Ransomware: ya es posible descifrar archivos de CryptXXX v3
Un grupo de expertos en ciberseguridad han lanzado una herramienta que sirve para recuperar archivos cifrados por CryptXXX v3, uno de los ransomware más notorios de los últimos tiempos. Se ha incluído la herramienta en la utilidad RannohDecryptor, una aplicación gratuita mantenida por el proyecto No Ransom.
El ransomware CryptXXX es uno de los que más daño ha hecho en los últimos tiempos, esparcido principalmente por usuarios de América, Rusia, Alemania y Japón, entre otros. Fué visto por primera vez el pasado mes de Abril y se cree que los dueños han hecho mucho dinero con él.
Es posible descifrar archivos de CryptXXX v3
Como ya os conté hace meses, RannohDecryptor de Kaspersky era capaz de recuperar algunos archivos cifrados con el mismo (una lista limitada) pero ahora ya es posible recuperar la totalidad de nuestras cosas si hemos sido afectados.
Este ransomware se ha beneficiado de kits de Exploit tan conocidos como Angler EK, Neutrino o Magnitude para aterrizar en miles de PC.
CryptXXX v3 ha sido derrotado
Desde el mes de Abril, CryptXXX ha mutado rápidamente según nos cuenta la firma SentinelOne. En el mes de Junio se lanzó una nueva variante que corregía algunos aspectos que habían permitido recuperar ficheros en el pasado, sin pagar.
En Mayo, expertos de Kaspersky Labs actualizaron RannohDecryptor a la versión 1.9.1.0 para adaptarse a esta nueva variante CryptXXX v2. Así ha ido sucediendo en cada ocasión, pues se han ido identificando fallos en el código que han permitido burlar total o parcialmente al malware.
Además, se descubrió que el ransomware empleaba una DLL escrita en Delphi que empleaba diferentes algoritmos para bloquear los archivos.
Una vez que CryptXXX v3 cifra los archivos, emplea las extensiones .crypt, .cryp1 y .crypz. La última variante conocida incluye además un módulo de nombre «stiller.dll» que tiene la misión de robar credenciales del usuario dentro del equipo.
Después de que los archivos son encryptados y todos los datos de valor transferidos a los criminales, el troyano muestra un mensaje a la víctima solicitando el rescate.
Si has sido afectado por alguna variante de ransomware de cryptXXX, te recomiendo visitar la web NoRansom y descargar la herramienta correspondiente.
Categories
deweloper View All
Trabajo como consultor de ciberseguridad y me gusta lo que hago. Aficionado a la informática / tecnología en general, me gusta compartir con la gente lo poco que sé. También soy aficionado al deporte y los videojuegos.
Por fin he podido recuperar un montón de archivos. Lo malo, sobre todo videos, es que no me lo desencripta bien aunque dice que si, porque luego no se ven, sobre todo si pasan de un tamaño especifico. No se si es porque el programa puede ser un trial o algo asi :S
Hola James, eso se debe a limitaciones del programa, pero simplemente limitaciones técnicas, ya que el programa es totalmente comlpeto y gratuito. Gracias por venir 😉
Muchas gracias por la rápida respuesta. ¿Y sabes de alguno que sea posible hacerlo aunque sea de pago? ¿Las versiones de pago de Kaspersky quizás?
Gracias.
Lo siento James, pero hasta donde yo se, no existen alternativas. Si te refieres a las versiones de pago del antivirus de Kaspersky, me temo que no te ayudaría con esto. Saludos
Cachis, pues muchas gracias Alejandro magnífico blog que tengo ya agregado a fav. Veremos si algún día consiguen sacar algo que permita desencriptar todo bien. Porque tampoco han añadido la desencriptación de txt.
Gracias James! Esperemos que así sea 🙂
ninguna de las opciones de, que hay en la pagina me puede ayudar, tengo archivos encriptados, con la extención .crypt que supestamente me sale que es un cryptxxx , con el kaspersky rannohdecryptor no me permite, me sale que los archivos no son del mismo tamaño,
ejemplo si mi archivo encryptado pesa 101 kb, mi archivo original pesa 100kb. esta diferencia de 0.001 no me deja desencryptar. agradezco sus comentarios.
Buenas Alejandro, en principio debería funcionarte para cualquiere de las 3 variantes la herramienta Rannoh de Kaspersky (Cómo usarlo: https://support.kaspersky.com/viruses/disinfection/8547?). En realidad podría tratarse de otros ransomware, como por ejemplo Chimera, GlobeImposter, Gomason…
Te recomiendo que eches un vistazo en este post sobre herramientas para diferentes ransomware, por si te ayuda a identificarlo. Saludos.
https://protegermipc.net/2017/05/03/herramientas-desencriptar-ransomware/
Buenas tengo un archivo con esta extención:
acumulado_2009.CDX.id-22FBEDA3.[Vegas_MOZ6@protonmail.com].java
y no puedo como desencriptarlo. AYUDA….
Hola Walo, necesitaría saber si has probado a realizar un análisis con ID Ransomware (https://protegermipc.net/2016/04/15/como-saber-con-que-ransomware-estoy-infectado-id-ransomware) o CryptoSheriff. Usa el buscador de mi web para ver como usar estas aplicaciones y así intentar determinar qué muestra de ransomware te afecta.
Saludos.
Estimado Alejandro, ya lo pase con CryptoSheriff y me pide «sube el archivo (.txt o .html) con la nota de rescate dejada por los cibercriminales.» , no tengo tal cosa, solo se posiciono en mis archivos y los infecto todo encriptandolos. Te envío otro archivo infectado…..
«»ctb_16_exp_no_contabilizados.xls.id-22FBEDA3.[Vegas_MOZ6@protonmail.com].java»»
Es un documento que esta en Excel.
Slds.
Hola Walo,
Aunque no tengas nota de rescate, deberías poder identificar si realmente se trata de Cerber 3.0 en la web de ID Ransomware, por ejemplo. Puedes hacerlo subiendo un archivo infectado.
De todas formas, envíame si quieres un archivo infectado y lo veo.
Te he mandado un email.
Saludos