Saltar al contenido

Ya hay decrypter para el ransomware Tycoon que afecta Windows y Linux

Ya hay decrypter para el ransomware Tycoon que afecta Windows y Linux

El laboratorio de productos antimalware Emsisoft ha lanzado recientemente un decryptor para el ransomware Tycoon. Esto es, una herramienta que con un poco de suerte y en ciertos casos puede devolverte el acceso a tus preciados ficheros.

Intento compartir soluciones contra el ransomware siempre que puedo. Si fuiste uno de los afectados por este malware de tipo ransom que apareció hace poco tiempo, podrás evitar la poco recomendable tentación de pagar.

Tycoon es un ransomware basado en Java y operado de forma manual por terceros, aparentemente ataca empresas de tamaño medio-pequeño y normalmente se difunde mediante ataques al protocolo RDP. Una de sus características interesantes es que está basado en Java.

Tyccon, ransomware multi-plataforma

Este ransomware Tycoon, descubierto y bautizado así por la división de ciberseguridad de BlackBerry junto con KPMG, es un malware multiplataforma basado en tecnología Java que puede afectar de igual manera a equipos con Windows o Linux.

Fases del ataque

  1. Primero se ataca el sistema mediante una posible vulnerabilidad contenida en RDP o Escritorio Remoto, tan típico en clientes y servidores Windows.
  2. Se despliega de forma manual contenido en un archivo comprimido en ZIP con un entorno de JRE (Java Runtime Environment) troyanizado en su interior.

Este malware se ha estado utlilizando durante los últimos 6 meses, pero de forma bastante selectiva, empleándose en ataques dirigidos.

Te puede interesarCambiar puerto predefinido para RDP

tycoon-ransomware-1

Si tomamos como ejemplo uno de los ciberataques realizados contra una empresa, vemos que el ransomware se introdujo en la misma e inmediatamente se colocó un backdoor para garantizar persistencia. Además, se desactivó el servicio antimalware local.

Tras llevar a cabo labores forenses, se apreció que la infección inicial sucedió a través de un servidor de salto con puerto RDP expuesto a internet.

BlackBery/KPMG

Examinando los dispositivos cifrados se observó lo siguiente:

  • Se empleó una técnica de ataque conocida como IFEO que consiguió persistencia en el sistema, añadiendo un backdoor o puerta trasera a la utilidad OSK o Teclado en pantalla de Microsoft Windows.
  • Después se modificaron contraseñas en directorio activo de la empresa para negarles acceso
  • Se empleó ProcessHacker para desactivar la solución antimalware de la empresa

Hecho esto, se desencadenó la última fase consistente en desplegar el módulo basado en Java para cifrar todos los archivos locales y unidades remotas conectadas en red.

Descifrado y limitaciones

Emsisoft ha publicado una utilidad que podéis descargar en su web oficial.

En palabras de Emsisoft acerca de la efectividad de este decrypter sobre el ransomware:

La herramienta únicamente funciona para ficheros cifrados por la variante original de Tycoon, no para archivos afectados por alguna variante posterior.

Emsisoft

Es decir, que lo podremos usar con garantías de éxito en archivos con extensión .RedRum, pero otras extensiones como .thanos o .grinch no podrán ser recuperadas utilizando este método.

IOC

Ransom note

ya-hay-decrypter-para-el-ransomware-tycoon-que-afecta-windows-y-linux

IMAGE module (lib\modules):
eddc43ee369594ac8b0a8a0eab6960dba8d58c0b499a51a717667f05572617fb

Email Addresses:

  • pay4dec[at]cock[.]lu
  • dataissafe[at]protonmail[.]com
  • dataissafe[at]mail[.]com
  • foxbit[at]tutanota[.]com
  • moncler[at]tutamail[.]com
  • moncler[at]cock[.]li
  • relaxmate[at]protonmail[.]com
  • crocodelux[at]mail[.]ru
  • savecopy[at]cock[.]li
  • bazooka[at]cock[.]li
  • funtik[at]tutamail[.]com
  • proff-mariarti[at]protonmail[.]com

Extensiones de archivos cifrados

  • thanos
  • grinch
  • redrum

Firmas de archivos cifrados:

  • happyny3.1
  • redrum3_0

Clave pública RSA (versión happyny3.1):

-----BEGIN PUBLIC KEY-----

MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDa+whJSxr9ngcD1T5GmjDNSUEY
gz5esbymvy4lE9g2M3PvVc9iLw9Ybe+NMqJwHB8FYCTled48mXQmCvRH2Vw3lPkA
TrQ4zbVx0fgEsoxekqtb3GbK2NseXEeavCi5lo5/jXZi4Td7nlWTu27CluyxRSgv
L0O19CwzvckTM91BKwIDAQAB
-----END PUBLIC KEY-----

Clave privada RSA (versión redrum3_0):

-----BEGIN RSA PRIVATE KEY-----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-----END RSA PRIVATE KEY-----

Más información

Alejandro Ver todo

Trabajo como consultor de ciberseguridad y me gusta lo que hago. Aficionado a la informática / tecnología en general, me gusta compartir con la gente lo poco que sé. También soy aficionado al deporte y los videojuegos.

Deja tu comentario (puedes hacerlo de forma anónima)

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios .

A %d blogueros les gusta esto: