Novo desencriptador de ransomware recupera dados de ficheiros parcialmente encriptados

Em um recente artigo, pesquisadores de segurança descreveram um novo tipo de ransomware que é capaz de descriptografar arquivos que foram parcialmente criptografados pelo malware.

A ameaça, que é conhecida como “Ransome_ decorated “, usa uma técnica chamada “descriptografia parcial” para executar sua campanha de criptografia de dados. A técnica é incomum entre os ransomware , mas os pesquisadores notaram que esta ameaça é apenas a segunda que demonstraram o uso desta técnica.

Ao contrário do ransomware tradicional, que criptografa todos os arquivos do computador do usuário, a “Ransome_ decorated “só criptografará Parte de um arquivo de cada vez. No entanto, a ameaça continuará a criptografar mais partes do arquivo até que esteja completamente criptografado.

Uma vez que todos os arquivos foram criptografados, a “Ransome_ decorated ” exibirá uma nota de resgate, instruindo os usuários a enviar um pagamento em troca da descriptografia de seus dados.

Não há informações sobre quanto dinheiro a ameaça pedirá, mas, dado o fato de que a “Ransome_ decorated ” usa uma técnica de criptografia pouco convencional, os pesquisadores suspeitam que possa ser mais caro do que a média.

Uma boa notícia é que agora está disponível um decodificador gratuito que pode descriptografar arquivos criptografados pelo ransomware “Ransome_decorated”. O decodificador foi criado pelos pesquisadores da Avast, que descobriram essa nova ameaça de ransomware.

Para usar o decodificador, basta baixá-lo e apontá-lo para uma pasta que contém arquivos criptografados. O descriptografador examinará a pasta em busca de arquivos criptografados e tentará descriptografá-los.

Se o descriptografador for bem-sucedido, ele salvará os arquivos descriptografados na mesma pasta com uma extensão “.decrypted”. Se algum arquivo não puder ser descriptografado, ele permanecerá em seu estado criptografado.

O desencriptador só é eficaz contra ficheiros encriptados pelo ransomware “Ransome_decorated”. Não funcionará contra nenhuma outra ameaça de ransomware.