Según Check Point, el ransomware ocupa el lugar de los troyanos bancarios

El "cifrado" usado por el ransomware es un cifrado de flujo que utiliza una clave elegida por azar de una lista de 1000 claves codificadas en el código binario de RansomWarrior. El equipo de Check Point Research pudo extraer las claves y, al estar alojada la contraseña  en el mismo dispositivo de la víctima, pueden obtenerse las claves correctas para desbloquear el ransomware.

Al parecer, el ransomware está tomando el relevo al malware bancario, sobre todo debido a su alta efectividad. Es posible que los ciberataques a gran escala comiencen a incluir el ransomware como parte de su operación, evitando que el usuario se pueda defender.

Sin embargo, debido a que este tipo de amenazas continúa evolucionando, es muy probable que en el futuro próximo aparecerán otras variantes capaces de inutilizar todo el terminal, a pesar de que el usuario lo resetee. Además, se podrán bloquear los dispositivos de almacenamientos conectados, que con frecuencia contienen datos muy valiosos.

Para desencriptar RansomWarrior hay que descargar la herramienta de descifrado https://research.checkpoint.com/wp-content/uploads/2018/08/RansomWarrior_Decryption_Tool.zip (Contraseña: ‘infected’) y seguir unos sencillos pasos:

- Ejecutar y dar permisos de administrador a la herramienta.

- Esperar a que aparezca el mensaje de la imagen.

- Ir al aviso del virus y hacer clic en “Get Your Important Files Back”.

- Una vez que se complete el proceso de descifrado, se recibe el mensaje de confirmación.