Publicacion-de-la-clave-de-CrySis-en-BleepingComputer-11 Publicacion-de-la-clave-de-CrySis-en-BleepingComputer-22 

Tras conocerse las claves de descifrado, Kaspersky Lab comprobó que estas eran legítimas y decidió incluirlas en RakhniDecryptor a través de una actualización para que pueda descifrar los ficheros afectados por CrySis (no tiene nada que ver con el famoso videojuego, por si alguno lo estaba pensando).

Las víctimas del ransomware CrySis pueden ser identificadas por los ficheros cifrados y renombrados al formato [filename].id-[id].[email_address].xtbl. Por ejemplo, la mayoría de las variantes recientes tendrían que renombrar un fichero con nombre text.jpg a Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo. tras pasar este por el proceso de cifrado. Otras variantes del mismo malware han incluido los emails Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo., Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo., Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo. y Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo..

Cómo descifrar los ficheros afectados por el ransomware CrySis

Al igual que en ocasiones anteriores, esta es una solución dedicada al sistema operativo Windows de Microsoft. En primer lugar hay que descargar la herramienta RakhniDecryptor para luego extraer la aplicación. Después hay que ejecutarla para mostrar la pantalla principal, que es la mostrada justo abajo.

Kaspersky-RakhniDecryptor-pantalla-principal

Antes de empezar, el usuario se tiene que asegurar que esté usando la versión 1.17.8.0 o superior, que es la que incluye el soporte descifrar el ransomware CrySis. Para comprobar eso solo hay que hace clic sobre el enlace About situado en la parte inferior izquierda en la pantalla principal. Esto mostrará una pequeña ventana que indicará la versión de RakhniDecryptor que se está utilizando.

Comprobar-version-en-RakhniDecryptor

En caso de confirmarse que la versión de RakhniDecryptor es la mencionada o superior, el usuario tendrá que pulsar sobre el botón de Start scan (empezar escaneo) en la pantalla principal y luego le aparecerá un diálogo en el cual tendrá que seleccionar un fichero. El usuario tendrá que navegar hacia las carpetas que contienen los ficheros cifrados por CrySis y seleccionar uno, pudiendo ser este de Word, Excel, PDF, música o una imagen (hablamos del formato original del fichero). No hay que seleccionar ningún fichero de texto plano (.txt) debido a que no pueden ser usados para descifrar el resto de ficheros.

Una vez seleccionado el fichero a descifrar hay que pulsar sobre el botón Open (abrir) para que RakhniDecryptor inicie el proceso de descifrado de todos los ficheros afectados por CrySis en la computadora.

Proceso-de-descifrado-ejecutandose-en-RakhniDecryptor

Este proceso de descifrado de los ficheros puede tomar bastante tiempo, por lo que se requiere paciencia y el uso de un SAI en caso de estar utilizando un ordenador de sobremesa o dejar puesta la batería en un portátil por si se va la luz en medio del proceso.

Una vez terminado el proceso de descifrado, RakhniDecryptor mostrará la pantalla con la lista de todos los ficheros descifrados. A partir de ese momento el usuario puede cerrar la herramienta y tendría que volver a poder usar los ficheros con normalidad.

 

Fuente: BleepingComputer | muyseguridad