Publicar claves de descifrado para variantes antiguas de ransomware se ha vuelto una especie de moda.
Poco después del lanzamiento de la herramienta actualizada de descifrado para Crysis, se liberaron las correspondientes a algunas de las variantes de la familia AES-NI, específicamente Win32/Filecoder.AESNI.B y Win32/Filecoder.AESNI.C, también conocida como XData. En base a esto, los expertos de ESET prepararon una nueva herramienta de descifrado para AES-NI.
Funciona en archivos cifrados por la clave RSA sin conexión que usa la variante B de AES-NI, que añade las extensiones .aes256, .aes_ni y .aes_ni_0day a los archivos afectados; y también en archivos afectados por su variante C (o XData), con la extensión .~xdata~.
Las víctimas cuyos archivos hayan sido cifrados pueden descargar la herramienta desde nuestra página de utilidades; para más información sobre cómo usarla, dirígete a nuestra Base de Conocimiento.
Pero ¿quién se está dedicando a liberar claves maestras?
Primero, las claves para la variante A de la familia AES-NI fueron publicadas en un foro de ayuda para víctimas de ransomware, y luego siguió la clave para la variante B que fue publicada en Twitter por quienes dicen ser los autores de la amenaza. Un invitado anónimo publicó la correspondiente a la variante C (XData) en el foro unos días después.
Lo interesante es que, como reportó BleepingComputer, el grupo detrás de AES-NI afirmó que su código fuente había sido robado este año y que se había usado en la campaña de XData en Ucrania.
Originalmente, el malware tenía restricciones que no permitían que hubiera infecciones en Rusia y países de la Comunidad de Estados Independientes (CEI). Esta es una táctica común de los cibercriminales rusos para evitar el enjuiciamiento por parte de su propio gobierno. Pero, al parecer, las restricciones fueron neutralizadas por los operadores de XData para apuntar específicamente a esa región.
Para más información sobre cómo protegerte del ransomware como AES-NI, no te pierdas estos 11 consejos y este video:
