Check Point desarrolla una herramienta gratuita para descifrar el ransomware Merry X-Mas

Check Point ha desarrollado una herramienta gratuita que permite recuperar sus datos a los usuarios afectados por el ransomware Merry X-Mas. Este malware cifra los archivos de sus víctimas y exige un rescate a través de una nota con diseño navideño en la que se puede leer “Merry X-Mas”.

El ransomware se distribuyó por primera vez el 3 de enero a través de una campaña de spam, con un falso email de la Comisión Federal de Comercio de Estados Unidos. Cuando el usuario hacía clic en el enlace del correo, descargaba un archivo comprimido con la extensión pdf.exe. Disfrazado como un archivo PDF, el fichero realmente servía para instalar Merry X-Mas.

El segundo asalto se produjo unos días después, el 8 de enero, camuflado como una citación judicial. En el cuerpo del mensaje aparecía un link para descargar un documento comprimido de Word, que contenía una macro maliciosa que instala tanto Merry X-Mas como el ladrón de información DiamondFox. Este malware es capaz de robar credenciales o datos de tarjetas de crédito, y también puede lanzar Ataques de Denegación de Servicio (DDoS) como parte de una gran botnet.

Merry X-Mas contacta con un servidor fijo (hardcoded). Si no llega una respuesta, utiliza una clave prefijada para cifrar los archivos de la víctima. El ransomware puede cifrar tanto el contenido del fichero como el nombre. Cuando lo hace, cambia sus extensiones a una de las siguientes: ‘.PEGS1’, ‘.MRCR1’, ‘.RARE1’, ‘.MERRY’ o ‘.RMCM1’. Si el hacker lo permite, el malware también puede cifrar los recursos de red compartidos.

Cuando se completa el proceso, aparece un archivo HTA (html-based) llamado “YOUR_FILES_ARE_DEAD.HTA” o “MERRY_I_LOVE_YOU_BRUCE.HTA” en cada carpeta que incluye los archivos cifrados. Al abrirlo, el usuario encuentra una nota de rescate.

El equipo de investigación de malware de Check Point ha estudiado el proceso de codificación de Merry X-Mas. Y ha desarrollado una herramienta para descifrarlo y que las víctimas puedan recuperar sus datos. Se distribuye de forma gratuita a través de su web.

Check Point es miembro del proyecto No More Ransom (NMR), cuyo objetivo es luchar contra la epidemia del ransomware. Por esta razón, sus herramientas de descifrado de archivos son de uso público.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *