Hace
unos días el supuesto autor del ransomware Locker publicó en Pastebin.com una nota en la que
pedía perdón por la liberación del malware y liberaba la base de datos con las claves usadas en todas las
infecciones.
Locker es un ransomware (software
que secuestra recursos de un sistema informático y pide un rescate por su
liberación) que afecta a plataformas Windows, en la línea del famoso
CryptoLocker y el reciente TeslaCrypt.
Sus características distintivas son: el vector principal de infección (una versión
especialmente manipulada del videojuego Minecraft), el bajo precio pedido
inicialmente para descifrar los archivos (0.1 bitcoins, aproximadamente 20
euros) y su particular forma de actuar. El programa auxiliar que iniciaba la
infección (downloader) estaba programado originalmente para descargar e
instalar Locker el 25 de mayo, y el 28 supuestamente borraba las claves del
servidor (aunque finalmente sólo aumentó el pago a 1 bitcoin).
Como es costumbre últimamente en
este tipo de malware, está diseñado para que la clave usada para cifrar sea
enviada a un servidor externo (que cuenta con una base de datos almacenando la
clave para cada infección). La forma "oficial"
es pagar un rescate por la clave, pero en este caso, el supuesto autor de este malware parece haberse arrepentido y ha
liberado la base de datos. Más aún, ha modificado la infraestructura del
malware para que ordene a los ordenadores infectados que descifren todo
automáticamente a las 00:00 del 2 de junio. Según atestiguan algunos usuarios
del foro BleepingComputer.com en el hilo de soporte a los infectados por este
malware, efectivamente se ha producido el descifrado
automático.
Todavía no hay noticias de si el arrepentimiento es completo y se va a devolver
el dinero a los que pagaron previamente.
En el caso de que se haya borrado
el malware antes de que haya ocurrido el descifrado automático, es posible
descifrar con la
herramienta Locker Unlocker (recomendamos consultar el hilo de BleepingComputer.com abajo enlazado para obtener
la última versión). Esta herramienta usa la base de datos liberada con las
claves para descifrar los archivos, y en su última versión prueba con todas las
claves disponibles si no es capaz de relacionar la infección con una clave en
particular. Antes de proceder con cualquier método de descifrado, recomendamos
insistentemente que se realicen copias de seguridad de los archivos cifrados,
ya que este tipo de herramientas son desarrolladas con rapidez y pueden
contener fallos de programación que causen la corrupción de los archivos originales.
Más información:
Análisis técnico de Locker
Nota del autor de Locker en
Pastebin.com
Noticia sobre la liberación de
las claves
Hilo en BleepingComputer.com para
los afectados por Locker
Carlos Ledesma
