Noticias
Zorab: ransomware sobre ransomware
El malware es, en general, una muestra de maldad, pero hay casos como el de Zorab, en los que cuesta poco llegar a la conclusión de que las personas que los han ideado son singularmente perversas. Un poco en la línea de quienes están aprovechando el miedo y la desinformación alrededor del coronavirus, por poner un ejemplo. Una muestra más (como si no tuviéramos ya suficientes) de que el ser humano es capaz de llegar a lo más alto, sí, pero también de caer en lo más bajo. Y en este caso eso es bastante profundo.
Pero para hablar de Zorab antes tenemos que hacerlo de Djvu, pues existe una relación directa entre ambos patógenos. Djvu, también conocido como STOP Djvu por su relación con el ransomware STOP, es un malware para Windows que, al infectar un equipo, realiza determinados cambios en el registro del sistema y, a continuación, procede al cifrado de los archivos de la víctima. Como es habitual, tras ello muestra información de contacto al afectado para negociar el precio del rescate por sus archivos. Hablamos de un ransomware masivo, dirigido a todo tipo de usuarios, y que no lleva a cabo exfiltración de los archivos cifrados.
Estos últimos dos puntos son importantes, puesto que de ellos se deduce que las víctimas que más afectadas pueden verse son los usuarios particulares que no realizan copias de seguridad protegidas de sus archivos. Usuarios que, además, no suelen contar con un perfil de conocimientos técnicos especialmente alto, razón por la que tienen más posibilidades de caer en trampas como las de Djvu y, a consecuencia directa de ello, posteriormente en Zorab.
El experto en ransomware Michael Gillespie publicó, hace ya algún tiempo, una herramienta gratuita con la que es posible descifrar los ficheros encriptados por la primera versión de Djvu, un ransomware que ha estudiado en profundidad. El problema es que no existen de momento soluciones para las múltiples versiones del mismo que han aparecido hasta el día de hoy Y aquí es dónde Zorab hace su aparición, como podemos ver en este tweet del experto:
Hmm, someone released a decryptor for #STOP #Djvu?
Oh wait… it’s more fucking #ransomware. Don’t trust anything you find online saying it can decrypt Djvu unless it is from ME. This is just one example of the shaddy shit victims are falling for when they don’t believe me. pic.twitter.com/eWjtB8UpJe— Michael Gillespie (@demonslay335) June 5, 2020
Efectivamente, Zorab se hace pasar por una herramienta para solucionar el problema ocasionado pero, en realidad, lo único que hace es cifrar los archivos, ya encriptados anteriormente, y exigir a la víctima otro rescate. Sí, un rescate para que sus archivos vuelvan al estado de secuestrados por Djvu. Aprovechando la situación en la que se encuentra la víctima del primer secuestro, se le ofrece una falsa solución que, en realidad, no es más que otro ataque ejecutado por encima del primero. Perverso, ¿verdad?
Afortunadamente, según el investigador Zorab es desencriptable, por lo que cabe esperar que aparezca en breve una herramienta para revertir sus efectos. Eso sí, llegado el momento (y como directriz aplicable en general), será clave asegurarse al 100% del origen de esa herramienta. Porque, claro, una vez establecida la fórmula del resecuestro, nada impide establecer un círculo vicioso que añada nuevas capas a este modelo.