Cryptolocker, ransomware que cifra todos tus ficheros

El Ransomware llegaba mediante un enlace, en un mansaje que adjuntaba un enlace al dominio correos24.net, donde te descarga un fichero zip en el que se incluye un ejecutable con una evolución de Cryptolocker. Este malware cifra todos tus ficheros, incluso los ficheros en servidores de la red.

Una vez cifrados, los ficheros quedan con la extensión .encrypted y, de momento, no hay ningúna aplicación capaz de descifrar los ficheros, ni el servicio Decryptolocker desarrollado por FireEye, ni la aplicación TorrentUnlocker que, si bien es capaz de descifrar el fichero de muestra que utilizamos para encontrar la clave, después no es capaz de descifrar el resto.

La mejores manera de recuperar los ficheros són:

- Recuperando un backup anterior a la ejecución de dicho malware.
- Ejecutando una restauración de Windows anterior a la encriptación de los ficheros. Esta solución sólo es válida para restaurar los ficheros locales de la máquina.
- Recuperando los ficheros desde las Shadow Copy (instantáneas de carpeta compartida de Windows), a partir de Windows 7 y windows 2008 eso sí, que debían estar habilitadas con anterioridad como explica el Technet de Microsoft

ACTUALIZACION A 30/01/2015

Ha aparecido una web gubernamental turca donde se puede descifrar los ficheros del TorrentLocker de correos24:

https://zar.sge.gov.tr/Decrypter/FileUpload

Lo hemos probado y funciona, aunque está limitado a 5 ficheros por ordenador. Esto abre la puerta a que en breve, publiquen algún software que permita descifrar los ficheros de forma masiva.

Información extraída de un comentario en este post de securitybydefault.com

ACTUALIZACION A 04/05/2015

Kaspersky está recopilando claves de descifrado. En la siguiente web, podéis poner vuestro bucket (bitcoin wallet) y te dice si tienen tus códigos para descifrar. En caso de que los tenga, con los códigos que te dan y su programa para descifrar, podéis descifrar los ficheros, si no los tienen, podéis ir accediendo con asiduidad ya que van actualizando su base de datos de códigos:

Para encontrar vuestro bucket (bitcoin wallet), debéis acceder al INSTRUCCIONES_DESCIFRADO.html que deja Cryptolocker con las instrucciones de descifrado, hacer clic en el enlace de "pagar para comprar el descifrado de los ficheros" y en la parte inferior derecha sale el bitcoin wallet.

Comentarios

Está bien lo de la web turca, como mínimo si tienes ficheros imprescindibles, los puedes descifrar. Lo he probado y funciona.Cuidado que cuando te baja el fichero .zip y te da la contraseña para descomprimirlo, copiad la contraseña y pasadla por el bloc de notas para quitarle el formato, ya que si copias la contraseña directamente desde el navegador y la pegas en el WinRar, 7zip, etc. no funciona.

Ya no funciona la web turca :(

Añadir nuevo comentario