Los ransomware cada vez son más comunes y podría decirse que existe bastante variedad. Power Worm es una de estas amenazas que más activa se ha mostrado durante el último año. Podría decirse que los usuarios afectados por este han recibido un mazazo, ya que este virus ha eliminado de forma accidental todas las claves generadas hasta el momento.
Antes de empezar os puede interesar conocer qué es Power over Ethernet. Cambiando de tema, para todos aquellos que no conozcan nada el malware Power Worm, hay que decir que posee un funcionamiento similar al resto de ransomware, con la única diferencia de que su funcionamiento lo basa en PowerShell, de ahí su nombre. Utiliza el framework que permite a los desarrolladores programar tareas para que el virus informático se ejecute en el equipo y lleve a cabo el cifrado de los archivos del mismo. La distribución de este se realiza haciendo uso de ficheros Excel y Word, recurriendo a las macros. Fue descubierto por primera vez en marzo del pasado año y desde entonces han sido miles los equipos afectados.
Podría decirse que hasta aquí está todo dentro de lo normal, sin embargo, los responsables de esta amenaza han cometido un pequeño problema que convierte en muy complicada la tarea de recuperar el acceso a los datos.
Power Worm ha borrado todas las claves generadas
La rutina que se encarga de cifrar los datos y generar las claves para almacenarlas posteriormente no está bien programada. Buscando simplificar la implementación en los servidores los responsables eliminaron algunos elementos que han resultado claves para el problema que ha aparecido. Y es que una vez las claves se habían generado estas no se almacenaban de forma correcta y se perdían.
Como en todos los ransomware, se pide el pago de una cuantía económica para recuperar el acceso a los archivos. En muy pocos casos esto es real y muchos usuarios realizan el pago y posteriormente no reciben esta. En esta ocasión los ciberdelincuentes sí estaban dispuestos a ofrecer la clave de descifrado después del pago pero ha sido imposible por el problema aparecido.
Si estás afectado por este malware no vas a recuperar el acceso a los datos
Lo que ya está confirmado es que sí estas afectado por este virus informático no vas a recuperar el acceso a tus archivos, por lo que si no dispones de una copia de seguridad o un punto de restauración del sistema los archivos están perdidos.
Este ransomware sí lo detectan las herramientas de seguridad disponibles para Windows por lo que solo es necesario disponer de una y que esta se encuentra correctamente configurada y actualizada.