Recuperar archivos cifrados por Linux.Encoder

2

Ya se pueden recuperar archivos cifrados por Linux.Encoder, también conocido como Trojan.Linux.Ransom.A. La versión de la que hablaremos hoy es, concretamente, Linux Encoder 3, aparecida recientemente y que ha infectado ya más de 600 servidores, según informa Bitdefender.

Descarga la utilidad para recuperar archivos cifrados por Linux.Encoder

Es decir, no hay que pagar los 300 € aproximadamente que se solicitan cuando este ransomware bloquea nuestros archivos de sistema.

Acerca de Linux Encoder

El pasado Noviembre se comprobó que, actualmente, ni siquiera Linux escapa a las infecciones por Ransomware. Es una plataforma fuerte, si, pero los ataques que engañan al usuario, como el Phishing, consiguen que este consienta su entrada al sistema. El resto es cosa fácil, cuando un malware está bien diseñado y le ponemos recursos del sistema a tiro, no falla. Se llame Windows, Mac OS o Linux.

En este caso, Linux.Encoder ha estado aprovechando el gran número de servidores Linux con vulnerabilidades para colarse en el servidor y cifrar sin piedad todos los archivos. Sin embargo, Bitdefender encontró un fallo en el ransomware que ha hecho posible obtener las claves de cifrado y, así, desarrollar una herramienta que permita realizar el proceso inverso. Esto es, descifrarlos.

Como estamos ante la tercera versión, los creadores de Linux Encoder 3 han ido aplicando mejoras al malware, apra solventar anteriores fallos. Sin embargo, esta nueva versión continúa siendo susceptible de recuperación, por suerte para todos los usuarios afectados.

Por qué Linux.Encoder 3 es vulnerable a la recuperación

La versión anterior de Linux.Encoder empleaba un vector de inicialización de 15 bytes, junto a una clave AES de la misma longitud que invocaba una función ()rand. La semilla inicial del RNG fué capturada a partir de la marca de tiempo actual, que era muy cercana a la producida en el archivo tras su cifrado.

En la actual versión de Linux.Encoder, cada archivo que atraviesa el proceso de cifrado recibe una modificación temporal basada en el archivo original sin cifrar. Cuando documentaron el ransomware, los ingenieros de Bitdefender en versiones iniciales, la comunidad de Twitter ridiculizó a los creadores, sugiriendo mejoras aleatorias a la funcionalidad del ransomware.

Linux.Encoder

Lo gracioso del asunto es que, aparentemente, los creadores del ransomware siguieron estas recomendaciones tan ridículas sin pensarlo. Como resultado, entre otras cosas, Linux.Encoder ni siquiera es ahora compatible con ciertas versiones antiguas (en teoría, más vulnerables) de la librería libc, por lo que el programa ni siquiera podrá iniciar en ellas. En otras plataformas, el proceso se ha vulnerado hasta el punto de asegurar un método para recuperar archivos cifrados por Linux.Encoder 3 y anteriores.

Recuperar archivos cifrados por Linux.Encoder

Una de las consecuencias de los cambios introducidos en Linux.Encoder es que, de hecho, la clave AES-256 utilizada para cifrar los archivos acaba, de hecho, insertada en todos los archivos manipulados. Solo hay que saber leer el fichero y la clave estará ahí, esperándonos.

Valora y comparte!

  • User Ratings (1 Votes)
    9.9
Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

2 comentarios

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR