CyberArk ha dado un paso significativo en la lucha contra el ransomware al lanzar una versión en línea de ‘White Phoenix’, un descifrador de ransomware de código abierto diseñado para combatir operaciones que utilizan encriptación intermitente.
A pesar de que la herramienta está disponible de forma gratuita en GitHub como un proyecto en Python, CyberArk reconoció la necesidad de una versión en línea para atender a las víctimas de ransomware menos familiarizadas con la tecnología.
Sencillo Proceso de Recuperación de Archivos
Utilizar el White Phoenix en línea es sencillo. Los usuarios deben cargar sus archivos, hacer clic en el botón “recuperar” y permitir que la herramienta restaure los datos encriptados.
Actualmente, la herramienta es compatible con varios tipos de archivos, como PDF, documentos de Word y Excel, archivos ZIP y PowerPoint. Sin embargo, es importante tener en cuenta que la versión en línea tiene un límite de tamaño de archivo de 10 MB. Para archivos más grandes o máquinas virtuales, la versión de GitHub sigue siendo la opción preferida.
Comprendiendo las Oportunidades de Encriptación Intermitente
La encriptación intermitente es una táctica empleada por varias operaciones de ransomware, como Blackcat/ALPHV, Play, Qilin/Agenda, BianLian y DarkBit.
White Phoenix se dirige específicamente a las víctimas afectadas por estas cepas. Este método acelera la encriptación de dispositivos al encriptar parcialmente los archivos de la víctima, permitiendo que los actores de amenazas aceleren sus ataques mientras dejan a las víctimas con opciones limitadas para la restauración de datos sin pago.
La debilidad de la encriptación intermitente radica en dejar importantes fragmentos de datos no encriptados en un archivo. White Phoenix aprovecha esta debilidad al intentar recuperar texto en documentos mediante la concatenación de partes no encriptadas y la reversión de la codificación hexadecimal y el enmascaramiento de caracteres (CMAP).
Limitaciones y Recomendaciones
Es fundamental reconocer que White Phoenix, al ser una herramienta automatizada para la restauración de datos, puede no funcionar de manera perfecta para todos los tipos de archivos y variantes de ransomware.
CyberArk aconseja que ciertas cadenas dentro de los archivos deben ser legibles para que el descifrador funcione correctamente. Por ejemplo, los archivos ZIP deben contener la cadena “PK\x03\x04”, y los PDF deben incluir “0 obj” y “endobj”.
Si bien White Phoenix puede no restaurar sistemas completos, resulta valioso para recuperar archivos individuales o extraer datos. Dada la ausencia de descifradores de trabajo para las familias de ransomware mencionadas, el uso de White Phoenix es un intento valioso.
Para los usuarios que manejan información sensible, se recomienda descargar White Phoenix desde GitHub y utilizarlo localmente para evitar cargar documentos sensibles en los servidores de CyberArk.