Estas navidades está pegando fuerte un ransomware bautizado por Fabian Wosar de Emsisoft como Gomasom (GOogle MAil ranSOM) ya que utiliza direcciones de Gmail en los nombres de ficheros cifrados, por ejemplo Tulips.jpg!___prosschiff@gmail.com_.crypt, a los que los usuarios infectados deben escribir para seguir las intrucciones de "rescate".
El propio Fabian ha creado una herramienta muy sencilla decrypt_gomasom.exe (descargar aquí) que permite obtener la clave de descifrado simplemente arrastrando un fichero cifrado y el equivalente original sin cifrar:
Es decir, al menos necesitaremos un fichero original para poder recuperar el resto. Si no lo tenemos podríamos buscar por ejemplo un PNG de la instalación por defecto de Windows, obtenerlo de otro equipo o descargarlo de Internet y utilizarlo para obtener la clave.
Básicamente el programa realiza una fuerza bruta probando diferentes claves para obtener el mismo fichero cifrado, cuando la encuentre (puede llevar su tiempo) se nos mostrará una ventanita como la siguiente:
Y después de pulsar el botón OK nos aparecerá una ventana con el listado de directorios y ficheros a descifrar (si no aparece podemos añadirlo a mano):
Finalmente pulsaremos el botón de descifrar y después del proceso se nos mostrarán los resultados:
Fuentes:
- Gomasom .Crypt Ransomware Decrypted
- .Crypt Gomasom Ransomware (!___crydhellsek@gmail.com__.crypt) Support Topic
El propio Fabian ha creado una herramienta muy sencilla decrypt_gomasom.exe (descargar aquí) que permite obtener la clave de descifrado simplemente arrastrando un fichero cifrado y el equivalente original sin cifrar:
Es decir, al menos necesitaremos un fichero original para poder recuperar el resto. Si no lo tenemos podríamos buscar por ejemplo un PNG de la instalación por defecto de Windows, obtenerlo de otro equipo o descargarlo de Internet y utilizarlo para obtener la clave.
Básicamente el programa realiza una fuerza bruta probando diferentes claves para obtener el mismo fichero cifrado, cuando la encuentre (puede llevar su tiempo) se nos mostrará una ventanita como la siguiente:
Y después de pulsar el botón OK nos aparecerá una ventana con el listado de directorios y ficheros a descifrar (si no aparece podemos añadirlo a mano):
Finalmente pulsaremos el botón de descifrar y después del proceso se nos mostrarán los resultados:
Fuentes:
- Gomasom .Crypt Ransomware Decrypted
- .Crypt Gomasom Ransomware (!___crydhellsek@gmail.com__.crypt) Support Topic
si alguien necesita ayuda con cualquier version de este virus puede contactarme a mi facebook personal, "facebook.com/ozzmadark1" Saludos
ResponderEliminarHola, Hoy se me infecto una maquina que tiene videos y fotos, me renombro aon la siguiente terminacion :{savepanda@india.com}.xtbl, conoces esta variante ???
ResponderEliminarhola, hoy se me infecto una maquina, con una variante que pone esta terminación {savepanda@india.com}.xtbl , puedo enviarte archivos para podes actualizar tu desncriptador ??
ResponderEliminarHola, la extensión que me aparece a mi es .zepto alguien sabe de algún desencriptador ???? juanmi2t@yahoo.es estoy con un grandísimo problema
ResponderEliminarSaludos, conseguiste alguna solucion para los archivos .zepto
EliminarHe solucionado el problema :D despues de leer tantos foros y la verdad no esta tan dificil :D
EliminarSaludos, por favor necesito ayuda me podrías decir como recuperaste tu información.mi correo marvic2310@gmail.com si me pudiese ayudar seria grandioso.
EliminarALGUIEN PODRA INFORMARME COMO SOLUCIONAR LOS ARCHIVOS .zEPTO FAVOR DE ESCRIBIR A SAULLEYVA@HOTMAIL.COM
ResponderEliminarEstoy interesado en desencriptar los Zepto. ¿Puede ayudarme alguien?
ResponderEliminarEstoy en Zaragoza y Madrid. Mi email es pedroriverofalo@gmail.com
Estoy interesado en desencriptar los Zepto. ¿Puede ayudarme alguien?
ResponderEliminarEstoy en Zaragoza y Madrid. Mi email es pedroriverofalo@gmail.com
Alguien conoce alguna técnica para desencriptar los .hets?
ResponderEliminar