Herramienta para recuperar los archivos cifrados por el ransomware Gomasom

Iniciado por Stiuvert, Enero 08, 2016, 05:55:27 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Enero 08, 2016, 05:55:27 AM Ultima modificación: Enero 08, 2016, 07:42:25 AM por rollth
Estas navidades está pegando fuerte un ransomware bautizado por You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login de You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login como Gomasom (GOogle MAil ranSOM) ya que utiliza direcciones de Gmail en los nombres de ficheros cifrados, por ejemplo [email protected]_.crypt, a los que los usuarios infectados deben escribir para seguir las intrucciones de "rescate".

El propio Fabian ha creado una herramienta muy sencilla decrypt_gomasom.exe(descargar You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login) que permite obtener la clave de descifrado simplemente arrastrando un fichero cifrado y el equivalente original sin cifrar:


You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Es decir, al menos necesitaremos un fichero original para poder recuperar el resto. Si no lo tenemos podríamos buscar por ejemplo un PNG de la instalación por defecto de Windows, obtenerlo de otro equipo o descargarlo de Internet y utilizarlo para obtener la clave.

Básicamente el programa realiza una fuerza bruta probando diferentes claves para obtener el mismo fichero cifrado, cuando la encuentre (puede llevar su tiempo) se nos mostrará una ventanita como la siguiente:


You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Y después de pulsar el botón OK nos aparecerá una ventana con el listado de directorios y ficheros a descifrar (si no aparece podemos añadirlo a mano):

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Finalmente pulsaremos el botón de descifrar y después del proceso se nos mostrarán los resultados:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Fuentes:
- You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
- You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Imprimir
Ir Arriba Páginas1
Acciones del Usuario