Hoy es, sin duda, un gran día para las víctimas de VCryptor, y especialmente para todas aquellas que, ya sea por la razón que sea, optaron por no pagar el rescate y, desde entonces, no han podido recuperar los archivos encriptados por este ransomware. Y es que, tras un tiempo trabajando en ello, ElevenPaths, unidad especializada en ciberseguridad del grupo Telefónica, ha logrado crear una herramienta con la que recuperar todos los archivos inaccesibles por culpa de este malware.
La herramienta contra VCryptor, totalmente gratuita y que ya está disponible para ser descargada por cualquier usuario que la necesite, se puede encontrar en la página web de No More Ransomware, una iniciativa internacional que agrupa tanto entidades públicas como empresas privadas y que, como su propio nombre indica, se dedica a la divulgación y prevención del ransomware y, algo especialmente valorado por sus usuarios, a ofrecer soluciones para algunos de los múltiples malwares destinados a cifrar archivos y extorsionar a sus propietarios.
Hasta el momento, y con la colaboración de una buena parte de las entidades agrupadas en la organización, No More Ransomware cuenta ya con soluciones para 134 variantes de ransomware, siendo VCryptor la última en haberse sumado a la lista. Esta no es la primera aportación de ElevenPaths a este respecto, pues ya colaboraron hace tiempo con una utilidad para descifrar los archivos encriptados por PopCorn. Puedes ver la lista completa haciendo click aquí.
En lo referido a la solución frente a VCryptor, según plantea ElevenPaths este ransomware crea un archivo .zip con contraseña, en el que almacena todos los archivos secuestrados, al tiempo que crea nuevos ficheros con la extensión .vcrypt que vienen a sustituir a los archivos originales. Una vez llevada a cabo esta acción, el patógeno muestra al usuario un mensaje en el que le informa que ha sido víctima de un ataque, e incluye un enlace a una página web desde la que se «invita» a la víctima a pagar por recuperar sus ficheros.
El punto débil de VCryptor, según ElevenPaths, es que la contraseña de cifrado se encuentra en el propio código del patógeno. No responde al modelo empleado por otras amenazas de este tipo, en las que se emplea se emplean claves distintas para cifrar y descifrar, permaneciendo esta última siempre bajo el estricto control de los ciberdelincuentes. En este caso la clave, aunque ofuscada, estaba presente en el malware, por lo que los investigadores han sido capaces de desofuscarla y crear esta herramienta.
Un aspecto curioso de VCryptor es uno de los medios elegidos por sus creadores para su difusión. Y es que, una vez que la víctima ha sido infectada, se le ofrecen dos posibilidades: pagar el rescate o infectar a sus contactos. De este modo, si dos de ellos finalmente pagan el rescate, la víctima (que ahora se ha convertido en verdugo), obtiene gratuitamente la clave para desencriptar sus ficheros. Es tan retorcido que casi parece sacado de un episodio de Black Mirror.