Como suele ser habitual en estos casos, el ransomware vuelve con capacidades mejoradas para evitar que los archivos cifrados no puedan ser recuperados fácilmente sin tener que pasar por caja y en esta ocasión con otra importante novedad. Y es que la nueva variante de Locky añade un mecanismo con el que es capaz de comenzar a cifrar archivos incluso cuando no puede solicitar la clave de cifrado a los servidores del atacante porque esté fuera de línea o algún cortafuegos esté bloqueando la comunicación.

Ransomware-cadenas.jpg

Hoy en día, este tipo de malware que utiliza cifrados de clave pública, son incapaces de iniciar el cifrado de archivos si no consiguen tener comunicación con el servidor del atacante, ya que el proceso de cifrado se basa en pare únicos de claves públicas y privadas generadas por estos servidores para cada víctima.

En primer lugar, el ransomware genera una clave de cifrado simétrico utilizando normalmente un algoritmo AES y solicita al servidor del atacante generar un par de claves RSA para el equipo que acaba de ser infectado. La clave pública se envía de nuevo al ransomware que la utiliza para cifrar la clave de cifrado AES.

Sin embargo, la clave privada, que es necesaria para descifrar lo que la clave pública ha cifrado, en ningún momento sale del servidor del atacante, siendo la que reciben las víctimas después de pagar la cantidad solicitada para el rescate de sus datos. Por lo tanto, algunas amenazas de este tipo pueden ser ineficaces si un firewall detecta un intento de conexión sospechoso y se bloquea o si se corta la conexión a Internet.

Medidas que ya no son viables para la nueva versión de Locky, puesto que puede comenzar el cifrado de archivos incluso aunque no tenga conexión con el servidor del atacante gracias a su nuevo modo offline, que se activará automáticamente en el momento que no disponga de conexión. Además, el nuevo Locky también es capaz de diferenciar entre las víctimas offline para asignar una clave pública específica a cada una de ellas y saber quién ha pagado y quién no por el rescate y que la clave privada no valga para descifrar los datos de todas las víctimas offline.

 

Fuente: Blog Avira | adslzone