Descifrador maestro para el Ransomware Crysis.


En un movimiento sorpresa, las claves de descifrado maestro para el Ransomware CrySiS se han lanzado temprano esta mañana en un post en los foros de BleepingComputer.com. Aproximadamente a la 1 pm EST, un miembro nombrado crss7777 creo un mensaje en el tema de ayuda Crysis en BleepingComputer con un enlace a Pastebin a un archivo de cabecera C que contiene las claves de descifrado maestro reales e información sobre cómo utilizarlos.
Estas claves ya han sido utilizadas por Kaspersky Labs para actualizar su programa RakhniDecryptor para que pueda ser utilizado para descifrar los archivos de la víctima.


Aunque la identidad de crss7777 no se conoce actualmente, el conocimiento íntimo que tienen con respecto a la estructura de las claves de descifrado maestro y el hecho de que haya lanzado las claves como un archivo de cabecera C indica que pueden ser uno de los desarrolladores del ransomware CrySis. ¿Por qué las razones de que las claves hayan sido liberadas? también es desconocida, pero puede ser debido a la creciente presión de los organismos de la ley sobre las infecciones ransomware y los desarrolladores que están detrás de ellos.


Cuando las claves liberadas fueron examinadas por Kaspersky Lab se determinó que estas claves eran legítimas. El uso de estas claves, Kaspersky ha actualizado su RakhniDecryptor de modo que ahora puede descifrar los archivos cifrados por Crysis.

Cómo utilizar RakhniDecryptor para descifrar los archivos cifrados por CrySiS

Las víctimas del ransomware Crysis pueden ser identificadas porque sus archivos están encriptados y cambia el nombre al formato de [nombre de archivo] .id- [id]. [Email_address] .xtbl. Por ejemplo, las variantes más recientes tendrían un archivo llamado test.jpg renombrado y encriptado como test.jpg.id-ABADG125.alex-king@india.com.xtbl.

Algunas otras variantes que han sido previamente vistas incluyen Vegclass@aol.com.xtbl, gerkaman@aol.com.xtb, johnycryptor@hackermail.com.xtbl, y Milarepa.lotos@aol.com.xtbl.

Para descifrar los archivos cifrados por el ransomware Crysis, primero necesita descargar RakhniDecryptor. Una vez descargado, debe extraer el programa y ejecutarlo. Una vez ejecutado, mostrará la pantalla principal como se muestra a continuación.


Antes de empezar, tiene que asegurarse de que se está utilizando la versión 1.17.8.0, que da soporte al ransomware Crysis. Para comprobar la versión de RakhniDecryptor puede hacer clic en el enlace Acerca de, de la parte inferior izquierda de la pantalla anterior. Esto mostrará una pequeña ventana que muestra la versión de RakhniDecryptor.


Si está utilizando la versión 1.17.8.0 o mayor, entonces usted debe hacer clic en el botón Iniciar análisis y RakhniDecryptor le pedirá que seleccione un archivo cifrado. Busque una carpeta que contenga archivos cifrados por CrySiS y seleccione un archivo .Word, Excel, PDF, música o imagen. No seleccione un archivo de texto ya que no se puede utilizar para descifrar el resto de sus archivos.


Una vez que haya seleccionado un archivo, haga clic en el botón Abrir. RakhniDecryptor ahora escaneará todo el equipo para buscar los archivos cifrados y los descifrará.


Este proceso puede tomar bastante tiempo, así que por favor sea paciente mientras explora su computadora y descifra los archivos.
Cuando haya terminado, mostrará una lista de los archivos descifrados por RakhniDecryptor. Ahora puede cerrar RakhniDecryptor y debería poder volver a acceder a sus archivos.