Avast lanza una nueva herramienta de descifrado para el ransomware XData

Jakub Křoustek 31 may 2017

Avast lanza una nueva herramienta de descifrado para el ransomware XData.

El ransomware XData fue descubierto a mediados de mayo y, dos semanas después, lanzamos una herramienta de descifrado gratuita para que las víctimas del ransomware XData puedan descifrar sus archivos.

XData comparte similitudes con el ransomware WannaCry, propagado por todo el mundo. XData se empezó a propagar poco después del brote de WannaCry y también se ha estado aprovechando del exploit EternalBlue.

La propagación de XData no ha sido tan masiva como WannaCry, pero igualmente ha causado un gran impacto. Tal y como originalmente reportó el MalwareHunterTeam, este ransomware se centraba principalmente en los usuarios de Ucrania.

Estos son los ataques bloqueados de XData a nuestros usuarios:

2017-05-31.png

Estadísticas del 2017-05-08 al 2017-05-31

Echando un vistazo más cercano al código de XData, observamos que es casi idéntico a otra variante reciente de ransomware llamada AES_NI, de la cual también tenemos una herramienta de descifrado gratuita. Esta similitud no es un accidente. El código de AES_NI fue robado a sus autores por los operadores de XData.

Descifrado de XData

Tras infectar un equipo, XData añade la extensión “.~xdata~” a los archivos cifrados y deja las instrucciones para el pago en un archivo llamado “HOW_CAN_I_DECRYPT_MY_FILES.txt”.

01-xdata-ransom-screen.png

Adicionalmente, el ransomware crea una llave con un nombre similar a:

[NOMBRE_PC]#9C43A95AC27D3A131D3E8A95F2163088-#-20175267812-78.key.xdata en los siguientes directorios:

  • C:\
  • C:\ProgramData
  • Escritorio

Para copiar a los autores de AES_NI, quienes lanzaron la llave de descifrado la semana pasada, los criminales tras XData también lanzaron su llave de descifrado.

Esto nos permitió preparar una herramienta de descifrado gratuita, ubicada en nuestro sitio habitual.

Consejos para evitar el ransomware

  • Instala un antivirus en todos los dispositivos que puedas, incluyendo tu smartphone. Avast bloqueará todo el ransomware que te encuentres.
  • Actualizar todo tu software siempre que una nueva versión esté disponible puede ayudar a prevenir que el ransomware explote una vulnerabilidad para infectar tu dispositivo.
  • Ser cauto también ayuda a evitar el ransomware. Deberías alejarte de sitios web con mala reputación, ser cauto con lo que descargas y no abrir enlaces o archivos adjuntos de desconocidos. Muchas personas no creen que un ordinario documento Word o Excel puedan derivar en una descarga maliciosa, algo que los cibercriminales saben y utilizan en sus ataques. Los archivos adjuntos, enviados en forma de documento Word o Excel, suelen solicitar la activación de macros, que permite al documento descargar malware, incluyendo ransomware, de Internet.
  • Aunque no ayude a evitar el ransomware, haz copias de seguridad frecuentemente para así evitar la pérdida de datos en caso de caer víctima del ransomware. Si haces copias de seguridad frecuentemente, de modo offline, en un disco duro externo sin conexión a Internet, reducirás el riesgo de que alguien toque tus datos a través de la red.

Agradecimientos

Un agradecimiento especial a mi compañero Ladislav Zezula por preparar este descifrador.

IOCs

92ad1b7965d65bfef751cf6e4e8ad4837699165626e25131409d4134f031a497

d174f0c6ded55eb315320750aaa3152fc241acbfaef662bf691ffd0080327ab9

 

--> -->