El auge de los ataques de ransomware en los últimos años ha llevado a un aumento significativo en la demanda de soluciones para contrarrestar estos ciberataques devastadores. Recientemente, ha surgido una nueva herramienta de desencriptación en línea que promete ser un rayo de esperanza para las víctimas de ransomware.
CyberArk ha lanzado una versión en línea de 'White Phoenix', una herramienta de descifrado de ransomware de código abierto diseñada para operaciones que utilizan cifrado intermitente.
La compañía anunció que, aunque la herramienta ya estaba disponible de forma gratuita en GitHub como un proyecto Python, decidieron crear una versión en línea para ayudar a las víctimas de ransomware que no tienen experiencia técnica y no saben cómo trabajar con el código.
Utilizar White Phoenix en línea es muy sencillo: solo necesita cargar sus archivos, hacer clic en el botón "recuperar" y permitir que la herramienta restaure lo que pueda.
En la actualidad, esta versión en línea es compatible con archivos de documentos PDF, Word, Excel, ZIP y PowerPoint. Además, tiene un límite de tamaño de archivo de 10 MB. Si necesita descifrar archivos o máquinas virtuales (VM) más grandes, la versión disponible en GitHub es la única opción.
Te podrá interesar: Evita el Pago de Ransomware: Riesgos del Rescate
El cifrado intermitente es una técnica empleada por numerosas operaciones de ransomware con el fin de agilizar el proceso de cifrado, mediante la codificación parcial de los archivos de las víctimas.
Entre las variantes de ransomware actuales que utilizan cifrado intermitente se incluyen Blackcat/ALPHV, Play, Qilin/Agenda, BianLian y DarkBit. En consecuencia, White Phoenix solo puede ser de ayuda para las víctimas afectadas por estas cepas específicas.
El cifrado intermitente permite a los ciberdelincuentes acelerar sus ataques mientras dejan a las víctimas sin una forma de recuperar sus datos sin pagar un rescate.
Sin embargo, el cifrado intermitente presenta una vulnerabilidad al dejar grandes cantidades de datos sin cifrar en los archivos. Si estos fragmentos no cifrados contienen información útil, especialmente al inicio y al final del archivo, aumentan las posibilidades de reconstruir y restaurar exitosamente el archivo sin tener que pagar por un descifrador.
White Phoenix intenta recuperar texto en documentos al concatenar las partes no cifradas e invertir la codificación hexadecimal y la codificación CMAP (mapeo de caracteres).
Conoce más sobre: Descenso récord en pagos de ransomware: Las víctimas no pagan
White Phoenix es, en esencia, una herramienta que automatiza el proceso de restauración manual utilizado por expertos en recuperación de datos, por lo que su efectividad puede variar según el tipo de archivo y el ransomware en cuestión.
CyberArk previamente menciono que ciertas cadenas de texto deben ser legibles en los archivos, dependiendo de su tipo, para que el descifrador funcione adecuadamente. Por ejemplo, los archivos ZIP deben contener la cadena "PK\x03\x04" y los archivos PDF deben incluir "0 obj" y "endobj".
Para archivos PDF que contienen imágenes, CyberArk sugiere seleccionar la opción "archivos separados" para obtener resultados más fiables. Incluso si White Phoenix no puede recuperar sistemas completos, podría ayudar en la restauración de archivos valiosos o en la recuperación de algunos datos.
Actualmente, no existen descifradores efectivos para las familias de ransomware mencionadas, por lo que las opciones de restauración son limitadas, lo que hace que valga la pena considerar el uso de White Phoenix.
Es importante destacar que, si trabaja con información confidencial, se recomienda descargar White Phoenix desde GitHub y utilizarlo de forma local en lugar de cargar documentos confidenciales en los servidores de CyberArk.
Podría interesarte: Detección de Ataques de Ransomware con Wazuh
La emergencia de herramientas de desencriptación de ransomware en línea ofrece una valiosa línea de defensa para las víctimas de estos ataques. Aunque no son una solución infalible, representan un paso importante en la lucha contra el ransomware. Al final, la combinación de medidas preventivas, educación en seguridad cibernética y el desarrollo continuo de herramientas de desencriptación serán cruciales en la batalla contra el ransomware.