Descifrador lanzado para GetCrypt Ransomware
GetCrypt Ransomware es una amenaza de malware detectada recientemente que cifra los datos en la máquina comprometida y exige un rescate por su descifrado. El malware fue capturado por primera vez por el equipo de investigación de ciberseguridad neo_sec . GetCrypt se está propagando a través de campañas de publicidad maliciosa que redirigen a los usuarios a los sitios que albergan el kit de explotación RIG. El aterrizar en uno de los sitios envenenados hará que el kit de explotación haga lo que su nombre sugiere: explote las vulnerabilidades en la computadora del usuario para dejar caer el ransomware.
Si GetCrypt ya no ha podido utilizar sus archivos, no se desespere, ya que aún puede haber esperanza de recuperarlos sin pagar nada a los delincuentes: hay un descifrador para GetCrypt disponible . Sin embargo, para descifrar los archivos afectados es necesario que cada víctima del ransomware tenga acceso a uno de los archivos originales sin cifrar. El software de descifrado utiliza tal par de una versión cifrada y no cifrada del mismo archivo para forzar la clave de descifrado y descifrar los archivos del usuario.
GetCrypt evita los países de la CEI
Tras la ejecución, el primer paso de GetCrypt es verificar el idioma de Windows de la máquina infiltrada y, si está configurado en ucraniano, bielorruso, ruso o kazajo, el ransomware simplemente se apaga. En todos los demás casos, GetCrypt emplea CPUID para crear una cadena de 4 caracteres que se utilizará como una extensión para los datos cifrados. Si bien la gran mayoría de las amenazas de ransomware se dirigen a ciertos tipos de archivos para el cifrado, GetCrypt está diseñado para ejecutar un análisis y cifrar todos los archivos que no se encuentran en una lista específica de directorios con los algoritmos de cifrado Salsa20 y RSA-4096. La lista completa de directorios que se deben evitar consta de " : \ ProgramData,: \ Users \ All Users,: \ $ Recycle.Bin,: \ Program Files,: \ Local Settings,: \ Boot,: \ Windows,: \ System Volume Información,: \ Recuperación, Datos de la aplicación. "Todas las copias de instantáneas de los archivos cifrados se eliminarán mediante el comando " vssadmin.exe delete shadows / all / quiet " .
GetCrypt intenta acceder a los recursos compartidos de la red por Brute Force
Si bien no es tan inusual que las amenazas de ransomware se propaguen a los recursos compartidos de red conectados a la máquina ya infectada, el comportamiento de GetCrypt se desvía de la norma. Aprovecha la función " WNetEnumResourceW " para enumerar una lista de recursos compartidos de red disponibles. Si el ransomware no se conecta a uno de ellos, intentará forzar las credenciales necesarias mediante el uso de una lista incrustada de nombres de usuario y contraseñas.
El resto del proceso de cifrado es bastante estándar. Un archivo de texto llamado " # descifrar mis archivos # .txt " que contiene una nota de rescate se colocará en la pantalla del escritorio, así como en cada carpeta con archivos cifrados. El texto de la nota es:
¡Atención! ¡Su computadora ha sido atacada por un codificador de virus!
Todos sus archivos ahora están encriptados usando un algoritmo fuerte cryptographycalli.
Sin la clave de recuperación original es imposible.
PARA OBTENER SU DECODIFICADOR Y LA LLAVE ORIGINAL PARA DECRITAR SUS ARCHIVOS, NECESITA ENVIARNOS UN CORREO ELECTRÓNICO A: GETCRYPT@COCK.LI
Le interesa responder lo antes posible para garantizar la restauración de sus archivos.
PD solo en caso de que no reciba una respuesta de la primera dirección de correo electrónico dentro de las 48 horas
Además, la imagen de fondo del escritorio del usuario será reemplazada por una nueva:
