Cisco lanza herramienta para desencriptar archivos encriptados por el Ransomware Thanatos



Si has sido victima de este ransomware y estas buscando ayuda por todos lados para poder recuperar tus archivos, este es tu día de suerte, ya que los investigadores de Cisco Talos liberaron una herramienta gratuita, que permite poder recuperar tus archivos sin la necesidad de realizar el pago por el rescate de tus archivos.

Como todos los ransomware, tiene la tarea de poder encriptar todos los archivos de la victima, para poder impedir el acceso a esta información. Este ransomware añade la extensión .thanatos a los archivos encriptados y añade la tipica leyenda de que si no pagas una cierta cantidad de criptomonedas no volveras a ver a tus queridos archivos.

Este ransomware no utiliza el bitcoin como moneda de cambio, si no que utiliza monedas como Bitcoin Cash (BCH), Zcash (ZEC), Ethereum (ETH) y otros.

Además, debido a problemas dentro del proceso de encriptación, los autores del malware no pueden devolver los datos a la víctima, incluso si paga el rescate. Si bien los informes anteriores parecen indicar que esto es accidental, las campañas específicas parecen demostrar que, en algunos casos, esto es intencionado por parte del distribuidor.

En respuesta a esta amenaza, Talos lanzará ThanatosDecryptor, una herramienta gratuita de descifrado que explota las debilidades en el diseño de la metodología de cifrado de archivos utilizada por Thanatos. Esta utilidad puede ser utilizada por las víctimas para recuperar el acceso a sus datos si están infectados por este ransomware.

Thanatos Decryptor


Para todos los que necesiten acceder a esta herramienta gratuita y de código abierto, lo pueden hacer a través del repositorio levantado en GitHub 

Hasta ahora los archivos soportados por esta herramienta son

  • Image: .gif, .tif, .tiff, .jpg, .jpeg, .png
  • Video: .mpg, .mpeg, .mp4, .avi
  • Audio: .wav
  • Document: .doc, .docx, .xls, .xlsx, .ppt, .pptx, .pdf, .odt, .ods, .odp, .rtf
  • Other: .zip, .7z, .vmdk, .psd, .lnk 

Para descifrar los archivos lo más rápido posible, ThanatosDecryptor debe ejecutarse en la máquina original infectada con el malware y en los archivos .THANATOS originales que creó.

ThanatosDecryptor ha sido probado contra las versiones 1 y 1.1 del malware. Los hashes de muestras de malware conocidos incluyen:

55aa55229ea26121048b8c5f63a8b6921f134d425fba1eabd754281ca6466b70 97d4145285c80d757229228d13897820d0dc79ab7aa3624f40310098c167ae7e 8df0cb230eeb16ffa70c984ece6b7445a5e2287a55d24e72796e63d96fc5d401 bad7b8d2086ac934c01d3d59af4d70450b0c08a24bc384ec61f40e25b7fbfeb5 02b9e3f24c84fdb8ab67985400056e436b18e5f946549ef534a364dff4a84085 fe1eafb8e31a84c14ad5638d5fd15ab18505efe4f1becaa36eb0c1d75cd1d5a9


El repositorio de Github, tiene toda la información para compilar el ejecutable y poderlo utilizar.

Suerte!