Emsisoft libera Decrypter para la ransomware LeChiffre

LeChiffre es un ransomware, pero han sido incapaces de tomar una muestra hasta hace poco. Esto es debido a que el ransomware LeChiffre no se distribuye a través de los medios normales, tales como descargas de Troya, explotar kits, o correo electrónico, sino que al ser instalado manualmente en los servidores hackeados. Cuando los desarrolladores de malware hackear un servidor a través de escritorio remoto o servicios de terminal, se ejecutan manualmente el ejecutable para cifrar los datos y luego eliminar todos los rastros del programa cuando se van.

 

No fue hasta hace poco que  Hasherezade  de Malwarebytes  fue capaz de adquirir una muestra y realizar un análisis del mismo. Este análisis mostró que el ransomware no era muy sofisticado, sino más bien un cliente simple que los desarrolladores de malware se ejecute en un servidor hackeado para cifrar los archivos de datos y dejar una nota de rescate.  

Una vez que los piratas informáticos se realizaron el cifrado de las unidades, que lo limpio detrás de ellos y esperar a que el pago a entrar.  

Cuando el programa encripta un archivo de datos que sería añadir el .lechiffre  extensión al nombre de archivo y generar una nota de rescate llamado _Cómo descifrar LeChiffre files.html  en la carpeta del archivo cifrado. Estas notas de rescate contienen información acerca de lo que ocurrió con los datos de la víctima y la [email protected] dirección de correo electrónico que se puede utilizar para obtener las instrucciones de pago. Una oferta interesante en el nota de rescate es que si una víctima no necesita sus archivos de forma inmediata, pueden esperar 6 meses y recuperarlos de forma gratuita. 

Hasherezade fue lo suficientemente amable para compartir una muestra con la comunidad de seguridad y cuando Fabian Wosar de Emsisoft  analizó descubrió una vulnerabilidad que podría permitir que él construya un descifrador libre para ello. Más información acerca de esta vulnerabilidad se puede encontrar en este post y las instrucciones sobre cómo utilizar el descifrador se puede encontrar a continuación.

LeChiffre descifrado

Si usted está infectado con el ransomware LeChiffre, simple decrypt_lechiffre.exe descarga descarga desde el siguiente enlace y lo guarda en su escritorio:

 

Una vez que haya descargado el archivo ejecutable, haga doble clic en él para iniciar el programa. Al iniciar el programa, se le presentará con un mensaje de UAC como se muestra a continuación. Por favor, haga clic en  Sí botón para continuar. 

A continuación, se presentan con un acuerdo de licencia que usted debe hacer clic en  Sí  para continuar. Ahora verá la pantalla principal LeChiffre Decrypter.

Para descifrar la unidad C: \, haga clic en el  Descifrar  botón. Si hay otras unidades o carpetas que desea descifrar que no están en la lista, puede hacer clic en el  Agregar carpeta  botón para añadir otras carpetas que contienen archivos cifrados. Una vez que haya agregado todas las carpetas que desea descifrar, haga clic en el  Descifrar botón para comenzar el proceso de descifrado. Una vez que haga clic en descifrar, el LeChiffre Decrypter descifrar todos los archivos cifrados y mostrar el estado de descifrado en una pantalla de resultados...