Emsisoft lanza el tercer descifrador en pocos días, esta vez para el ransomware LooCipher



Hace unos días, los expertos de Emsisoft lanzaron dos descifradores para el ransomware ZeroFucks y el ransomware Ims00rry , ahora el equipo de malware anunció el lanzamiento de un descifrador para el ransomware LooCipher .


Las víctimas del ransomware LooCipher no tienen que pagar el rescate, solo necesitan descargar el desencriptador desde el siguiente enlace: https://www.emsisoft.com/decrypter/download/loocipher

Loocipher es una nueva amenaza que se está extendiendo rápidamente, sus funcionalidades son bastante sencillas y efectivas, comunes a muchas otras familias de ransomware.

Expertos publicaron un  análisis detallado  del ransomware:


  • El ransomware se propaga utilizando un documento Word armado.
  • El comando y control está alojado en la red TOR, en la siguiente dirección de onion "hxxp: // hcwyo5rfapkytajg [.] Onion"  .
  • Los atacantes aprovechan varios servicios proxy Tor2Web para permitir fácilmente el acceso al Tor C2.
  • El binario puede funcionar tanto como Cifrador como descifrador.
  • El C2 genera dinámicamente una dirección Bitcoin diferente para cada infección.
  • "LooCipher encripta los archivos de la víctima con AES-128 ECB, y agrega la extensión ".lcphr"." Declara Eminsoft.


"No queda ningún archivo de nota de rescate, pero el malware deja una pantalla que le dice a la víctima que realice un pago de BitCoin y luego use el mismo malware para descifrar sus archivos una vez que se complete el pago".

Fuente: https://securityaffairs.co/wordpress/88849/hacking/loocipher-ransomware-decryptor-2.html