Se ha lanzado un descifrador maestro gratuito para la operación de ransomware REvil, que permite a todas las víctimas cifradas antes de que la pandilla desapareciera recuperar sus archivos de forma gratuita.
El descifrador maestro REvil fue creado por la firma de ciberseguridad Bitdefender en colaboración con un socio de seguridad de confianza.
Si bien Bitdefender no pudo compartir detalles sobre cómo obtuvieron la clave de descifrado maestra o la agencia de aplicación de la ley involucrada, le dijeron a BleepingComputer que funciona para todas las víctimas de REvil cifradas antes del 13 de julio.
"Según la publicación de nuestro blog, recibimos las claves de un socio policial de confianza y, desafortunadamente, esta es la única información que tenemos la libertad de divulgar en este momento", dijo a BleepingComputer Bogdan Botezatu, Director de Investigación e Informes de Amenazas de Bitdefender.
"Una vez que la investigación avance y llegue a su fin, se ofrecerán más detalles una vez aprobada".
Las víctimas del ransomware REvil pueden descargar el descifrador maestro de Bitdefender ( instrucciones ) y descifrar equipos completos a la vez o especificar carpetas específicas para descifrar.
Para probar el descifrador, BleepingComputer cifró una máquina virtual con una muestra de REvil utilizada en un ataque a principios de este año. Después de cifrar nuestros archivos, podríamos usar el descifrador de Bitdefender para recuperar fácilmente nuestros archivos, como se muestra a continuación.
La aplicación de la ley probablemente comprometió los servidores REvil
Se cree que la operación de ransomware REvil, también conocida como Sodinokibi, es un cambio de marca o un sucesor del grupo de ransomware ahora "retirado" conocido como GandCrab .
Desde su lanzamiento en 2019, REvil ha llevado a cabo numerosos ataques contra empresas conocidas, incluidas JBS , Coop , Travelex y Grupo Fleury .
Finalmente, en un ataque masivo el 2 de julio utilizando una vulnerabilidad de día cero de Kaseya, la banda de ransomware cifró sesenta proveedores de servicios administrados y más de 1.500 empresas en todo el mundo.
Después de enfrentar un intenso escrutinio por parte de la aplicación de la ley internacional y el aumento de las tensiones políticas entre Rusia y los EE. UU., REvil cerró repentinamente su operación el 13 de julio y desapareció.
Mientras REvil se cerró, Kaseya recibió misteriosamente un descifrador maestro para su ataque, lo que permitió a los MSP y a sus clientes recuperar archivos de forma gratuita.
Como Bitdefender afirma que las víctimas que REvil cifraron antes del 13 de julio pueden usar este descifrador, es seguro asumir que la desaparición de la operación de ransomware estuvo vinculada a esta investigación policial.
También es probable que la obtención de Kaseya de la clave maestra de descifrado de REvil para el ataque a sus clientes también esté vinculada a la misma investigación.
Si bien REvil ha vuelto a atacar a las víctimas a principios de este mes, el lanzamiento de este descifrador maestro es una gran ayuda para las víctimas existentes que optaron por no pagar o simplemente no pudieron después de la desaparición de la pandilla de ransomware.
Fuente: https://www.bleepingcomputer.com/
No olvides Compartir...
Siguenos en twitter: @disoftin - @fredyavila
0 Comentarios