EMISOFT Decrypter una herramienta para la recuperación de archivos cifrados por LooCipher
Navegando por la red me encontré con una excelente aplicación que desde mi perspectiva vale la pena compartir, pues a pesar de no tratarse de Linux o algo al respecto. Esta aplicación es de esas que se deben tener en cuenta.
Los ataques de ransomware y sus variantes se están volviendo más comunes y tienen efectos devastadores en empresas de todos los tamaños. El impacto financiero real del delito cibernético en general y del ransomware en particular, es difícil de evaluar.
Sobre LooCipher
LooCipher es uno de esos ransomware. Descubierto por un investigador de seguridad, se usa activamente para infectar a los usuarios. El software se distribuye a través de campaña de spam que se esconde como un archivo .docm llama Info_BSV_2019.docm .
LooCipher se instala a través de documentos de Word maliciosos que descargan el ejecutable y lo ejecutan. Una vez ejecutado, el ransomware cifrará los datos de una víctima y agregará la extensión .lcphr a los nombres de los archivos cifrados.
El ransomware luego mostraría una pantalla de descifrado LooCipher que contiene una cuenta regresiva hasta que supuestamente se eliminará su clave.
Básicamente como cualquier ransomware moderno se le pide a la víctima que realice un pago en Bitcoins y luego use el mismo programa con el que se realizo todo esto para descifrar sus archivos una vez que se complete el pago.
Este le proporciona a la victima un botón para verificar si se ha realizado un pago.
Este sitio de pago se encuentra en la red Tor y solo puede realizar el pago en Bitcoins. Aunque esta infección tiene numerosas similitudes con CryptoLocker o CryptorBit , no hay evidencia de que estén relacionados.
Para comprar el descifrador para los archivos, se debe pagar un rescate de $ 500 USD en Bitcoins. Si no paga el rescate dentro de los 4 días, se duplicará a $ 1,000 USD. También afirman que si no compras un descifrador dentro de un mes, eliminarán tu clave privada y ya no podrás descifrar tus archivos.
EMISOFT Decrypter una herramienta para este mal
Con la finalidad de apoyar a las personas que se encuentran dentro de este problema, recientemente Emsisoft anunció esta semana la publicación de un descifrador para LooCipher creado por Michael Gillespie con la ayuda de Francesco Muroni que permite a las víctimas descifrar sus archivos de forma gratuita.
Antes de usar la herramienta, se recomienda asegurarse de haber eliminado el malware de su computadora, algo que puede hacer con la versión gratuita de Emsisoft Anti-Malware. También debe asegurarse de no eliminar la nota de rescate (“!!! READ_IT !!!. Txt”) o el descifrador no funcionará.
¿Cómo utilizarlo ?
Una vez descargado, basta con ejecutar el programa con privilegios de administrador para descifrar todos los archivos a los que se dirige el ransomware.
Una vez que comience, solo tendrán que aceptar los términos del acuerdo de licencia y estarán en la pantalla de Bruteforcer.
Aquí el descifrador requiere una conexión a Internet y el acceso a un par de archivos que consiste en un archivo cifrado y la versión original no cifrada del archivo cifrado para reconstruir las claves de cifrado necesarias para descifrar el resto de sus datos.
Se recomienda que no se cambien los nombres de archivo de los archivos originales y cifrados, ya que el descifrador puede realizar comparaciones de nombres de archivos para determinar la extensión de archivo correcta utilizada para los archivos cifrados.
Cuando se encuentra la clave, se mostrará un mensaje diciéndonos que se encontró la clave.
Aquí solo tendrán que dar clic en Aceptar para continuar.
Después de hacer clic en Aceptar en el mensaje anterior, la herramienta se reiniciará con la clave ya cargada. Haga clic en el botón Agregar carpeta para agregar las carpetas que contienen los archivos cifrados:
Cuando hayan terminado, hagan clic en el botón Descifrar para comenzar el proceso de descifrado de archivos. En este punto, la herramienta buscará archivos con la extensión ‘ .lcphr ‘ en las ubicaciones definidas anteriormente y eliminará automáticamente el cifrado.