• Registrarse
  • Iniciar sesión


  • Resultados 1 al 5 de 5

    Nuevo desencriptador para el ransomware BTCWare

    Nuevo desencriptador para el ransomware BTCWare El investigador de seguridad Michael Gillespie ha lanzado una nueva versión del descodificador para el ransomware BTCWare después de que el autor del ransomware haya filtrado la clave privada ...

          
    1. #1
      Warrior Avatar de @JoseAsuncion
      Registrado
      sep 2012
      Ubicación
      Lima
      Mensajes
      11.653

      Nuevo desencriptador para el ransomware BTCWare

      Nuevo desencriptador para el ransomware BTCWare


      El investigador de seguridad Michael Gillespie ha lanzado una nueva versión del descodificador para el ransomware BTCWare después de que el autor del ransomware haya filtrado la clave privada para su última versión.

      El autor de BTCWare anunció esta filtración en un post del foro de Bleeping Computer que ofrece ayuda para las víctimas de infecciones de BTCWare. BTCWare es una de las familias de ransomware más activas en la actualidad, que se puede distinguir por ser el tema más comentado de ese tipo alcanzando las 20 páginas, en comparación con otros subprocesos de soporte de ransomware que tienen sólo 1-2 páginas.

      The crook hizo su anuncio el 30 de junio, diciendo que planea lanzar oficialmente la clave privada de descifrado en cinco días, pero accedió a proporcionarle a Gillespie una copia de la clave privada de descifrado antes de que el investigador intentara verificar su identidad.


      Durante los últimos días, Gillespie ha trabajado para actualizar su anterior BTCWareDecrypter para dar soporte a la nueva clave privada.

      Gillespie dice que la clave privada que recibió del autor de BTCWare permite la recuperación de datos de cuatro versiones del ransomware BTCWare .

      Las versiones de BTCWare se rastrean en función de la extensión de archivo que agregan al final de los archivos cifrados. A continuación se muestra una lista de todas las extensiones que el descifrador de Gillespie puede manejar.

      Código HTML:
      .[< email address >].btcware .[< email address >].cryptobyte .[< email address >].cryptowin .[< email address >].theva .[< email address >].onyon .[< email address >].master .onyon .xfile
      Las cuatro últimas extensiones son aquellas para las que Gillespie añadió soporte, mientras que las cuatro primeras son de una versión anterior del desencriptador, lanzada a mediados de mayo cuando el autor de BTCWare también filtró otra clave privada.

      El autor de BTCWare ha hecho el hábito de lanzar las claves de descifrado cada vez que actualiza a una nueva versión su ransomware y abandona viejas campañas.

      El modo de funcionamiento del autor fue confirmado una vez más cuando el 2 de julio Gillespie vio una nueva versión de ransomware de BTCWare que usa una nueva extensión ( aleta ) y trata de llamarse Aleta Ransomware .

      BTCWare ransomware tiene un bug

      Gillespie también advierte a los usuarios que el ransomware BTCWare también tiene un fallo que afecta cómo funciona su decrypter.

      "Hay un error con el malware", dijo Gillespie a Bleeping Computer en una conversación privada. "Si un archivo tiene menos de 10MB y está encriptado, [el ransomware BTCWare] utiliza relleno incorrecto.Por lo tanto, cuando se descifra, hay hasta 16B de basura agregada al final de los archivos pequeños que no puedo se puede evitar. 10MB están completamente bien.

      "Mi descifrador avisará si detecta que este sea el caso", agregó Gillespie.

      Los usuarios que quieran recuperar archivos bloqueados por una de las versiones BTCWare antes mencionadas pueden descargar la aplicación BTCWareDecrypter desde aquí . La última versión es v1.1.0.1 .

      Los usuarios que no saben qué tipo de ransomware ha bloqueado sus datos pueden utilizar el servicio ID-Ransomware para identificar el ransomware.

      Cómo descifrar archivos cifrados con la extensión Master

      Las víctimas de la variante Master del Ransomware BTCWare pueden identificar sus archivos cifrados si se renombran al formato de [filename]. [Email_address] .master . Por ejemplo, un archivo llamado test.jpg cambiada de nombre como test.jpg. [[email protected]] .master .

      Puede ver un ejemplo de una carpeta de archivos cifrados a continuación:


      También he incluido una lista completa de direcciones de correo electrónico gracias a Michael Gillespie de ID-Ransomware al final de este artículo.

      Para descifrar los archivos cifrados por el ransomware, primero debe descargar BTCWare Decrypter de Michael desde https://www.bleepingcomputer.com/download/btcwaredecrypter/ y guardarlo en su escritorio.

      Una vez descargado, extraiga el archivo zip y haga doble clic en el icono BTCWareDecrypter.exe en su escritorio. El programa se cargará y se le presentará la pantalla principal que se muestra a continuación.


      Antes de comenzar, debe asegurarse de que está utilizando la versión 1.1.0.1 , que admite las claves recientemente publicadas para la variante Master. Para comprobar la versión de la herramienta de desencriptación, puede verlo en la parte inferior derecha de la ventana del descifrador, como se muestra en la imagen anterior.

      Cuando esté listo para descifrar sus archivos, primero debemos seleccionar una nota de rescate. Haga clic en el menú Configuración y, a continuación, seleccione Descifrar archivo de clave o Nota . Esto abrirá un cuadro de diálogo. En la parte inferior derecha del cuadro de diálogo hay un menú desplegable, que debe cambiar a Ransom Note como se muestra en la imagen de abajo.


      Ahora se mostrarán las notas de rescate en la carpeta seleccionada. Seleccione una nota de rescate, que en mi prueba se llamó! #_ RESTORE_FILES _ # !. inf, y luego haga clic en el botón Abrir .

      Ahora volverá a la pantalla principal de BTCWareDecrypter, pero la clave privada para sus archivos cifrados se cargará y estará lista para ser utilizada para descifrar sus archivos.


      Ahora debe hacer clic en el botón Seleccionar directorio y selecciona la unidad que desea descifrar.


      Una vez seleccionada una unidad, haga clic en el botón Aceptar. Una vez más, estarás de vuelta en la pantalla principal del desencriptador, pero esta vez el botón Decrypt estará disponible.


      Para comenzar a descifrar sus archivos, haga clic en el botón Descifrar. El descifrador comenzará ahora a descifrar sus archivos como se muestra a continuación. Este proceso puede tomar bastante tiempo, así que por favor sea paciente mientras se descifra la unidad.


      Cuando haya terminado, el desencriptor mostrará un recuento de los archivos que fueron descifrados y una advertencia sobre un error en el ransomware que se describió anteriormente.


      Aunque los archivos se descifran, los archivos cifrados originales seguirán estando en su computadora. Una vez que confirme que sus archivos se han descifrado correctamente, puede utilizar CryptoSearch para mover todos los archivos maestros encriptados en una carpeta para poder eliminarlos o archivarlos.
      Ahora puede cerrar el descifrador y usar su computadora como de costumbre. Si necesita ayuda para usar este desencriptador, consulte en nuestro Tema de Ayuda y Soporte de BTCWare

      Direcciones de correo conocidas de Master:

      Fuente: Bleeping Computer
      Woaxxx
      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    2. #2
      Usuario Avatar de Aguilucho (AC)
      Registrado
      mar 2007
      Ubicación
      Dominicana
      Mensajes
      366

      Re: Nuevo desencriptador para el ransomware BTCWare

      Interesante para los afectados con este ransomware.

      Saludos!

    3. #3
      Usuario Avatar de julius37
      Registrado
      feb 2015
      Ubicación
      España
      Mensajes
      144

      Re: Nuevo desencriptador para el ransomware BTCWare

      gracias por la informacion joseasuncion, pues otra buena noticia para los infectados.

      saludos

    4. #4
      Usuario Avatar de Cristiancf
      Registrado
      jul 2017
      Ubicación
      España
      Mensajes
      1

      Re: Nuevo desencriptador para el ransomware BTCWare

      Buenos dias...

      En mi caso, no encuentro la nota de rescate, solo el README.TXT con la direccion de correo...

      Gracias...

    5. #5
      Usuario Avatar de Tekel
      Registrado
      mar 2016
      Ubicación
      Latinoamérica
      Mensajes
      44

      Re: Nuevo desencriptador para el ransomware BTCWare

      Gracias por la info.