Rompen el cifrado del ransomware Gomasom, (“GOogle MAil ranSOM“), y permiten recuperar los datos

Como ocurre cuando aparece un ransomware nuevo, muchos usuarios optar por pagar el rescate lo antes posible para poder recuperar los archivos y poder olvidarse del disgusto, sin embargo, los expertos de seguridad también empiezan a investigar y a buscar cualquier debilidad que permita la recuperación de los archivo sin tener que pasar por caja y ceder ante los chantajes de estos piratas informáticos.

Secuestro de ransomware

Gomasom, nombre compuesto por “GOogle MAil ranSOM“, es un nuevo ransomware que ha empezado a distribuirse justo antes de las fechas navideñas, infectando a un gran número de usuarios, cifrando sus archivos y pidiendo el pago de un rescate por poder recuperarlos.

Un experto de seguridad de Emsisoft ha conseguido encontrar una debilidad en el nuevo ransomware Gomasom. Aprovechando esta debilidad, el experto de seguridad ha creado una herramienta que permite descifrar fácilmente los archivos secuestrados por Gomasom sin tener que pagar el rescate y sin perder todos los archivos que había secuestrado este software malicioso.

Gracias a ella, los usuarios víctimas de este ransomware podrán recuperar los datos fácilmente sin tener que borrarlos del disco duro ni tener que pagar el rescate, que varía entre los 500 y los 1000 dólares.

Cómo recuperar los archivos secuestrados por Gomasom
La herramienta para descifrar los datos se puede descargar de forma gratuita desde el siguiente enlace:

http://emsi.at/DecryptGomasom

Tal como explica el experto de seguridad, para que esta funcione debemos disponer de la versión cifrada y sin cifrar de un mismo archivo. De esta forma, la herramienta comparará ambos archivos y será capaz de devolvernos la clave para descifrar el resto de los archivos.

Es posible que no tengamos un mismo archivo cifrado y sin cifrar, por lo que también podemos elegir dos archivos del mismo tipo pero diferentes, por ejemplo, una imagen .png cifrada y otra imagen diferente en .png descargada desde Internet. La herramienta comparará ambos archivos hasta que finalmente terminará por sacar la clave de cifrado. Este proceso no es seguro al 100% y puede llevar más de un día de proceso hasta calcular la clave, por lo que si optamos por él debemos tener paciencia.

Descifrar ransomware Gomasom

Una vez hallada la clave, el programa abrirá la herramienta de descifrado de datos que empezará con el proceso de recuperación de todos los datos.

Descifrar Gomasom

Una vez finalice debemos asegurarnos de que todos los archivos se han recuperado correctamente. Esta herramienta guarda una copia de los datos originales cifrados, de manera que si ocurre algún problema en el proceso podamos volver a realizarlo hasta conseguir los resultados óptimos en el proceso de recuperación.

Ver informacion original al respecto en Fuente:
tos/#sthash.OLRunAhR.dpuf

NOTA ADICIONAL:

Al buscar mas informacion sobre esta ransomware, para estar prevenidos, vemos algo desconcertante, y es que dicen que codifica tambien ejecutables:

“Gomasom Ransomware Technical Description
Researchers have reported that Gomasom is quite destructive, because it encrypts both user data files as well as executable files. When this ‘double’ encryption is done, most of the victim’s applications will not work. Once the ransomware is inside the computer, it will change the names of the files to [filename].jpg!__gmail.com_.crypt. In order to receive payment instructions, the victim is supposed to send an email to the address in the file name.“

Como sea que aun no hemos tenido ninguna incidencia al respecto, cuando la tengamos veremos que hay de cierto en ello, pero no es de esperar nada bueno …

Y tener en cuenta que para la operación de descifrado, se remarca que hace falta al menos un fichero original y su copia cifrada, para actuar con la utilidad arriba ofrecida.

ms, 23-12-2015