Cómo restaurar los archivos perdidos de ransomware crypboss

Hay una gran noticia para cualquier persona afectada por el ransomware CrypBoss, HydraCrypt y UmbreCrypt. Fabian Wosar, investigador de la squared, ha logrado la ingeniería inversa de ellos, y en el proceso de lanzar un programa que es capaz de descifrar los archivos que de otra manera se perderían.

Estos tres programas de malware son muy similares. Esto es lo que necesita saber acerca de ellos, y cómo puede obtener los archivos de nuevo.

Conocer a la familia CrypBoss

la creación de malware ha sido siempre una industria de mil millones dólares. los desarrolladores de software malintencionados escribir nuevos programas de malware, y una subasta a los criminales organizados en los alcances de dingiest la web oscura.Journey Into The Hidden Web: Una guía para nuevos investigadoresJourney Into The Hidden Web: Una guía para nuevos investigadoresEste manual le llevará en un recorrido a través de los muchos niveles de la web profunda: las bases de datos e información disponible en revistas académicas. Por último, vamos a llegar a las puertas de Tor.Lee mas

Estos criminales luego distribuirlos a lo largo y ancho, en el proceso de infectar miles de máquinas, y hacer una impíos cantidad de dinero.

Parece que es lo que ha pasado aquí.

Tanto HydraCrypt y UmbreCrypt son variantes de otro programa de malware llamado CrypBoss ligeramente modificadas. Además de tener un ancestro común, que también están distribuidos a través del pescador Exploit Kit, que utiliza el método de descargas no autorizadas para infectar a las víctimas. Dann tiene Albright escrito extensamente acerca de paquetes de exploits en el pasado.Así es como ellos Hack: el turbio mundo de paquetes de exploitsAsí es como ellos Hack: el turbio mundo de paquetes de exploitsLos estafadores pueden utilizar paquetes de software para aprovechar las vulnerabilidades y crear malware. Pero ¿cuáles son éstos explotan los kits? ¿De dónde vienen? Y cómo pueden ser detenidos?Lee mas

Ha habido mucha investigación en la familia CrypBoss por algunos de los nombres más importantes en la investigación de la seguridad informática. El código fuente para CrypBoss se filtró el año pasado en Pastebin, y fue devorado casi de inmediato por la comunidad de seguridad. La semana pasada, McAfee publicó uno de los mejores análisis de HydraCrypt, que explica cómo funciona en sus niveles más bajos.

Las diferencias entre HydraCrypt y UmbreCrypt

En términos de su funcionalidad esencial, HydraCrypt y UmbreCrypt ambos hacen lo mismo. Cuando se infectan primero un sistema, que comienzan el cifrado de archivos basados ​​en su extensión de archivo, utilizando una forma fuerte de cifrado asimétrico.

También tienen otras conductas no básicos que son bastante comunes dentro del software ransomware.

Por ejemplo, ambos permiten al atacante cargar y ejecutar software adicional para la máquina infectada. Tanto eliminar las instantáneas de los archivos cifrados, lo que hace imposible restaurarlos.

Quizás la mayor diferencia entre los dos programas es la forma en que “rescate” los archivos de nuevo.

UmbreCrypt es muy materia-de-hecho. Se le dice a las víctimas que han sido infectados, y no hay ninguna posibilidad de que van a tener en sus archivos de nuevo sin cooperar. Para la víctima para iniciar el proceso de descifrado, tienen que enviar un correo electrónico a una de las dos direcciones. Estos están alojados en “engineer.com” y “consultant.com”, respectivamente.

Poco después, alguien de UmbreCrypt responderá con la información de pago. El aviso ransomware no le dice a la víctima la cantidad que van a pagar, a pesar de que dice a la víctima que la cuota se multiplicará si no se pagan dentro de las 72 horas.

Vídeo: Ransomware Removal Kit, recupera los datos encriptados informaticovitoria.com

Hilarante, las instrucciones proporcionadas por UmbreCrypt dicen que la víctima no enviarlas por correo electrónico con “amenazas y grosería”. Incluso proporcionan un formato de correo electrónico de la muestra para las víctimas de usar.

HydraCrypt difiere ligeramente en la forma en que su nota de rescate es lejos más amenazante.

Dicen que a menos que la víctima no paga en 72 horas, van a emitir una sanción. Esto puede ser un aumento de rescate, o la destrucción de la clave privada, lo que hace imposible para descifrar los archivos.

También amenazan a liberar la información privada, archivos y documentos de los que no pagan en la web oscura. Esto hace que sea un poco de una rareza entre ransomware, ya que tiene una consecuencia que es mucho peor que no tener los archivos de nuevo.Aquí está lo mucho que su identidad podría valer en la Web OscuroAquí está lo mucho que su identidad podría valer en la Web OscuroEs incómodo para pensar en sí mismo como una mercancía, pero todos sus datos personales, de nombre y dirección a los detalles de la cuenta bancaria, valen algo que los criminales en línea. ¿Cuanto vales?Lee mas

Cómo obtener los archivos de nuevo

Como hemos mencionado anteriormente, de Emisoft Fabian Wosar ha sido capaz de romper el cifrado utilizado, y ha lanzado una herramienta para obtener los archivos de nuevo, llamado DecryptHydraCrypt.

Para que funcione, es necesario tener dos archivos en la mano. Estos deben ser cualquier archivo cifrado, además de una copia sin cifrar de ese archivo. Si usted tiene un documento en el disco duro que copia a Google Drive o su cuenta de correo electrónico, utilizar esto.

Alternativamente, si no tiene esto, sólo tiene que buscar un archivo PNG cifrada, y utilizar cualquier otro archivo PNG al azar que o bien crear usted mismo, o se descargan de Internet.

Vídeo: POSIBILIDAD RECUPERAR CUALQUIER ARCHIVO ENCRIPTADO

A continuación, arrastrar y soltar en la aplicación de descifrado. Va a continuación, una patada en acción, y empezar a tratar de determinar la clave privada.

Usted debe ser advertido de que esto no será instantánea. El descifrador va a hacer un poco de matemática bastante complicado obtener su clave de descifrado, y este proceso podría potencialmente llevar varios días, dependiendo de su CPU.

Una vez que se elaboró ​​la clave de descifrado, que va a abrir una ventana y le permiten seleccionar las carpetas cuyo contenido desea descifrar. Esto funciona de forma recursiva, por lo que si usted tiene una carpeta en una carpeta, sólo tendrá que seleccionar la carpeta raíz.

Vale la pena señalar que HydraCrypt y UmbreCrypt tienen un defecto, en los últimos 15 bytes de cada archivo cifrado están dañados irreparablemente.

Vídeo: Esta herramienta recupera tus archivos secuestrados por ransomware sin pagar +

Esto no debería molestarle demasiado, ya que estos bytes se utilizan generalmente para el relleno o los metadatos no esenciales. Pelusa, básicamente. Pero si usted no puede abrir los archivos descifrados, tratar de abrirlos con un archivo de herramientas de restauración.

¿Sin suerte?

Hay una posibilidad de que esto no va a funcionar para usted. Eso podría ser para un número de razones. Lo más probable es que usted está tratando de ejecutarlo en un programa de ransomware que no es HydraCrypt, CrypBoss o UmbraCrypt.

Otra posibilidad es que los creadores de malware modificaron para utilizar un algoritmo de cifrado diferente.

En este punto, usted tiene un par de opciones.

Vídeo: Recuperar archivos encriptados por Virus en Windows 7

La apuesta más rápida y más prometedor es para pagar el rescate. Esto varía un poco, pero en general se sitúa alrededor de los $ 300, y verá sus archivos restaurados en unas pocas horas.

No hace falta decir que usted está tratando con el crimen organizado, así que no hay garantías de que realmente van a descifrar los archivos, y si usted no es feliz, usted tiene ninguna posibilidad de conseguir un reembolso.

También debe considerar el argumento de que el pago de estos rescates perpetúa la propagación de ransomware, y continúa para que sea económicamente rentable para los desarrolladores escribir programas ransomware.

La segunda opción es esperar con la esperanza de que alguien va a liberar una herramienta de descifrado para el malware que ha sido golpeado con. Esta ocurrido con cryptolocker, cuando las claves privadas se han filtrado desde un servidor de comando y control. A continuación, el programa de descifrado fue el resultado de código fuente se filtró.Cryptolocker es muerto: He aquí cómo usted puede conseguir los archivos de nuevo!Cryptolocker es muerto: He aquí cómo usted puede conseguir los archivos de nuevo!Lee mas

No hay garantía para este embargo. Muy a menudo, no hay una solución tecnológica para obtener los archivos de nuevo sin tener que pagar un rescate.

La prevención es mejor que curar

Por supuesto, la forma más eficaz de tratar con los programas de ransomware es para asegurarse de que no está infectado en el primer lugar. Al tomar algunas precauciones simples, como correr un antivirus totalmente actualizados, y no la descarga de archivos desde lugares sospechosos, puede mitigar las posibilidades de contraer la infección.

¿Estaba afectado por HydraCrypt o UmbreCrypt? ¿Ha conseguido obtener los archivos de nuevo? Déjame saber abajo en los comentarios.