Phobos y 8Base chantajearon al mundo. Ahora miles de archivos pueden recuperarse con un solo clic

Hasta hace poco, las víctimas del ransomware Phobos y 8Base tenían pocas esperanzas de recuperar sus datos sin pagar el rescate. Ambos cifradores eran considerados de los más resistentes y ampliamente usados en el mundo. Pero eso acaba de cambiar: la policía japonesa ha desarrollado y publicado un descifrador gratuito capaz de recuperar archivos encriptados.

Phobos apareció a finales de 2018 y se expandió rápidamente gracias al modelo "ransomware como servicio": sus desarrolladores alquilaban herramientas de ataque a terceros a cambio de una parte del rescate. Aunque los medios no hablaban tanto de él como de otras amenazas, se convirtió en una verdadera fábrica de ataques, dirigida principalmente a sistemas corporativos.

En 2023, uno de los grupos vinculados con Phobos lanzó su propio spin-off: 8Base, basado en una versión modificada del cifrador original. Pero con un giro aún más peligroso: además de cifrar los datos, también los robaban y amenazaban con publicarlos para aumentar la presión sobre la víctima.

El punto de inflexión llegó en 2024, con una operación internacional conjunta. Las autoridades de varios países lograron desmantelar parte de la infraestructura de Phobos y 8Base. Se arrestó a cuatro supuestos líderes de 8Base, se incautaron 27 servidores, y un ciudadano ruso sospechoso de coordinar las operaciones de Phobos fue extraditado a EE. UU., enfrentando 13 cargos criminales.

Se cree que los materiales incautados durante esa operación permitieron a Japón desarrollar el nuevo descifrador. Las autoridades lo han hecho público sin divulgar detalles técnicos. El programa puede descargarse desde el sitio oficial de la policía japonesa y también está disponible en la plataforma NoMoreRansom, con el apoyo de Europol. Incluye instrucciones en inglés.

⚠️ Atención: debido a la firma digital del archivo, algunos navegadores como Chrome y Firefox pueden marcar la descarga como potencialmente peligrosa. Es un falso positivo.

Actualmente, el descifrador es compatible con archivos con las extensiones .phobos, .8base, .elbie, .faust y .LIZARD, pero podría funcionar también con otras variantes. Si tienes archivos cifrados con otro nombre, vale la pena intentarlo: podría haber compatibilidad.

El medio BleepingComputer puso a prueba la herramienta: en una máquina virtual infectada con la última versión de Phobos (que añade el sufijo .LIZARD), el descifrador logró recuperar exitosamente los 150 archivos cifrados.

???? Cómo funciona:

1. Aceptas el acuerdo de licencia.
2. Si el sistema no soporta nombres de archivo largos, el programa te sugerirá cambiar la configuración y reiniciarse.
3. Indicas la carpeta con los archivos cifrados y la carpeta destino para los archivos recuperados.
4. Puedes procesar carpetas individuales o el disco completo — la estructura se restaurará completamente.

Al finalizar, el descifrador mostrará el número total de archivos recuperados. En los tests, no se detectaron errores.