Investigadores de seguridad han revelado hoy un hallazgo vergonzoso para el grupo hacktivista pro-ruso CyberVolk. Su nueva variante de ransomware, llamada VolkLocker, contiene un “error fatal” de implementación que permite a las víctimas recuperar todos sus archivos sin pagar un solo centavo.
El “Bug” de la Llave Maestra
Normalmente, el ransomware genera una clave única para cada víctima y la envía al atacante antes de borrarla del equipo. VolkLocker, sin embargo, comete dos errores garrafales:
- La llave bajo el tapete: El malware escribe la clave maestra de descifrado (AES-256) en un archivo de texto plano dentro de la carpeta temporal del usuario (%TEMP%).
- Código Hardcodeado: En algunas versiones, la misma clave maestra estaba incrustada directamente dentro del código del ejecutable, lo que significa que todos las víctimas de esa campaña compartían la misma contraseña.
El archivo que debes buscar si has sido infectado se llama system_backup.key y se encuentra en C:Users[TuUsuario]AppDataLocalTemp.
¿Quién es CyberVolk?
CyberVolk es un grupo que ha intentado transicionar del hacktivismo político (ataques DDoS, desfiguración de webs) al crimen financiero (Ransomware-as-a-Service). Este fallo demuestra que, aunque tienen la voluntad de extorsionar, su capacidad de desarrollo de software (OpSec) es muy inferior a la de grupos profesionales como LockBit o Cl0p.
No reinicies ni limpies todavía
Este caso resalta una regla de oro en la Respuesta a Incidentes: No borres nada hasta analizar. Si una víctima de VolkLocker hubiera ejecutado un antivirus o una herramienta de limpieza de archivos temporales (como CCleaner) inmediatamente después de la infección, habría borrado el archivo system_backup.key, perdiendo la única oportunidad de descifrar sus datos gratis.
La diferencia entre RaaS y Hacktivismo
Este incidente ilustra la brecha de calidad. Los grupos de Ransomware-as-a-Service (RaaS) invierten millones en desarrollo para asegurarse de que su cifrado sea inquebrantable. Los hacktivistas, a menudo impulsados por ideología y con menos recursos, tienden a reutilizar código o cometer errores de lógica como este.
¿Qué hacer si te infectas con VolkLocker?
- Aísla el equipo: Desconéctalo de la red.
- Busca la llave: Navega a la carpeta %TEMP% y busca archivos .key o de texto creados recientemente.
- Usa un Decryptor: Es probable que compañías como Emsisoft o Avast publiquen una herramienta automática en las próximas horas que busque esta llave y descifre todo por ti.
