Herramienta para descifrar el ransomware basado en #Conti (y otros)
Kaspersky ha publicado una nueva versión de una herramienta de descifrado que ayuda a las víctimas de las variantes del ransomware basadas en el código fuente filtrado de Conti.
Conti es una banda de ransomware que ha dominado la escena del cibercrimen desde 2019 y cuyos datos, incluido el código fuente, se filtraron en marzo de 2022 tras un conflicto interno provocado por la crisis geopolítica en Europa. La modificación descubierta fue distribuida por un grupo de ransomware desconocido y se ha utilizado contra empresas e instituciones estatales.
A finales de febrero de 2023, los expertos de Kaspersky descubrieron una nueva parte de los datos filtrados publicados en foros. Después de analizar los datos, que contenían 258 claves privadas, código fuente y algunos descifradores precompilados, Kaspersky lanzó una nueva versión del descifrador público para ayudar a las víctimas de esta modificación del ransomware Conti.
Conti apareció a finales de 2019 y fue muy activo a lo largo de 2020, representando más del 13 por ciento de todas las víctimas de ransomware durante este período. Sin embargo, hace un año, una vez filtrado el código fuente, múltiples modificaciones del ransomware Conti fueron creadas por varias bandas criminales y utilizadas en sus ataques.
La variante del malware cuyas claves se filtraron, había sido descubierta por los especialistas de Kaspersky en diciembre de 2022. Esta cepa se utilizó en múltiples ataques contra empresas e instituciones estatales.
Treinta y cuatro de estas carpetas tienen nombres explícitos de empresas y
organismos gubernamentales. Suponiendo que una carpeta corresponde a una
víctima, y que los descifradores se generaron para las víctimas que pagaron el
rescate, se puede sugerir que14 víctimas de las 257 pagaron el rescate a los
atacantes.
El código de descifrado y las 258 claves se han añadido
a la última versión de
RakhniDecryptor v1.40
de Kaspersky. Además, la herramienta de descifrado se ha añadido al sitio
No Ransom de Kaspersky.
- Trojan-Ransom.Win32.Conti
- Trojan-Ransom.Win32.Ragnarok
- Trojan-Ransom.Win32.Fonix
- Trojan-Ransom.Win32.Rakhni
- Trojan-Ransom.Win32.Autoit
- Trojan-Ransom.Win32.Aura
- Trojan-Ransom.AndroidOS.Pletor
- Trojan-Ransom.Win32.Rotor
- Trojan-Ransom.Win32.Lamer
- Trojan-Ransom.Win32.Cryptokluchen
- Trojan-Ransom.Win32.Democry
- Trojan-Ransom.Win32.GandCrypt ver. 4 / 5
- Trojan-Ransom.Win32.Bitman ver. 3 / 4
- Trojan-Ransom.Win32.Libra
- Trojan-Ransom.MSIL.Lobzik
- Trojan-Ransom.MSIL.Lortok
- Trojan-Ransom.MSIL.Yatron
- Trojan-Ransom.Win32.Chimera
- Trojan-Ransom.Win32.CryFile
- Trojan-Ransom.Win32.Crypren.afjh (FortuneCrypt)
- Trojan-Ransom.Win32.Nemchig
- Trojan-Ransom.Win32.Mircop
- Trojan-Ransom.Win32.Mor
- Trojan-Ransom.Win32.Crusis (Dharma)
- Trojan-Ransom.Win32.AecHu
- Trojan-Ransom.Win32.Jaff
- Trojan-Ransom.Win32.Cryakl CL 1.0.0.0
- Trojan-Ransom.Win32.Maze
- Trojan-Ransom.Win32.Sekhmet
- Trojan-Ransom.Win32.Egregor
Para protegerse a sí mismo y a su empresa de los ataques de ransomware,
considere la posibilidad de seguir las reglas propuestas por Kaspersky:
- No exponga los servicios de escritorio remoto (como RDP) a redes públicas a menos que sea absolutamente necesario y utilice siempre contraseñas seguras para ellos.
- Instale rápidamente los parches disponibles para las soluciones VPN comerciales que proporcionan acceso a los empleados remotos y actúan como pasarelas en su red.
- Centre su estrategia de defensa en la detección de movimientos laterales y la exfiltración de datos a Internet. Preste especial atención al tráfico saliente para detectar conexiones de ciberdelincuentes.
- Haga copias de seguridad de los datos con regularidad. Asegúrese de poder acceder a ellos rápidamente en caso de emergencia cuando sea necesario.
Fuente: Kaspersky
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!