Los creadores del ransomware Zorab lanzaron una herramienta falsa que cifra los archivos afectados por el ataque y hacer la desencriptación de ransomware.
Antilavadodedinero / Cointelegraph.com
A medida que las herramientas gratuitas de desencriptación de ransomware comienzan a entrar en el mercado, ha comenzado a proliferar una ola de software falso que afirma desencriptar los archivos afectados por el ransomware.
Según un informe publicado por Bleeping Computer el 5 de junio, los creadores del ransomware de Zorab lanzaron un desencriptador STOP Djvu falso. Sin embargo, en lugar de recuperar los datos de la víctima, este software parece encriptar sus archivos con un segundo ransomware.
Cuando la víctima abre una de estas herramientas, el software extrae un archivo ejecutable llamado crab.exe. Este es el propio ransomware Zorab. Una vez ejecutado, la herramienta encriptará todos los archivos presentes con una extensión .ZRB.
Archivos con doble cifrado
Hablando con Cointelegraph, Brett Callow, analista de amenazas del laboratorio de malware Emsisoft, dice que STOP es el ransomware más frecuente con diferencia. Afirma que representa aproximadamente la mitad de todos los incidentes:
«Desafortunadamente, los criminales a menudo crean versiones falsas de software popular con el fin de propagar malware, y ahora han creado una versión falsa de nuestro desencriptador para hacer precisamente eso. Ejecutar la herramienta falsa no recuperará los datos que fueron encriptados por STOP, en realidad los encriptará por segunda vez».
Callow se refiere a una de las varias herramientas libres lanzadas recientemente por Emsisoft. Estas herramientas permiten a la gente descifrar los archivos afectados por variantes específicas de software de rescate.
El analista de amenazas de Emsisoft emitió la siguiente advertencia al público:
«Esto ilustra por qué la gente debe tener cuidado al descargar software y aplicaciones y asegurarse de que proviene de una fuente de confianza y de buena reputación. Del mismo modo, deben evitarse los cracks, los activadores y los keygens, ya que también se utilizan frecuentemente para difundir programas de rescate y otros programas maliciosos».
Las últimas herramientas gratuitas de desencriptación de ransomware publicadas
Cointelegraph recientemente llevó a cabo una amplia cobertura sobre diferentes desencriptadores de ransomware gratuitos lanzados por varias compañías de tecnología.
El 3 de junio, el conglomerado de telecomunicaciones con sede en España, Telefónica, lanzó una herramienta gratuita para recuperar los datos cifrados por el rescate de VCryptor.
Emsisoft también lanzó el 4 de junio una herramienta de desencriptación gratuita que permite a las víctimas recuperar los archivos encriptados por los ataques de ransomware de Tycoon sin necesidad de pagar el rescate.
