Clicky

Lanzada herramienta gratuita de descifrado de Thanatos Ransomware

Thanatos Ransomware

ThanatosDecryptor funciona para Thanatos ransomware versiones 1 y 1.1

Si tu computadora ha sido infectada con Thanatos Ransomware y estás buscando una herramienta gratuita de descifrado de ransomware para desbloquear o descifrar tus archivos, tu búsqueda ha finalizado aquí.

Los investigadores de seguridad de Cisco Talos descubrieron una debilidad en el código ransomware de Thanatos que hace posible que las víctimas desbloqueen sus archivos encriptados de Thanatos de forma gratuita sin pagar ningún rescate en criptomonedas.

Al igual que todas las amenazas de ransomware, Thanatos cifra los archivos y le pide a las víctimas que paguen un rescate en múltiples criptomonedas, incluido Bitcoin Cash, para descifrar sus archivos.

"Los atacantes han aprovechado múltiples versiones de Thanatos, lo que indica que se trata de una amenaza en evolución que continúa siendo desarrollada activamente por actores de amenazas con múltiples versiones distribuidas en la naturaleza", dicen los investigadores.

"A diferencia de otros ransomware comúnmente distribuidos, Thanatos no exige que los pagos de rescate se realicen con una sola criptomoneda como bitcoin. En cambio, se ha observado que respalda pagos de rescate en forma de Bitcoin Cash (BCH), Zcash (ZEC), Ethereum (ETH) y otros".

Una vez infectadas, todas las extensiones de nombre de archivo cifradas en la computadora afectada se cambian a .THANATOS, y luego aparece una nota de rescate cada vez que el usuario intenta iniciar sesión en el sistema, indicándole que envíe el dinero del rescate a una dirección de monedero de criptomoneda codificada para descifrar los archivos.

Sin embargo, dado que Thanatos utiliza diferentes claves de cifrado para cifrar cada archivo en un sistema infectado sin almacenarlas en ningún lugar, es imposible que los autores de malware devuelvan los datos de los usuarios, incluso si las víctimas pagan el rescate.

descifrado de Thanatos Ransomware

Herramienta gratuita de descifrado de Thanatos Ransomware

Los investigadores de Cisco analizaron el código de malware y encontraron una laguna en el diseño de la metodología de cifrado de archivos utilizada por Thanatos, con el que desarrollaron una herramienta gratuita de descifrado de ransomware que ayudará a las víctimas a descifrar sus archivos.

Denominada ThanatosDecryptor, la herramienta de desencriptación de ransomware de código abierto y gratuita se puede descargar desde el sitio web de GitHub, que recientemente ha sido adquirido por Microsoft por $ 7.500 millones, y funciona para Thanatos ransomware versiones 1 y 1.1.

Dado que las claves de cifrado utilizadas por Thanatos se derivan de la cantidad de milisegundos transcurridos desde el último arranque del sistema, los investigadores pudieron aplicar ingeniería inversa y generar la misma clave de cifrado de 32 bits utilizando ataques de fuerza bruta y registros de eventos de Windows.

"Dado que Thanatos no modifica las fechas de creación del archivo en archivos cifrados, el espacio de búsqueda de claves se puede reducir aún más a aproximadamente el número de milisegundos dentro del período de 24 horas previo a la infección", explican los investigadores.

"Con un promedio de 100.000 intentos de fuerza bruta por segundo (que era la línea de base en una máquina virtual utilizada para las pruebas), tomaría aproximadamente 14 minutos recuperar con éxito la clave de cifrado en estas condiciones".

Para obtener más detalles sobre el ransomware Thanatos, puedes dirigirse a una publicación detallada del blog publicada ayer por Cisco Talos.

Cómo protegerse de los ataques de ransomware

La mayoría de ransomware se propaga a través de correos electrónicos de phishing, anuncios maliciosos en sitios web y aplicaciones y programas de terceros. Ya se trate de Locky, CoinVault, Thanatos, TeslaCrypt o cualquier otro malware ransomware, las medidas de protección son estándar.

Para protegerse contra tales ataques de ransomware, siempre debes sospechar de documentos no invitados enviados en un correo electrónico y nunca hacer clic en enlaces dentro de esos documentos a menos que verifiques sus fuentes.

Comprueba si están deshabilitadas las macros en tus aplicaciones de MS Office. De lo contrario, bloquea las macros para que no se ejecuten desde Internet en archivos de MS Office.

Para tener siempre un estricto control de todos tus documentos importantes, manten una buena rutina de respaldo o en su lugar que haz copias de tus archivos a un dispositivo de almacenamiento externo que no siempre esté conectado a tu PC.

Además, asegúrate de ejecutar en tu sistema un conjunto de seguridad de antivirus basado en el comportamiento activo que pueda detectar y bloquear dicho malware antes de que pueda infectar tu dispositivo, y siempre recuerda mantenerlo actualizado.

Jesus_Caceres