Descifran el ransomware GoMaSom y permiten recuperar los datos
Estas navidades está pegando fuerte un ransomware bautizado por Fabian Wosar de Emsisoft como Gomasom (GOogle MAil ranSOM) ya que utiliza direcciones de Gmail en los nombres de ficheros cifrados, por ejemplo [email protected]_.crypt, a los que los usuarios infectados deben escribir para seguir las instrucciones de "rescate".
El propio Fabian ha creado una herramienta muy sencilla decrypt_gomasom.exe que permite obtener la clave de descifrado simplemente arrastrando un fichero cifrado y el equivalente original sin cifrar:
Es decir, al menos necesitaremos un archivo original para poder recuperar el resto. Si no lo tenemos podríamos buscar por ejemplo un PNG de la instalación por defecto de Windows, obtenerlo de otro equipo o descargarlo de Internet y utilizarlo para obtener la clave.
Básicamente el programa realiza una fuerza bruta probando diferentes claves para obtener el mismo fichero cifrado, cuando la encuentre (puede llevar su tiempo).
Fuente: HackPlayers
El propio Fabian ha creado una herramienta muy sencilla decrypt_gomasom.exe que permite obtener la clave de descifrado simplemente arrastrando un fichero cifrado y el equivalente original sin cifrar:
Fuente: HackPlayers
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!