Descifra tus archivos del ransomware Gomason

[tortex]

Un nuevo ransomware llamado Gomasom (GOogle MAil ranSOM) por Fabian Wosar de Emsisoft debido a su uso de direcciones de correo electrónico gmail en los nombres de los archivos cifrados. Este ransomware es particularmente destructivo, ya que no solo los archivos de datos son cifrados sino que también cifra ejecutables, lo que hará que casi la totalidad de sus aplicaciones ya no funcionen. Cuando un usuario está infectado con este ransomware, sus archivos de datos son cambiados de nombre a un nombre de archivo como [email protected]_.crypt. Se espera que el usuario pueda enviar por correo electrónico la dirección que aparece en el nombre de archivo con el fin de obtener las instrucciones de pago del rescate. Afortunadamente, Fabian fue capaz de crear un programa que puede descifrar estas variantes, siempre y cuando usted tenga una versión sin cifrar de uno de sus archivos.

Una vez iniciado, el ransomware explorará todas las letras de Unidad para los archivos de datos y archivos ejecutables y encriptara todos ellos. Una vez que el archivo se ha cifrado, este cambiará de nombre en el formato originalfilename.extension! ____.Cript. Ejemplo si tenemos un archivo llamado tulips.jpg se convertiría en [email protected]_.crypt. Este ransomware no deja una nota de rescate.

Con el fin de encontrar la clave de descifrado, tendrá que arrastrar un archivo cifrado y la versión sin cifrar del mismo archivo al icono decrypt_gomasom.exe al mismo tiempo. Así debe seleccionar tanto la versión encriptada y no cifrado de un archivo y arrastrar los dos en el ejecutable. Si no dispone de una versión original de uno de los archivos cifrados, en las pruebas se pudo utilizar un archivo PNG cifrado y cualquier otro archivo PNG sin cifrar que se baje de Internet y arrastrarlos juntos hasta el icono decrypt_gomasom.exe. Una vez que determine la clave utilizada para cifrar uno de sus archivos, a continuación, puede utilizar esa clave para descifrar todos los otros archivos en su ordenador.

Al iniciar el programa, se le presentará con un mensaje de UAC, como se muestra a continuación. Por favor, haga clic en el botón "Yes" para continuar.

Ahora, el programa utilizará la fuerza bruta para encontrar la clave de los archivos seleccionados. Esto podría tomar algún tiempo, así que por favor sea paciente. Cuando una clave se obtiene por fuerza bruta, mostrará una nueva ventana como la de abajo.

Para comenzar a descifrar sus archivos con esta clave, por favor haga clic en el botón "OK". A continuación, se presentará con un contrato de licencia que usted debe hacer clic en "Yes" para continuar. Ahora verá la pantalla principal DecryptGomasom.

Para descifrar la unidad C:\, haga clic en el botón "Decrypt". Si hay otras unidades o carpetas que desea descifrar que no están en la lista, puede hacer clic en el botón "Add folder" para agregar otras carpetas que contienen archivos cifrados. Una vez que haya agregado todas las carpetas que desea descifrar, haga clic en el botón "Decrypt" para comenzar el proceso de descifrado. Una vez que haga clic en "Decrypt", DecryptGomasom descifrará todos los archivos cifrados y mostrar el estado de descifrado en una pantalla de resultados como la de abajo.

Fuente
Soporte Uso de la Herramienta

[mikeangel21]

Muchas gracias por esta solución de seguro les servirá a muchos

[XKeithful]

Muy buena info, gracias nano

[carmen10]

[josner]

[frutiloopis]

Continúan proliferando los ransomware y sus variantes, pero gracias a ti estaremos preparados por sí tenemos algún ataque.