Contenido Widefense Ciberdefesa

Derechos reservados Widefense ®  2021

El contenido es para fines informativos. Los enlaces a sitios de terceros se incluyen para tu conveniencia y no implican relación legal. Es posible que estos sitios difieran en estándares de privacidad, seguridad o accesibilidad.

  • LinkedIn
  • Facebook
  • Twitter
  • Instagram
  • Kenneth Daniels

MarsJoke: el cifrador y la solución de Kaspersky

A diario, aparecen nuevas versiones y variaciones de ransomware. Los creadores de malware siguen creyendo que el ransomware es la mejor forma de enriquecerse, a pesar de que los organismos policiales cada vez prestan más atención al problema.

De hecho, existen muchísimas versiones y los creadores de ransomware han empezado a repetirse o copiar el trabajo de otro. Por ejemplo, el recién descubierto troyano Trojan-cryptor Polyglot, conocido como MarsJoke, es una imitación del infame ransomware CTB-Locker.

Se pueden ver rastros de CTB-Locker por todo Polyglot. Su interfaz es absurdamente parecida a la del antiguo troyano. Cambia el fondo de pantalla de la víctima del mismo modo y, al igual que CTB-Locker, permite a la víctima desbloquear cinco archivos como prueba de que se pueden descifrar.

Las instrucciones de Polyglot para la víctima también son idénticas a las de CTB-Locker (parece que han copiado y pegado el texto). Incluso la ventana de “petición fallida” que aparece si no hay conexión a Internet es la misma.


El algoritmo de cifrado que utiliza Polyglot también es el mismo (y son muy fuertes). Polyglot se distribuye mediante correo no deseado con enlaces maliciosos que supuestamente llevan a documentos importantes. Por supuesto, no hay documentos, tan solo un archivo malicioso ejecutable. Una vez instalado, Polyglot se conecta con su servidor de mando y control, envía información sobre el PC infectado y fija el rescate.

Quizá la única discrepancia visual entre CTB-Locker y su nuevo clon sea que MarsJoke/Polyglot deja los archivos cifrados con su extensión original, mientra que CTB-Locker la cambiaba (normalmente a .ctbl o a .ctb2).

A pesar de las aparentes similitudes entre Polyglot y CTB-Locker, son dos tipos de malwarediferentes. Casi no comparten código. Nuestros expertos creen que al imitar la apariencia de CTB-Locker, los creadores de Polyglot intentaban despistar a los investigadores.


Como ya sabrás, no hay forma conocida de descifrar los archivos que CTB-Locker ha cifrado sin pegar el rescate. Pero, de nuevo, Polyglot y CTB-Locker no son del todo iguales. Y, por fortuna, los creadores de Polyglot cometieron un error con el generador de claves que posibilitó que los investigadores de Kaspersky Lab crearan una solución (una utilidad gratuita que puede descifrar todos los archivos dañados).

Para descifrar los archivos que Polyglot/MarsJoke ha cifrado, descarga e instala la utilidad gratuita RannohDecryptor (versión 1.9.3.0 o posterior) desde noransom.kaspersky.com. Recuperará tus archivos.

La verdad es que tenemos suerte con Polyglot/MarsJoke. Los creadores de malware están constantemente adaptando y mejorando sus creaciones. Por ejemplo, después de que solucionáramos en tres ocasiones lo de CryptXXX, al final su creador mejoró tanto su algoritmo de cifrado que nuestras utilidades no pueden con él. Quizá el creador de Polyglot llegue a hacer lo mismo. Conclusión: no se puede confiar en que una utilidad de descifrado esté disponible para cualquier ransomware que te encuentres.

Fuente: https://blog.kaspersky.es/polyglot-decryptor/9217/

#MarsJoke #ransomware

11 visualizaciones