10 ago. 2021

Decryptor para el ransomware Prometheus, Thanos y Haron

La empresa de seguridad taiwanesa CyCraft ha lanzado una aplicación gratuita que puede ayudar a las víctimas del ransomware Prometheus a recuperar y descifrar algunos de sus archivos. Analizamos un muestra reciente con hash: dd4eb8aa3371b7fd821a7a9730c924cf, de la cual pudimos obtener algunos aspectos técnicos y detalles muy interesantes.

Disponible en GitHub, el descifrador funciona eficazmente mediante la fuerza bruta de la clave de cifrado utilizada para bloquear los datos de la víctima.

"El ransomware Prometheus usa Salsa20 con una contraseña aleatoria basada en tickcount para cifrar los archivos. El tamaño de la contraseña aleatoria es de 32 bytes y cada carácter es un carácter visible. Dado que la contraseña usa the tickcount como clave, podemos adivinarlo brutalmente", escribieron los expertos de la compañía en una publicación de blog a principios de mes.

El único inconveniente del descifrador de CyCraft es que solo puede manejar la clave de descifrado por fuerza bruta solo de archivos pequeños, dijo Emsisoft, una compañía conocida por romper varias cepas de ransomware.

Sin embargo, la liberación del descifrador parece haber tenido un impacto en la actividad de la banda Prometheus. Lanzado el 13 de julio, esto también marcó la última fecha en que la pandilla Prometheus publicó contenido en su sitio de filtraciones en la Deep Web.

Detectada por primera vez en febrero de este año, la pandilla había incluido anteriormente a más de 40 víctimas en el sitio de la filtración. Llamó un poco la atención sobre sí mismo al afirmar una asociación con la pandilla REvil, que eliminaron después del ataque de la pandilla REvil a Kaseya.

De hecho, según el código, las dos cepas de ransomware no podrían haber sido más diferentes. REvil era una pieza avanzada de malware C++, mientras que Prometheus se basaba en el código filtrado del ransomware Thanos, codificado en C#.

Poco después de que Prometheus se quedara en silencio, un nuevo grupo llamado Haron, que también operaba sobre el código base de Thanos, inició ataques, lo que llevó a algunos expertos a creer que los operadores de Prometheus se rebautizaron como Haron.

Un portavoz de Emsisoft no descartó que la compañía eventualmente crearía un descifrador para Prometheus y las otras cepas de Thanos que también podrían recuperar archivos grandes. Si lo hacen, la aplicación estaría disponible en el sitio web de la empresa y en el portal NoMoreRansom.

Con las cepas de ransomware basadas en Thanos que generan nuevas víctimas semanalmente, esto podría ser más temprano que tarde.

Fuente: The Record

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!