Investigadores de seguridad de Cisco especializados en pruebas de penetracióndescubrieron una debilidad en el código del ransomware Thanatos que hace posible que las víctimas desbloqueen sus archivos encriptados sin pagar ningún rescate en criptomonedas que solicite el atacante.

El Instituto Internacional de Seguridad Cibernética informa que, al igual que todas las amenazas de ransomware,  Thanatos encripta sus archivos y le pide a las víctimas que paguen un rescate en divisas virtuales para liberar sus archivos. A diferencia de otras variantes de ransomware, Thanatos no exige un rescate en una sola criptomoneda, como Bitcoin. En su lugar, Thanatos demanda rescates utilizando diferentes criptomonedas como Bitcoin Cash, Zcash, Ethereum y otras.

Los hackers han utilizado múltiples versiones de Thanatos, lo que indica que se trata de una amenaza en evolución continúa, siendo desarrollada por agentes maliciosos constantemente, dicen los investigadores en pruebas de penetración.

Una vez infectadas, todas las extensiones de nombre de archivo cifradas en la computadora afectada se cambian a .THANATOS, y luego aparece una nota de rescate cada vez que el usuario intenta iniciar sesión en el sistema, indicándole que envíe el rescate a una dirección de cartera de criptomoneda en línea. Dado que Thanatos utiliza diferentes claves de cifrado para cada archivo en un sistema infectado sin almacenarlos en ningún lugar, es imposible que los atacantes devuelvan los datos de los usuarios, incluso si las víctimas pagan el rescate.

Una herramienta para liberar sus archivos

Los expertos en pruebas de penetración analizaron el código de malware y encontraron una laguna en la metodología de cifrado de archivos utilizada por Thanatos, con el que desarrollaron una herramienta gratuita de descifrado de ransomware que ayudará a las víctimas a descifrar sus archivos.

Llamada ThanatosDecryptor, la herramienta de código abierto se puede descargar desde el sitio web de GitHub, que recientemente ha sido adquirido por Microsoft por $ 7, 500 millones, y funciona para Thanatos en sus versiones 1 y 1.1.

Dado que las claves de cifrado utilizadas por Thanatos se derivan de la cantidad de milisegundos transcurridos desde el último arranque del sistema, los investigadores pudieron aplicar ingeniería inversa y generar la misma clave de cifrado de 32 bits utilizando ataques de fuerza bruta.

Con un promedio de 100 mil intentos de fuerza bruta por segundo (que era la línea de base en una máquina virtual utilizada para las pruebas), tomaría aproximadamente 14 minutos recuperar con éxito la clave de cifrado en estas condiciones.