Record de tiempo invertido en recuperar los archivos cifrados por CryptoNar

Escrito por Adrián Crespo

Esta misma semana se ha descubierto una nueva amenaza. Derivada de CryptoJoker, CryptNar estaba llamada a causar grandes estragos entre los usuarios con sistema operativo Windows. Sin embargo, parece que la eficacia de la amenaza es nula. A las pocas horas de ser avistada en Internet ya existía una herramienta que permitía recuperar los archivos cifrados.

Los expertos en seguridad han indicado que, todo parece indicar, la amenaza no debería haberse distribuido. De primeras, la sensación que provoca es que se trata de un malware muy poco elaborado. Es decir, como si nos encontrásemos ante una prueba que posteriormente dará lugar a otra.

Una prueba de esto que estamos diciendo es el bajo número de usuarios que se han visto afectados. Tras una semana, poco más de 100 estarían afectados.

Obviamente, la buena noticia para los usuarios afectados es que pronto se ha desarrollado una herramienta que permite descifrar los archivos que se han visto afectados por el cifrado de esta amenaza.

Características de CryptoNar

Expertos en seguridad han tenido la oportunidad de analizar la amenaza. Han indicado que, a diferencia de otras amenazas que aplican el mismo cifrado a todos los archivos, CryptoNar aplica un cifrado diferente en función del tipo de archivo. Es decir, en función del tipo de archivo, se cifra más o menos contenido del mismo, además de utilizar un nombre diferente. Por ejemplo, experto hablan de los nombres .fully.cryptoNar o .partially.cryptoNar.

Lo que es idéntico a otras amenazas es la nota de información para los usuarios. Se deja en el escritorio del sistema operativo Windows bajo el nombre CRYPTONAR RECOVERY INFORMATION.txt. En este se indica que se deben pagar 200 dólares en Bitcoins.

En este documento, además, el usuario disfruta del ID de infección asignado que se deberá incluir en la transacción.

Herramienta gratuita de descifrado

Para utilizar este software, es necesario conservar, al menos, la copia original de uno de los archivos afectados.

En el software, debemos seleccionar el original y la copia afectada por el cifrado. El software utilizará un algoritmo de fuerza bruta para obtener la clave de descifrado.

Software descifrado archivos afectados

Una vez se ha obtenido la clave, se podrán seleccionar los archivos que queremos descifrar. Lo lógico sería seleccionar la raíz del sistema de ficheros, para así descifrar todos los afectados y no realizar una búsqueda manual.

Con esto, los archivos estarían descifrados sin ningún tipo de problema.

Muchas variantes, pero poco efectivas

Parece que el momento de ebullición de este tipo de amenazas ha pasado. Estos últimos meses, todas las versiones que han aparecido no son genuinas. Se tratan de copias de otras que ya habían visto la luz. Lo que queremos decir, es que, en la mayoría de los casos, ya existen herramientas para recuperar los archivos. Por lo tanto, se trata de algo inútil y que en la mayoría de los casos no sirven para recaudar.

Los ciberdelincuentes tendrán que esforzarse un poco más para conseguir que estas amenazas vuelvan a ser un quebradero de cabeza para los usuarios.

Fuente > Bleeping Computer