Como ya hemos visto en varias ocasiones, existen algunas herramientas gratuitas, proporcionadas por algunos fabricantes de soluciones de seguridad, que pueden ayudarte a recuperar tus archivos secuestrados por el ransomware. Hoy, precisamente, os traemos una noticia positiva en este ámbito: desde este momento, los usuarios afectados por el ransomware Merry X-Mas podrán liberar sus archivos sin pagar ni un solo céntimo.

Y es que, el equipo de investigación de malware de Check Point ha estudiado el proceso de codificación del ransomware Merry X-Mas y ha desarrollado una herramienta para descifrarlo y que las víctimas puedan recuperar sus datos. La solución se distribuye de forma gratuita a través de su web.

Este malware se distribuyó por primera vez el 3 de enero a través de una campaña de spam, con un falso email de la Comisión Federal de Comercio de Estados Unidos. Cuando el usuario hacía clic en el enlace del correo, descargaba un archivo comprimido con la extensión pdf.exe. Disfrazado como un archivo PDF, el fichero realmente servía para instalar Merry X-Mas. Además, el ransomware cifra los archivos de sus víctimas y exige un rescate a través de una nota con diseño navideño en la que se puede leer “Merry X-Mas”.

El segundo asalto se produjo unos días después, el 8 de enero, camuflado como una citación judicial. En el cuerpo del mensaje aparecía un link para descargar un documento comprimido de Word, que contenía una macro maliciosa que instala tanto Merry X-Mas como el ladrón de información DiamondFox. Este malware es capaz de robar credenciales o datos de tarjetas de crédito, y también puede lanzar ataques de Denegación de Servicio (DDoS) como parte de una gran botnet.

Merry X-Mas contacta con un servidor fijo (hardcoded). Si no llega una respuesta, utiliza una clave prefijada para cifrar los archivos de la víctima. El ransomware puede cifrar tanto el contenido del fichero como el nombre. Cuando lo hace, cambia sus extensiones a una de las siguientes: ‘.PEGS1’, ‘.MRCR1’, ‘.RARE1’, ‘.MERRY’ o ‘.RMCM1’. Si el hacker lo permite, el malware también puede cifrar los recursos de red compartidos.

Una vez completado el proceso, aparece un archivo HTA (html-based) llamado “YOUR_FILES_ARE_DEAD.HTA” o “MERRY_I_LOVE_YOU_BRUCE.HTA” en cada carpeta que incluye los archivos cifrados. Al abrirlo, el usuario encuentra una nota de rescate.

ado que el ransomware se ha convertido en una pesadilla para usuarios y empresas, las compañías de seguridad se moviliza para luchar contra él de forma conjunta. Como os contábamos hace unos meses, Check Point es miembro del proyecto No More Ransom (NMR), cuyo objetivo es luchar contra la epidemia del ransomware. Por esta razón, sus herramientas de descifrado de archivos son de uso público.

Finalmente, os recordamos que por Internet también circulan herramientas falsas. Pero aquí te ofrecemos algunas de las herramientas que proveen fabricantes serios y confiables para recuperar los archivos de algunos tipos de ransomware.

About Author

Desiree Rodriguez

Redactora jefe Globb Security France

Deja un comentario