Hace unos días el supuesto autor del ransomware Locker publicó en Pastebin.com una nota en la que pedía perdón por la liberación del malware y liberaba la base de datos con las claves usadas en todas las infecciones.
Locker es un ransomware
(software que secuestra recursos de un sistema informático y pide un rescate
por su liberación) que afecta a plataformas Windows, en la línea del famoso
CryptoLocker y el reciente TeslaCrypt. Sus características distintivas son: el
vector principal de infección (una versión especialmente manipulada del
videojuego Minecraft), el bajo precio pedido inicialmente para descifrar los
archivos (0.1 bitcoins, aproximadamente 20 euros) y su particular forma de
actuar. El programa auxiliar que iniciaba la infección (downloader) estaba
programado originalmente para descargar e instalar Locker el 25 de mayo, y el
28 supuestamente borraba las claves del servidor (aunque finalmente sólo
aumentó el pago a 1 bitcoin).
Como es costumbre
últimamente en este tipo de malware, está diseñado para que la clave usada para
cifrar sea enviada a un servidor externo (que cuenta con una base de datos
almacenando la clave para cada infección). La forma "oficial" es
pagar un rescate por la clave, pero en este caso, el supuesto autor de este
malware parece haberse arrepentido y ha liberado la base de datos. Más aún, ha
modificado la infraestructura del malware para que ordene a los ordenadores
infectados que descifren todo automáticamente a las 00:00 del 2 de junio. Según
atestiguan algunos usuarios del foro BleepingComputer.com en el hilo de soporte
a los infectados por este malware, efectivamente se ha producido el descifrado
automático. Todavía no hay noticias de si el arrepentimiento es completo y se
va a devolver el dinero a los que pagaron previamente.
En el caso de que se
haya borrado el malware antes de que haya ocurrido el descifrado automático, es
posible descifrar con la herramienta Locker Unlocker (recomendamos consultar el
hilo de BleepingComputer.com abajo enlazado para obtener la última versión).
Esta herramienta usa la base de datos liberada con las claves para descifrar
los archivos, y en su última versión prueba con todas las claves disponibles si
no es capaz de relacionar la infección con una clave en particular. Antes de
proceder con cualquier método de descifrado, recomendamos insistentemente que
se realicen copias de seguridad de los archivos cifrados, ya que este tipo de
herramientas son desarrolladas con rapidez y pueden contener fallos de
programación que causen la corrupción de los archivos originales.
Más información:
- Análisis técnico de Locker http://securityaffairs.co/wordpress/37325/malware/locker-ransomware-analysis.html
- Nota del autor de Locker en
Pastebin.com http://pastebin.com/1WZGqrUH
- Noticia sobre la liberación de las
claves http://www.securityweek.com/alleged-author-locker-ransomware-publishes-decryption-keys
- Hilo en BleepingComputer.com para los
afectados por Locker http://www.bleepingcomputer.com/forums/t/577246/locker-ransomware-support-topic/