Ransomware locked- (Ransom.Win32.Rannoh)
Las primeras muestras nos llegaron el 5 de Mayo, aparte de la clásica imagen bloqueando el ordenador si no se paga una multa, y del resto de bloqueos similares a sus primos, esta variante de ransomware incorporo una particularidad que nos llamo mucho la atención…
Y es que esta vez, si cumple lo que promete! cifrando (encriptando) varios archivos al azar del equipo infectado mayores de 4096 bytes, añadiendo la palabra “locked-” antes del nombre del archivo y 4 caracteres aleatorios después de la extensiónoriginal del archivo, que los convierten en archivos inutilizables.
Kaspersky Labs ha desarrollo una pequeña utilidad gratuita llamada:RannohDecryptor con la cual es muy sencillo poder desencriptar los archivos.
1.- Descargar y ejecutar PoliFix by @InfoSpyware.
2.- Descargar y ejecutar RannohDecryptor.exe
3.- Haga clic en ‘Start Scan’ para comenzar el proceso y en la siguiente ventana presionar en continuar.
4.- ‘Specify the path to original file’ – Para iniciar el descifrado, la utilidad le pedirá que indique la ruta de al menos un archivo original (sin encriptar) que dispongamos en un USB, CD o podamos volver a descargar de Internet. Por ej: ErickClaptonHaven.mp3
5.- ‘Specify the path to encrypted file’ – En este paso indicamos el archivo que tenemos cifrado (encriptado) Por ej: loked-ErickClaptonHaven.mp3.mqhv
6.- RannohDecryptor calculara la clave y desencriptara el resto de los archivos de forma automática.
.
Los archivos originales y los encriptados no pesan lo mismo y el RannohDecriptor no funciona. Te da el mensaje "Encrypted file size does not equal to original" y no hace nada.
ResponderEliminar