Desde hace un par de días existe un remedio para descifrar de forma gratuita otro ransomware, BadBlock, y en MuySeguridad explicaremos los pasos a seguir para poder recuperar los archivos que han sido cifrados por este malware.
Para empezar, se puede considerar BadBlock como uno de los ransmoware peor escritos (a nivel de programación) y peor diseñados que se conocen, porque además de cifrar los ficheros del usuario (objetivo tradicional de los ransomware), se dedica a romper el sistema cifrando también todos los ejecutables presentes en este, incluidos los que Windows necesita para iniciarse. Como es obvio, tras realizar esto el sistema operativo Windows deja de funcionar.
Por otro lado tiene otra peculiaridad, y es que mientras la mayoría de los ransomware avisan de su presencia después de terminar el proceso de infección, BadBlock muestra mensajes que lo delatan desde el momento en que es ejecutado, mostrando en todo momento lo que está haciendo. Esto permite al usuario poder abortar el proceso de infección a través del Administrador de Tareas de Windows matando el proceso badransom.exe. Para acceder al Administrador de Tareas hay que pulsar a la vez ctrl+alt+supr.
Descifrando BadBlock
Para aquellas personas que no han podido evitar el cifrado de al menos algunos de sus ficheros, Fabiar Wosar, de Emisoft, ha publicado recientemente una herramienta para descifrarlos con facilidad, decrypt_badblock.exe.
Para empezar, el usuario tendrá que seleccionar una versión sin cifrar y otra cifrada por BadBlock de un fichero y arrastrarlos hacia el ejecutable de decrypt_badblock.exe. En caso de no tener ambos ficheros, se puede recurrir a un fichero png cifrado por BadBlock y a una versión el mismo sin cifrar obtenidos de Internet en lugar de los propios del usuario, para así empezar el proceso de obtención de la calve de descifrado.
Cuando el programa de descifrado se inicia, este pedirá permiso para ejecutarse a través del Control de Cuentas de Usuario. Obviamente, aquí habrá que seleccionar Sí para iniciar el proceso de obtención de la clave de descifrado. Después decrypt_badblock.exe mostrará una consola a través de la cual irá informando sobre cómo va el proceso de obtención de la clave mediante fuerza bruta.
Una vez que la clave haya sido obtenida mediante el proceso de fuerza bruta, esta se mostrará a través de una ventana de diálogo. El usuario tendrá que apuntar la clave desde otro medio (papel mismo) por si necesita utilizarla en otra ocasión.
Para poder iniciar el proceso de descifrado el usuario tendrá que hacer clic sobre el botón OK, que dirigirá al usuario hacia los términos de la licencia del programa, los cuales tendrán que ser aceptados pulsando sobre el botón Yes (o Sí/Aceptar en caso de salir traducido). Después aparecerá la ventana principal del programa de descifrado, marcando que empezará a trabajar desde la unidad C:. En caso de que haya más carpetas o unidades infectadas, el usuario las tendrá que añadir a través del botón Add Folder (Añadir Carpeta).
Cuando se haya configurado las carpetas y unidades con ficheros a descifrar, el usuario tendrá que hacer clic sobre el botón Decrypt (Descifrar) para iniciar el proceso y poder así recuperar sus ficheros.
Windows no se inicia, ¿qué hacer?
En caso de que Windows no pueda iniciarse debido a que el proceso de cifrado de BadBlock ha llegado demasiado lejos, lo suyo es extraer los discos duros infectados y montarlos en un sistema que esté “sano”. Evidentemente, dicho sistema sano es bueno que sea una instalación limpia sin ficheros personales para evitar que los daños se extiendan.
Por otro lado sería muy bueno tener el Administrador de Tareas abierto en todo momento para así poder vigilar el proceso badransom.exe y matarlo lo más rápidamente posible en caso de aparecer.
Fuente: Bleeping Computer | muyseguridad
