Nuevo Ransomware desencripta gratis tus datos si eres Ruso.

El autor del Ransomware Sigrun, les permite a los usuarios rusos puedan desencriptar sus datos de manera gratuita, pero al resto de los usuarios les pide un rescate por un monto de $2500 dolares en Bitcoins. Esto se debe a que el objetivo del Ransomware no es atacar a ciudadanos rusos.



El investigador de MalwaresBytes (S!Ri) evidenció la respuesta del atacante cuando se encontró con un usuario Ruso y otro Estadounidense.



 Cuando la aplicación se ejecuta dentro del PC de la victima, esta hace una revisión de los archivos a encriptar y evita realizar la encriptación de los siguientes archivos

\ProgramData\, \IETldCache\, \Boot\, \Program Files\, \Tor Browser\, \All Users\, \Local Settings\, \Windows\, desktop.ini, autorun.inf, ntuser.dat, iconcache.db, bootsect.bak, boot.ini, ntuser.dat.log, thumbs.db, ntldr, NTDETECT.COM, Bootfont.bin, A:\, SQL, .ani , .cab , .cpl , .cur , .diagcab , .diagpkg , .dll , .drv , .hlp , .ldf , .icl , .icns , .ico , .ics , .lnk , .key , .idx , .mod , .mpa , .msc , .msp , .msstyles , .msu , .nomedia , .ocx , .prf , .rom , .rtp , .scr , .shs , .spl , .sys , .theme , .themepack , .exe , .bat , .cmd , .sigrun_key , .sigrun , .admin

Cuando los archivos se encriptan, estos terminan con la extensión sigrun.


En cada carpeta donde se realizo alguna encriptación, se crean dos archivos, uno que se llama Sigrun.txt y otro que se llama Restore-Sigrun.html


Como comentamos anteriormente la única manera de desencriptar el malware es que seas un ciudadano ruso.

Recomendamos siempre que tengas una copia de seguridad de tus archivos en otro medio, para evitar así al ser victima de estos malwares, que pierdas tu información.