![](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/88\/2016\/07\/05220512\/ded-cryptor-screen-ru.jpg\")
<\/p>\nHace poco, los angloparlantes y los rusohablantes fueron atacados con un nuevo troyano llamado Ded Cryptor. Es voraz y pide la cantidad de 2 bitcoins<\/i> (casi 1.200 \u20ac) para el rescate. Por desgracia, no hay disponible una soluci\u00f3n para descifrar y restaurar los archivos que Ded Cryptor ha secuestrado.<\/p>\n
Cuando un ordenador se infecta con Ded Cryptor, el malware<\/i> cambia el fondo de pantalla del sistema por una imagen de un Santa Claus de aspecto demon\u00edaco. Una imagen escalofriante y una petici\u00f3n de rescate, \u00bfverdad que se parece a cualquier otro ransomware<\/i>? Pero la historia de su origen es muy interesante, tipo thriller<\/i>, con buenos y malos pele\u00e1ndose, cometiendo errores y afrontando las consecuencias.<\/p>\n
<\/p>\n
Todo empez\u00f3 cuando Utku Sen<\/a>, un experto en seguridad de Turqu\u00eda, cre\u00f3 un tipo de ransomware<\/em> y public\u00f3 su c\u00f3digo <\/a>online<\/a><\/em>. Cualquiera pod\u00eda descargarlo de GitHub, un recurso web abierto y gratuito que los desarrolladores utilizan para colaborar en proyectos (el c\u00f3digo se borr\u00f3 m\u00e1s tarde, ahora entender\u00e1s por qu\u00e9).<\/p>\n Poner c\u00f3digo fuente a disposici\u00f3n de los delincuentes era una idea revolucionaria y estos, sin duda, lo usar\u00edan para crear sus propios cifradores (y as\u00ed lo hicieron). Pero Sen, un hacker<\/i> de sombrero blanco, crey\u00f3 que todo experto en ciberseguridad deb\u00eda comprender c\u00f3mo piensan los ciberdelincuentes y c\u00f3mo codifican. Cre\u00eda que su enfoque ayudar\u00eda a los buenos a oponerse a los malos con m\u00e1s eficacia.<\/p>\n Un proyecto anterior al ransomware<\/em> Hidden Tear tambi\u00e9n formaba parte del experimento de Sen. Desde el principio, el trabajo de Sen se desarrollaba con prop\u00f3sitos educativos y de investigaci\u00f3n. Con el tiempo, desarroll\u00f3 un nuevo tipo de ransomware<\/em> que pod\u00eda funcionar sin conexi\u00f3n<\/a>. Luego apareci\u00f3 EDA2, un modelo m\u00e1s potente.<\/p>\n EDA2 ten\u00eda un cifrado asim\u00e9trico mejor que el de Hidden Tear. Tambi\u00e9n pod\u00eda comunicarse con un servidor de mando y control y cifrar la clave que le transmit\u00eda. Adem\u00e1s, mostraba una imagen inquietante a la v\u00edctima.<\/p>\n El c\u00f3digo fuente de EDA2 tambi\u00e9n se public\u00f3 en GitHub, lo que atrajo mucha atenci\u00f3n y cr\u00edticas hacia Utku Sen, y con motivo. Con el c\u00f3digo fuente disponible de forma gratuita, los aspirantes a ciberdelincuentes, que ni siquiera sab\u00edan codificar bien, pod\u00edan usar el ransomware<\/i> de c\u00f3digo abierto de Sen para robar dinero. \u00bfAcaso no lo hab\u00eda pensado?<\/p>\n S\u00ed que lo hab\u00eda pensado: Sen hab\u00eda introducido puertas traseras en su ransomware<\/i> que le permit\u00edan acceder a las claves de descifrado. Esto significa que si su malware<\/i> era usado con fines maliciosos, podr\u00eda obtener la direcci\u00f3n URL del servidor de mando y control para extraer las claves y d\u00e1rselas a las v\u00edctimas. Pero hab\u00eda un problema: para descifrar sus archivos, las v\u00edctimas deb\u00edan conocer al hacker<\/i> de sombrero blanco y pedirle a \u00e9l las claves. La mayor\u00eda de las v\u00edctimas nunca hab\u00edan o\u00eddo hablar de Utku Sen.<\/p>\n Obviamente, los cifradores de terceros que se crearon con el c\u00f3digo fuente de Hidden Tear y de EDA2 no tardaron en aparecer. Sen se ocup\u00f3 de la primera versi\u00f3n m\u00e1s o menos con \u00e9xito: public\u00f3 la clave y esper\u00f3 a que las v\u00edctimas la encontraran. Pero las cosas no fueron tan bien con el segundo cifrador.<\/p>\n Magic, el ransomware<\/i> basado en EDA2, se parec\u00eda al original y no parec\u00eda ser interesante. Cuando Sen fue informado de \u00e9l, trat\u00f3 de extraer la clave de descifrado como ya hab\u00eda hecho (con la puerta trasera), pero no fue posible. Los ciberdelincuentes que usaban Magic hab\u00edan elegido un host<\/i> gratuito para hospedar su servidor de control y comando. Cuando el proveedor del host<\/i> recibi\u00f3 quejas sobre la actividad maliciosa, simplemente elimin\u00f3 la cuenta de los delincuentes y todos sus archivos. Cualquier oportunidad de obtener las claves de descifrado desapareci\u00f3 con los datos.<\/p>\n La historia no termina aqu\u00ed. Los creadores de Magic contactaron con Utku Sen<\/a> y su conversaci\u00f3n se convirti\u00f3 en una larga discusi\u00f3n larga p\u00fablica. Al principio ofrecieron la publicaci\u00f3n de la llave de descifrado si Sen acced\u00eda a borrar el c\u00f3digo fuente de EDA2 del dominio p\u00fablico y si, adem\u00e1s, les pagaba 3 bitocins<\/em>. Con el tiempo, ambas partes accedieron a dejar fuera del acuerdo el rescate.<\/p>\n Las negociaciones resultaron ser muy interesantes: los lectores conocieron la motivaci\u00f3n pol\u00edtica de los hackers<\/i> y supieron que casi publican la clave cuando se enteraron de que un hombre hab\u00eda perdido todas las fotos de su hijo reci\u00e9n nacido a causa de Magic.<\/p>\n Al final, Sen borr\u00f3<\/a> el c\u00f3digo fuente de EDA2 y de Hidden Tear de GitHub, pero era demasiado tarde: ya lo hab\u00edan descargado muchas personas. El 2 de febrero de 2016, el experto de Kaspersky Lab Jornt van der Wiel mencion\u00f3 en un art\u00edculo de SecureList<\/a> que hab\u00eda 24 cifradores basados en Hidden Tear y EDA2. Desde entonces, la cifra no ha hecho m\u00e1s que aumentar.<\/p>\n Ded Cryptor es uno de esos descendientes. Utiliza el c\u00f3digo abierto de EDA2, pero su servidor de comando y control se hospeda en Tor para una seguridad y privacidad mayores. El ransomware<\/em> se comunica con el servidor a trav\u00e9s del servicio tor2web<\/a> que permite a los programas usar Tor sin el navegador hom\u00f3nimo.<\/p>\n En cierto modo, Ded Cryptor, creado a partir de diferentes c\u00f3digos abiertos publicados en GitHub, nos recuerda al monstruo de Frankenstein. Los creadores tomaron prestado el c\u00f3digo para el servidor proxy de otro desarrollador de GitHub y el c\u00f3digo para enviar peticiones lo escribi\u00f3, inicialmente, otro desarrollador. Un aspecto inusual del ransomware<\/i> es que no env\u00eda peticiones directamente al servidor. En su lugar, instala un servidor proxy en el PC infectado y lo utiliza.<\/p>\n Por lo que sabemos, los desarrolladores de Ded Cryptor son rusohablantes porque, primero, la nota de rescate solo est\u00e1 en ingl\u00e9s y en ruso; y, segundo, el analista superior de Kaspersky Lab, Fedor Sinitsyn, analiz\u00f3 el c\u00f3digo del ransomware<\/i> y encontr\u00f3 la ruta del archivo C:UserssergeyDesktop\u0434\u043e\u0434\u0435\u043b\u0430\u0442\u044c<\/b>eda2-mastereda2eda2binReleaseOutputTrojanSkan.pdb. (Por cierto, el ransomware<\/i> Magic tambi\u00e9n lo crearon rusohablantes).<\/p>\n Por desgracia, poco se sabe de c\u00f3mo se expande Ded Cryptor. Seg\u00fan Kaspersky Security Network<\/a>, el ransomware<\/em> basado en EDA2 est\u00e1 activo principalmente en Rusia. Luego van China, Alemania, Vietnam y la India.<\/p>\n Tampoco hay disponible un m\u00e9todo para descifrar los archivos afectados por Ded Cryptor. Las v\u00edctimas pueden tratar de recuperar sus datos con un punto de restauraci\u00f3n<\/a> que el sistema haya creado. Pero la mejor protecci\u00f3n es la proactiva, ya que es mucho m\u00e1s f\u00e1cil prevenir la infecci\u00f3n que lidiar con las consecuencias.<\/p>\n![](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/88\/2016\/07\/05220511\/eda2-screenshot.jpg\")
<\/p>\nT\u00fa creaste el ransomware<\/i>, \u00a1paga t\u00fa el rescate!<\/b><\/h3>\n
C\u00f3mo surgi\u00f3 Ded Cryptor<\/b><\/h3>\n
![](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/88\/2016\/07\/05220511\/tear-geagraphy.jpg\")
<\/p>\n