CTB-Faker se está distribuyendo en estos momentos aprovechando las páginas web de contenido para adultos y pornográfico. A los usuarios se les propone que descarguen un fichero comprimido en ZIP que almacena un ejecutable. Una vez ejecutado ese fichero, el ransomware empieza a actuar sin dilación. Muchos de los ficheros del usuario se trasladan a un archivo comprimido en ZIP con contraseña en la ruta “C:Users.zip”.

ctb-faker.png

Para trasladar los ficheros al archivo ZIP con contraseña, el ransomware se vale del popular programa WinRAR. Una vez que ha concluido el proceso y todos los ficheros están “secuestrados” en el archivo comprimido cifrado, fuerza el reinicio del ordenador y muestra la habitual nota pidiendo un rescate para poder recuperarlos.

Según han podido comprobar los investigadores responsables de descubrir este ransomware, la cuenta Bitcoin utilizada para pedir el dinero de los rescates, habría recibido 577 bitcoin, unos 381.000 dólares en pagos. Aunque es posible que no todo el dinero venga de este ransomware, lo cierto es que se trata de una cantidad muy serie.

Es posible rescatar los ficheros secuestrados por el ransomware

La buena noticia es que es posible rescatar los ficheros secuestrados por el ransomware. Aunque CTB-Faker afirma utilizar un cifrado combinado de SHA-512 y RSA-4096, lo cierto es que utiliza el estándar de los ficheros comprimidos con WinRAR, es decir, AES-256. Los usuarios pueden conseguir descifrar el archivo comprimido con la ayuda de Lawrence Abrams de Bleeping Computer que se ha prestado voluntario a esta tarea.

Por suerte, este no es el ransomware más temible del planeta, aunque es posible que afecte a muchos usuarios por sus bajos conocimientos o dominio de la materia. Además, tampoco es el primero en secuestrar los ficheros mediante el uso de un fichero comprimido con contraseña. Esto es algo que ya intentaron Bart y CryptoHost (Manamecrypt), ambos ya totalmente descifrables en la actualidad.

 

Fuente: adslzone