Si habéis tenido la mala fortuna de ser infectados por los ramsomware de variantes HydraCrypt o UmbreCrypt estais de enhorabuena porque ya se encuentra disponible una herramienta para ayudarnos a recuperar los ficheros encriptados por estos malware.
A medida que el uso de ransomware aumenta, crece también el número de personas afectadas y los esfuerzos para erradicarlo o ayudar a las personas y/o empresas afectadas a recuperar sus datos. En este sentido van surgiendo nuevas herramientas para desencriptar los ficheros afectados sin tener que ceder al chantaje de las ciber mafias. A plataformas ya disponibles desde hace tiempo como la de Kaspersky dirigida a los ransomware Coinvault y Bitdecryptor, se une ahora una interesantísima herramienta dirigida a HydraCrypt y UmbreCrypt.
Estos dos ransomware tienen en común el pertenecer a una misma familia llamada CrypBoss, cuyo código fuente fue filtrado en 2015. Esto por una parte habría permitido a ciber delincuentes crear variantes pero también crear herramientas como la que nos interesa hoy a los investigadores.
La herramienta DecryptHydraCrypt creada por Emsisoft y Fabian Wosar ofrece un alto porcentaje de recuperación de ficheros mediante dos opciones; idealmente utilizaremos un fichero cifrado y su original sin cifrar (en caso que dispongamos de alguna copia de seguridad del mismo). En el caso que esto no fuera posible, se podría utilizar un fichero encriptado con extensión .png y cualquier otra imagen .png.
A partir de esta pareja de ficheros, el software intentaría encontrar la clave de desencriptación mediante la cual ya podremos recuperar nuestros ficheros. Una vez DecryptHydraCrypt haya podido encontrar este dato, podremos elegir por carpetas que ficheros deseamos desencriptar.
Podéis descargar DecyptHydraCrypt desde el siguiente link.
Como medida adicional de protección ante el ransomware, podemos instalar la herramienta Anti Ransom, la cual a través de una carpeta con documentos ficticios a modo de honey pot, es capaz de detectar cuando un proceso modifica estos, pararlo y volcar el proceso.
Fuente Emsisoft
