Desbloquear archivos cifrados con Malware CoinVault

Desbloquear archivos cifrados con Malware CoinVault

La empresa de seguridad Kaspersky Antivirus Labs ha desarrollado una herramienta para descifrar archivos cifrados mediante el ataque ransomware que últimamente tantos quebraderos de cabeza ha dado a personas, empresas y Servicios TI, CoinVault.

Como ya os explicamos en anteriores entradas del blog, este tipo de ataque malware es muy perjudicial para los que lo sufren, ya que realmente el ataque funciona (y muy bien) y, por el momento, parece que se extiende ya que los atacantes han obtenido beneficio con este tipo de malware (eso hace que cada día hagan nuevos ataques e incluso lo vayan mejorando).

¿Qué ha hecho Kaspersky?
Debido a la expansión de esta amenaza y en colaboración con diferentes empresas, administraciones públicas y fuerzas de seguridad, ha desarrollado una herramienta capaz de recuperar archivos cifrados con CoinVault.

ransomware_coinvault

Eso sí, has de seguir los siguientes pasos:

1º.- Con el mensaje que el malware crea en tu equipo («ADVERTENCIA TUS ARCHIVOS ESTAN CIFRADOS»), busca la dirección del monedero virtual de envío de bitcoins, marcada en negro en la imágen y con un 1º (recuerda que los atacantes usan este tipo de moneda virtual por que no se puede rastrear).

2º.- Obten la lista de archivos cifrados (marcado en azúl en la imágen y un 2º)

Haz clic en el botón, guarda el archivo.

3º.- Vuelve a asegurarte que has guardado bien tanto la dirección del monedero virtual como la lista de archivos infectados.

4º.- Descarga e instala la versión de prueba de Kaspersky Internet Security .

Eliminará el virus.

5º.- Dirígete a la dirección https://noransom.kaspersky.com

Introduce la dirección del monedero de bitcoin (el del paso 1º). Si el sistema reconoce la dirección del monedero, te aparecerá el Vector de Inicilización (IV) y la clave en pantalla (clave de desencriptado). Pueden aparecerte varias claves, guarda todas, las vas a necesitar.

6º.- Descarga la herramienta de descifrado:

Dirígete al siguiente enlace y descarga la herramienta de desencriptado:

https://noransom.kaspersky.com/static/kaspersky-coinvault-decryptor.exe

7º.- Ejecuta el programa.

Si aparece un mensaje de error como este:

Descarga el paquete .Net Framework 4.5.1 del siguiente enlace:

http://www.microsoft.com/es-ES/download/details.aspx?id=40779

Si no te aparece mensaje de error, aparecerá la aplicación de desencriptado, tal como muestra la imagen:

8º.- Comprueba que el descrifrado funciona correctamente:

Haz una prueba , sigue los siguientes pasos:

– Selecciona una archivo pulsando sobre «Select File».

– Introduce el Vector de Inicilización (IV) en el apartado «Enter your IV»

– Introduce la clave de desencriptado en el apartado «Enter your key».

– Pulsa sobre el botón «Start»

Verifica si el nuevo archivo creado esta descifrado correctamente (lo abres con normalidad y no se ven símbolos raros, etc).

9º.- Desencifra todos los archivos cifrados
Si todo ha ido bien, puedes recuperar tus archivos. Repite los pasos de la prueba, esta vez, selecciona el listado guardado en el paso 1º, introduce la IV y la clave y pulsa «Start».

Nota: Si seleccionamos «Overwrite encrypted file with decrypted contents» sobrescribirá el archivo cifrado con el descifrado. Ojo con esto si has recibido varias IV´s. Si es tu caso, no selecciones la casilla por que más de un archivo tiene diferente clave e IV para desencriptar.

Si no has obtenido resultado, espera y ve probando en la web indicada. Van a ir actualizando el sistema de descifrado a medida que avancen en la investigación del problema.

Fuente Oficial: http://blog.kaspersky.es/