especialmente para aquellas de Correos y que hoy se han transformado en Endesa en los nuevos ataques). Pasamos a contaros la historia y cómo proceder para tratar de recuperar vuestros datos.
¿Cómo llegamos a encontrar la solución?
Durante todo este tiempo no hemos dejado de chequear los «sites» de seguridad en busca de nuevos avances. Foros especializados, páginas de empresas de seguridad, nuevos antivirus, etc.. Todo daba siempre la misma respuesta; las primerísimas versiones de estos virus presentaban defectos que los hacían vulnerables a la desencriptación. Sin embargo, algunas empresas de seguridad desvelaron (inconsciente o conscientemente) estas debilidades y fomentaron su corrección para futuros ataques, complicándonos muy mucho las cosas a las víctimas y los técnicos informáticos.
Algunos virus consiguieron ser analizados y descifrados basándose en nuevas vulnerabilidades. Otros, con un giro sorprendente de los acontecimientos, decidieron detener su actividades criminales e incluso facilitaron la clave de descifrado que fue utilizada por las empresas de seguridad para proporcionar herramientas de descifrado (léase TeslaCrypt).
En el caso que nos concierne, los mensajes en todos los foros y empresas de recuperación de desasatres eran muy negativos. Del tipo; «si no tienes la clave, jamás podrás desencriptarlo». De ser así, que el virus no tenía vulnerabilidades, estaban en lo cierto; encontrar la clave con los métodos informáticos actuales llevaría miles y miles (millones, incluso) de años de procesamiento. Por lo tanto, a pesar de mantener la esperanza, ya nos encargábamos de mentalizar a los clientes de que, probablemente, lo mejor era concienciarse de que los datos se habían perdido.
Hace poco, sin embargo, buscando y rebuscando por los foros, di con un caso que me llamó la atención. Es de esos mensajes que lees en foros y, no sabes muy bien por qué, merecen credibilidad para ti de una forma instintiva. En dicho mensaje, un autor que resultaba ser hispanohablante pero escribiendo en inglés, decía que el dichoso virus Crypt0L0cker sólo podía ser descifrado con la ayuda de una única empresa rusa de seguridad informática. Él lo había hecho y había funcionado. Obviamente, y a pesar de ese «instinto» que he comentado, esto levanta las alarmas de cualquiera. ¿Una sola empresa a nivel mundial es capaz de descifrar un virus indescifrable?. Sea como fuere, eso tiene dos lecturas posibles; a) conocen el origen del virus (aquí que cada uno piense lo que quiera) o b) encontraron el método de desencriptado y, como empresa que son, decidieron hacer caja. Siendo la opción b) la más deseable tratándose de una empresa, decidí hacer la prueba. A continuación veremos cómo se hizo.
El proceso para desencriptar Crypt0L0cker, paso a paso
- Ponerse en contacto con dicha web en un formulario habilitado a tal efecto. Cabe aclarar que, aunque la página está en español (con algunas erratas), la comunicación ha de realizarse en inglés. En esta primera web nos hacen una serie de preguntas. Si eras usuario de sus antivirus, el desencriptado (de poderse hacer) será gratuito para ti. En caso contrario, rellena el formulario y pasa al siguiente paso.
- En esta nueva pantalla que aparece, hay que dar nuestros datos de contacto y explicar cómo se produjo la infección. Nosotros dijimos cuándo y qué texto de «rescate» nos apareció tras ello. Al final del formulario hay que añadir archivos encriptados para que ellos puedan identificar de qué virus se trata y enviarte un presupuesto (no hay ningún tipo de compromiso). Aquí es recomendable incluir archivos de varios tipos (PDF, DOC, JPEG, etc..) y del mayor tamaño posible, siendo el mínimo recomendable de 1 MB (si no lo haces, te lo pedirán después). Por algún motivo que desconozco, si todo este proceso funciona, será necesario, en la etapa de desencriptación, proprocionar un archivo .doc.encrypted. Es decir, necesitamos un archivo de Word encriptado para poder terminar. Si no disponemos de él, no sé si es posible completar todo el procedimiento. Es importante introducir los datos de contacto correctamente, pues toda la comunicación se realizará por correo electrónico.
- Completado el paso anterior se inicia el proceso. Recibirás un e-mail de confirmación y quedarás a la espera del análisis de la infección por su parte. Normalmente responden en 24-48 horas. Si falta algún dato (por ejemplo, nuestros archivos iniciales eran un poco pequeños), recibirás un e-mail con un enlace. Sigues ese enlace y en la web que se abre es donde se realiza toda la comunicación y donde te piden nuevos datos o te comentan si tu virus se puede descifrar o no. A continuación pegamos el aspecto del mail y de la página de comunicación para vuestra tranquilidad.
- En la imagen anterior, se ve cómo nos comunican que nuestro virus es susceptible de ser desencriptado. De hecho, de los archivos encriptados que les envías, te devuelven uno desencriptado como muestra de ello. Hay que tener en cuenta que, si por algún motivo (dos infecciones distintas, por ejemplo), se han usado diferentes claves para encriptar, este procedimiento dejará algunos archivos que no se pueden abrir. Como véis, tampoco hemos omitido el precio. En nuestro caso, 150€ + IVA.
- Una vez realizado el pago y confirmado, recibiremos una serie de correos a lo largo de unos minutos. En uno de ellos nos envían una clave de producto para poder acceder a su web. Posteriormente, nos indican cómo descargar el producto y cómo usarlo (en la parte superior de la imagne anterior). Listo, ya podemos ponernos manos a la obra.
Conclusiones
En el caso que aquí presentamos, hubo suerte y se pudieron descifrar todos los archivos. Un gran alivio para el cliente tras algo más de un año de espera en el que pensaba que sus datos se habían perdido irremediablemente. Para nosotros, un gran orgullo por haber persistido y obtenido la recompensa de ayudar a las empresas y personas que confían en nosotros y ahora por poder compartirlo con vosotros.
Por lo que hemos podido saber, en una búsqueda rápida por google encontraréis muchas empresas que dicen desencriptar el virus. Estos servicios actuan de intermediarios con la empresa Dr. Web realizando, en nombre del cliente, todo el proceso que explicamos arriba. Desde luego, son servicios muy de agradecer puesto que no todas las personas disponen de los conocimientos técnicos ni de inglés necesarios para realizar el proceso de forma satisfactoria. Por lo tanto, es recomendable recurrir a un servicio profesional de este tipo.
Con este post hemos querido poner nuestro granito de arena para ayudar a las personas afectadas por este ransomware que ha buscado enriquecer a sus autores. Si tienes alguna duda sobre el proceso o ves que no eres capaz de realizarlo por ti mismo, podemos ayudarte a realizarlo. Llámanos o escríbenos a través de nuestro formulario y estaremos encantados de ayudarte.
