Liberan claves para el ransomware Dharma

02/03/2017

Las víctimas de una versión del ransomware Dharma ya pueden recuperar sus archivos de forma gratuita.

Las claves de cifrado para el ransomware fueron agregadas a la herramienta de descifrado Rakhni de Kaspersky Lab.

La herramienta, disponible en nomoreransom.org (un sitio que la compañía mantiene junto con Europol, la Policia Nacional de los Países Bajos e Intel Security), también puede descifrar archivos cifrados por Chimera, Crysis y Rakhni.

Se suponía que las claves para el ransomware surgirían antes de lo previsto, después de que un usuario publicara un enlace a lo que se cree que son las claves en un mensaje en el foro de BleepinComputer.com. El usuario “gektar” publicó un enlace Pastebin que contenía un archivo de encabezado C que contenía las claves. Estás se consideraron legítimas después de que fueron analizadas por investigadores de Kaspersky Lab, pero no está claro por qué el usuario las publicó o cuál es su relación con el ransomware.

Lawrence Abrams, quien mantiene el sitio y foro BleepingComputer, dijo que había una alta probabilidad de que las claves fueran válidas desde las claves para Crysis, el ransomware en el que Dharma está basado, fueron lanzadas en los foros de la misma manera. Cuando lo probó con una infección de Dharma, Abrams explicó que el descifrado Rakhni funcionó “perfectamente”.

Las infecciones de Dharma comenzaron a salir en noviembre pasado cuando las víctimas comenzaron a reportar que los archivos de su unidad c:/ habían sido cifrados con la terminación “.dharma” anexada al final de cada uno de los archivos. En algunos casos, los nombres de los archivos también se han cambiado para incluir una dirección de correo electrónico “@india.com”. Los investigadores encontraron la relación entre Dharma y Crysis en otoño pasado después de notar algunas similitudes en patrones hexagonales en el pie de los archivos.

Kaspersky lanzó las claves para Crysis, ransomware que comenzó a aparecer en febrero del 2016, poco después de que el ransomware TeslaCrypt fuera craqueado en noviembre pasado. Las claves de Crysis, así como las claves de Dharma, fueron publicadas por primera vez en un foro de BleepingComputer.com como un enlace Pastebin a un archivo de encabezado escrito en C.