Rompen el cifrado del ransomware Gomasom, (“GOogle MAil ranSOM“), y permiten recuperar los datos

Como ocurre cuando aparece un ransomware nuevo, muchos usuarios optar por pagar el rescate lo antes posible para poder recuperar los archivos y poder olvidarse del disgusto, sin embargo, los expertos de seguridad también empiezan a investigar y a buscar cualquier debilidad que permita la recuperación de los archivo sin tener que pasar por caja y ceder ante los chantajes de estos piratas informáticos.

Secuestro de ransomware

Gomasom, nombre compuesto por “GOogle MAil ranSOM“, es un nuevo ransomware que ha empezado a distribuirse justo antes de las fechas navideñas, infectando a un gran número de usuarios, cifrando sus archivos y pidiendo el pago de un rescate por poder recuperarlos.

Un experto de seguridad de Emsisoft ha conseguido encontrar una debilidad en el nuevo ransomware Gomasom. Aprovechando esta debilidad, el experto de seguridad ha creado una herramienta que permite descifrar fácilmente los archivos secuestrados por Gomasom sin tener que pagar el rescate y sin perder todos los archivos que había secuestrado este software malicioso.

Gracias a ella, los usuarios víctimas de este ransomware podrán recuperar los datos fácilmente sin tener que borrarlos del disco duro ni tener que pagar el rescate, que varía entre los 500 y los 1000 dólares.

Cómo recuperar los archivos secuestrados por Gomasom
La herramienta para descifrar los datos se puede descargar de forma gratuita desde el siguiente enlace:

http://emsi.at/DecryptGomasom

Tal como explica el experto de seguridad, para que esta funcione debemos disponer de la versión cifrada y sin cifrar de un mismo archivo. De esta forma, la herramienta comparará ambos archivos y será capaz de devolvernos la clave para descifrar el resto de los archivos.

Es posible que no tengamos un mismo archivo cifrado y sin cifrar, por lo que también podemos elegir dos archivos del mismo tipo pero diferentes, por ejemplo, una imagen .png cifrada y otra imagen diferente en .png descargada desde Internet. La herramienta comparará ambos archivos hasta que finalmente terminará por sacar la clave de cifrado. Este proceso no es seguro al 100% y puede llevar más de un día de proceso hasta calcular la clave, por lo que si optamos por él debemos tener paciencia.

Descifrar ransomware Gomasom

Una vez hallada la clave, el programa abrirá la herramienta de descifrado de datos que empezará con el proceso de recuperación de todos los datos.

Descifrar Gomasom

Una vez finalice debemos asegurarnos de que todos los archivos se han recuperado correctamente. Esta herramienta guarda una copia de los datos originales cifrados, de manera que si ocurre algún problema en el proceso podamos volver a realizarlo hasta conseguir los resultados óptimos en el proceso de recuperación.

Ver informacion original al respecto en Fuente:
http://www.redeszone.net/2015/12/22/rompen-el-cifrado-del-ransomware-gomasom-y-permiten-recuperar-los-datos/#sthash.OLRunAhR.dpuf

 

NOTA ADICIONAL:

Al buscar mas informacion sobre esta ransomware, para estar prevenidos, vemos algo desconcertante, y es que dicen que codifica tambien ejecutables:

Gomasom Ransomware Technical Description
Researchers have reported that Gomasom is quite destructive, because it encrypts both user data files as well as executable files. When this ‘double’ encryption is done, most of the victim’s applications will not work. Once the ransomware is inside the computer, it will change the names of the files to [filename].jpg!__gmail.com_.crypt. In order to receive payment instructions, the victim is supposed to send an email to the address in the file name.

Como sea que aun no hemos tenido ninguna incidencia al respecto, cuando la tengamos veremos que hay de cierto en ello, pero no es de esperar nada bueno …

Y tener en cuenta que para la operación de descifrado, se remarca que hace falta al menos un fichero original y su copia cifrada, para actuar con la utilidad arriba ofrecida.

 

ms, 23-12-2015

 

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies