CryptoSearch permite encontrar archivos secuestrados por ransomware y organizarlos
El investigador Michael Guillespie, colaborador habitual de la página BleepingComputer, publicó hace algún tiempo un recurso del que no os había hablado, pero que merece la pena presentar. La herramienta Cryptosearch se encarga de buscar archivos afectados por ransomware, recopilando todos ellos y moviéndolos a una ubicación diferente.
Esta herramienta es una utilidad de limpieza rápida para equipos infectados con familias de ransomware desconocidas o que no tienen solución actualmente.
Esta utilidad reconoce bastantes de los formatos de archivo cifrado más populares, que normalmente quedarán dispersos por multitud de directorios del equipo, pero al permitir su copia en bloque a un nuevo directorio, podemos conservarlos fácilmente por si en el futuro sale algún antídoto.
Criptosearch, complemento ideal para ID Ransomware
En casos de archivos no recuperables, la mejor opción es conservar los archivos «por si acaso» en un lugar seguro. A veces la policía consigue incautar servidores con claves de cifrado, o puede pasar algo extraño, como una ocasión en la que el mismo creador del ransomare se terminó arrepintiendo. Quien sabe…
Cryptosearch evita toda la manualidad que supone el tener que ir revisando infinitos directorios del disco para ver sus archivos. El ransomware encripta archivos, pero no carpetas.
Una vez hemos terminado con CryptoSearch y hemos movido los archivos afectados, ya podemos pasar a la fase de limpieza del equipo.
Descarga y uso de la herramienta
Según su creador, la herramienta trabaja en conjunto con ID Ransomware -un servicio que permite identificar muestras de este tipo de malware- para poder determinar si tenemos o no archivos afectados, y qué tipo de muestra es.
En un principio debíamos tener una conexión a internet activa mientras ejecutamos la herramienta. Según su creador. Sin embargo poco después de publicarla se lanzó también un modo Offline:
Cuando CryptoSearch es iniciado, lo primero que hará es contactar con la web (ID Ransomware) para descargar la última información sobre firmas de malware.
Cuando tenemos identificados los archivos que han sucumbido al ransomware, se nos preguntará si queremos mover o copiar los mismos a una nueva ubicación. La herramienta replicará entonces la misma estructura de archivos y carpetas de nuestro disco, para que sea lo más fácil posible determinar a posteriori qué es cada cosa.
Conclusiones
CryptoSearch está aún en fase temprana, pero es un buen añadido para aquellas situaciones en que queremos encontrar una solución al ransomware que quizá deba llegar en el futuro. También puede ser útil si tenemos un mecanismo de recuperación, porque identificaremos rápidamente si este funciona sobre todos los archivos.
Categories
deweloper View All
Trabajo como consultor de ciberseguridad y me gusta lo que hago. Aficionado a la informática / tecnología en general, me gusta compartir con la gente lo poco que sé. También soy aficionado al deporte y los videojuegos.
en la lista no esta esta extensión:
*.vmwlt
ignoro que ransomware fue el causante de esa encriptación
espero que me ayuden, gracias de antemano.
Tengo muchos archivos secuestrados con esta extensión *.mctkexi. ¿Podrían ayudarme para saber si puedo desencriptarlo?. Gracias.