Descifra tus archivos del ransomware Xorist

[tortex]

La familia del ransomware Xorist está empezando a verse muy a menudo. Esta familia de infecciones informáticas se construye a partir de un constructor que permite a un potencial distribuidor de software malicioso el crear fácilmente su propia versión personalizada del ransomware. Los archivos específicos y los mensajes de la nota de rescate se pueden personalizar fácilmente y por lo tanto hace que sea más difícil para una víctima encontrar ayuda relacionada con su problema en concreto. Por ejemplo, se ha visto variantes de este ransomware que han utilizado .73i87A, .p5tkjw y .PoAr2w como extensiones de archivo de cifrado.

La buena noticia es que Fabian Wosar de Emsisoft fue capaz de encontrar el constructor y crear un descifrador para esta familia de infecciones.

Construcción de su propio ransomware

La fabricación de su propio ejecutable del ransomware Xorist es muy fácil, siempre y cuando tenga el constructor. Este constructor se llama actualmente Encoder Builder v.24 from [Pastorok]. Una vez que una persona tiene el constructor simplemente tienen que ejecutarlo y seleccionar las opciones que desea utilizar en su versión de ransomware. Una vez que se han configurado correctamente, simplemente haciendo clic en un botón se crea el ejecutable ransomware a medida. Ahora corresponde al constructor el averiguar cómo se distribuirá esta infección.

Como se puede ver en la imagen superior, la creación de su propio ransomware utilizando el constructor es muy fácil. Sólo tiene que seleccionar las distintas opciones que desea utilizar y hacer clic en el botón Create!. El constructor entonces le pedirá en donde desea guardar el archivo ejecutable y luego el constructor puede distribuirlo.

De manera predeterminada, el constructor está configurado para utilizar un mensaje/nota de rescate estándar en el que la víctima recibe instrucciones para enviar un SMS de texto que contiene una identificación especial a un número designado. Como cada compilación de este ransomware utiliza la misma contraseña para todas las víctimas, el desarrollador puede utilizar el ID asociado para determinar qué contraseña enviar a la víctima una vez que se ha efectuado un pago.

Una víctima entonces tomaría esta contraseña e introducirla en el símbolo por el ransomware y si es correcta, el ransomware descifra los archivos cifrados.

Por defecto, el cifrado utilizado para esta variante es TEA, la contraseña es 4kuxF2j6JU4i18KGbEYLyK2d, y la extensión del archivo encriptado es .EnCiPhErEd. La nota HOW TO DECRYPT FILES.txt que menciona como desencriptar esta infección indicará lo siguiente:

Attention! All your files are encrypted! To restore your files and access them, please send an SMS with the text XXXX to YYYY number. You have N attempts to enter the code. When that number has been exceeded, all the data irreversibly is destroyed. Be careful when you enter the code!

Fuente
Soporte

[redeyegt]

Gracias por el buen dato.

P.D. yo quiero ese constructor jijijijij.

[mikeangel21]

Buena Informacion Gracias

[carmen10]

[fernandotipop]

buen dato gracias

[baduser]

gracias por la info, ojala nunca la necesite....


salu2