Si su computadora ha sido infectada con PyLocky Ransomware y está buscando una herramienta gratuita de desencriptación de ransomware para desbloquear o desencriptar sus archivos, su búsqueda podría terminar aquí.

El investigador de seguridad Mike Bautista de la unidad de inteligencia cibernética Talos de Cisco ha lanzado una herramienta gratuita de descifrado que permite a las víctimas infectadas con el ransomware PyLocky desbloquear sus archivos cifrados de forma gratuita sin tener que pagar ningún rescate.

La herramienta de descifrado funciona para todos, pero tiene una gran limitación: para recuperar con éxito sus archivos, debe haber capturado el tráfico de red inicial (archivo PCAP) entre el ransomware de PyLocky y su servidor de comando y control (C2), que generalmente nadie lo hace a propósito.

Esto se debe a que la conexión de salida (cuando el ransomware se comunica con su servidor C2 y envía información relacionada con la clave de descifrado) contiene una cadena que incluye tanto el Vector de inicialización (IV) como una contraseña, que el ransomware genera aleatoriamente para cifrar los archivos.

«Si el tráfico inicial de C2 no se ha capturado, nuestra herramienta de descifrado no podrá recuperar los archivos en una máquina infectada. Esto se debe a que el malware utiliza el reclamo inicial para enviar la información de los servidores C2 que utiliza en el proceso de cifrado. , «explica el investigador.

Descubierto por primera vez por investigadores de Trend Micro en julio del año pasado, el ransomware de PyLocky descubrió la propagación a través de correos electrónicos no deseados, como la mayoría de las campañas de malware, diseñadas para engañar a las víctimas para que ejecuten la carga maliciosa de PyLocky.

Pylocky ransomware nota

Para evitar la detección por parte del software de seguridad de la zona de pruebas, el ransomware de PyLocky duerme durante 999.999 segundos, o un poco más de 11 días y medio, si el tamaño total de la memoria visible del sistema afectado es inferior a 4 GB. El proceso de cifrado de archivos solo se ejecuta si es mayor o igual a 4GB.

Escrito en Python y empaquetado con PyInstaller, el ransomware de PyLocky primero convierte cada archivo al formato base64 y luego utiliza el Vector de Inicialización (IV) generado aleatoriamente para cifrar todos los archivos en una computadora infectada.

Una vez que una computadora está encriptada, PyLocky muestra una nota de rescate que dice ser una variante del conocido ransomware Locky y exige un rescate en criptomoneda para «restaurar» los archivos.

La nota también afirma que dobla el rescate cada 96 horas si no pagan para asustar a las víctimas para que paguen el rescate más temprano que tarde.

PyLocky se enfocó principalmente en negocios en Europa, particularmente en Francia, aunque las notas de rescate estaban escritas en inglés, francés, coreano e italiano, lo que sugería que también podría haber apuntado a usuarios de habla coreana e italiana.

Puede descargar la herramienta de descifrado de ransomware PyLocky de GitHub de forma gratuita y ejecutarla en su computadora con Windows infectada.

Aunque el ransomware no sea tan alto como el Locky , WannaCry , NotPetya y LeakerLocker difundieron los ataques de ransomware en 2017. Se recomienda encarecidamente a individuos y empresas que sigan las medidas de prevención mencionadas a continuación para protegerse.

Tenga cuidado con los correos electrónicos de phishing: siempre sospeche de los documentos no solicitados que se envían por correo electrónico y nunca haga clic en los enlaces dentro de esos documentos a menos que se verifique la fuente.

Realice copias de seguridad regularmente: para tener siempre un control estricto de todos sus archivos y documentos importantes, mantenga una buena rutina de copia de seguridad en su lugar que haga sus copias en un dispositivo de almacenamiento externo que no siempre esté conectado a su PC.

Mantenga su software antivirus y su sistema actualizados: Mantenga siempre su software y sistemas antivirus actualizados para protegerse contra las amenazas más recientes.

Fuente: thehackernews.com

Compartir