El pasado día 12 de agosto la banda El_Cometa (antes SynAck) entregó sus claves de encriptado a The Record. El analista de malware Michael Gillespie, de la empresa Emsisoft, verificó su autenticidad y el día 19 de este mismo mes la empresa ha liberado una herramienta para el desencriptado de los archivos afectados. Hace pocos días publicábamos noticias similares sobre los ramsonware Prometheusy Conti.
La banda SynAck empezó su actividad en el año 2017 y es una de las más antiguas aún en activo. La filtración de las claves se produce debido a que ahora se ha renombrado cómo El_Cometa y pretenden lanzar una nueva plataforma de RaaS (Ransomware como Servicio).
La banda se diferenciaba de otras por demandar pagos por email o BitMessage. Además ganó notoriedad por ser la primera en usar la técnica de Doppelgänging. Esta está diseñada para evadir los software de seguridad tradicionales y antivirus en sistemas Windows.
Si bien nunca llegó a tener el impacto de otras organizaciones cómo Conti o REvil, con su nueva plataforma esperan conseguir más afiliados. Así podrían incrementar considerablemente su alcance en la distribución del ransomware El_Cometa.
Además de las claves de desencriptado la banda proporcionó a The Record un manual para su uso. Pero la publicación online decidió no hacer públicas todas las claves. El motivo es que, sin los conocimientos suficientes, los afectados podrían dañar aún más los datos encriptados.
Esto ha sido solucionado con la publicación de la herramienta de desencriptado por parte de Emsisoft. Esta se puede descargar aquí de manera gratuita. Para su uso es preciso que los afectados conserven la nota que recibieron al ser afectados por el ransomware. Funciona para todas las variantes existentes desde el año 2017 hasta los primeros meses de este año.