Ransomware Alpha

¿Cómo recupero archivos con extensión .ENCRYPT? Ransomware Alpha

Si has observado que tu equipo ha estado comportándose de forma poco habitual y, súbitamente, tus archivos personales tienen todos la extensión .ENCRYPT, es muy probable que hayas sido afectado por el ransomware Alpha.

Se ha descubierto una posible solución y se ha desarrollado una herramienta que permite recuperar los archivos con extensión .ENCRYPT. Le damos las gracias a Michael Gillespie, Katja Hahn, S!Ri y al equipo MalwareHunterTeam, por descubrir este ransomware inicialmente.

El original ransomware Alpha

El llamado ransowmare Alpha cifra tus archivos de una forma bastante extraña. En un post de Bleeping Computer, Lawrence Abrams explica que, tras infectar un ordenador con éxito, Alpha guarda su ejecutable en el proceso svchost.exe, concretamente en %APPDATA%\Windows\svchost.exe.

Además, este crea un autorun llamado Microsoft, que permite al ransowmare continuar ejecutándose, incluso entre reinicios del equipo, asegurándole persistencia.

Una vez hecho lo anterior, comienza el proceso de cifrado del cryptoware. Pero Alpha no es otro ransomware más, sino que se observa lo siguiente:

Este ransomware tiene una rutina de cifrado ciertamente curiosa. En el disco de sistema, que normalmente es la unidad C:, sólo se cifrarán ciertos tipos de archivo ubicados en Escritorio, Mis imágenes y en la carpeta Cookies. Todas las otras carpetas del disco de sistema se dejarán intactas.

¿Significa esto que Alpha apenas encriptará unos cuantos archivos? No, de hecho son hasta 249 las extensiones de archivo que el crypto ransomware cifrará, aplicando un mecanismo AES-256 para intercambio de claves. El resultado, tras pasar por la fase anterior, serán los archivos con extensión .ENCRYPT.

En el resto de los discos duros y discos de red mapeados en nuestro equipo, sin embargo, Alpha cifrará todo lo que encuentre como hemos descrito anteriormente. Una vez haya acabado con todo aquello que considera de valor, será cuando muestre su verdadero rostro y nos solicite 40 $ en tarjetas regalo de iTunes.

Ransomware TrueCrypter con demandas similares
Ransomware TrueCrypter con demandas similares

Demanda de pago de este ransomware

Lo que veremos en la nota de pago es algo como lo que sigue (en su idioma original):

Greetings,

We’d like to apologize for the inconveniences, however; your computer has been locked. In order to unlock it, you have to complete the following steps:

1. Buy iTunes Gift Cards for a total amount of $400.00

2. Send the gift codes to the indicated e-mail address

3. Receive a code and a file that will unlock your computer.

Please note:,

– The nominal amount of the particular gift card doesn’t matter, yet the total amount have to be as listed above.

– You can buy the iTunes Gift Cards online or in any shop. The codes must be correct, otherise, you won’t receive anything.

– After receiving the code and the security file, your computer will be unlocked and will never be locked again.

Sorry for the inconveniences caused.

Personalmente, me encanta la parte que dice “Siento las molestias causadas” 😀 así que, por favor, aseguraos de no tener que perdonar ninguna molestia. Alpha es el tercer ransomware diferente que solicita pago mediante tarjetas regalo, una moda creciente en las últimas semanas. Hasta ahora la opción preferida era el Bitcoin en un 99,99% de casos.

Otros ejemplo de este tipo de demandas de tarjeta regalo podemos encontrarlos en el ransomware TrueCrypter o CyberPolice. El primero solicita tarjetas regalo de Amazon, mientras el segundo hace lo propio con iTunes. Estos dos, sin embargo, han sido malware débiles y no han supuesto finalmente mucho más que un dolor de cabeza pasajero.

Es posible recuperar archivos con extensión .ENCRYPT

Un fallo en el código de Alpha ha impedido que los emails de aquellos a los que las víctimas debían pagar sean listados correctamente. Pero eso no importa, porque se ha encontrado un fallo aún más grave en esta muestra, que ha permitido finalmente lanzar una herramienta de recuperación de archivos cifrados por Alpha.

Es posible recuperar archivos con extensión .ENCRYPT
Alpha Decryptor

Cualquier persona afectada por la extensión .ENCRYPT debería descargar la herramienta de recuperación de Gillespie.

Si en algún momento dejase de funcionar, siempre podréis intentar recurrir al clásico método de las Shadow Copies de Windows…

previous-versions

Conclusiones

No tenemos muy claro si Alpha, TrueCrypter y Cyber.Police son ransomware conectados de alguna forma. Es posible que se trate del mismo individuo (o grupo de individuos) en las 3 variantes. En cualquier caso, parece que se trata de amateurs, pues no parece muy inteligente pretender cobrar un rescate por tus archivos en tarjetas regalo.

Deja tu comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s