CryptoSearch, esta herramienta identifica los archivos cifrados por varios tipos de familias ransomware y proporciona al usuario la opción de copiar o mover los archivos a una nueva ubicación, con la esperanza de que un descifrador que puede recuperar los archivos bloqueados se dará a conocer en el futuro.
El investigador de seguridad Michael Gillespie ha desarrollado una nueva aplicación de Windows para ayudar a las víctimas de las infecciones ransomware.
Gillespie desarrolló la aplicación como una utilidad para limpiar los ordenadores que han sido infectados por cepas ransomware undecryptable.
En estos casos, es imposible para los usuarios de PC recuperar archivos bloqueados, por lo que el mejor curso de acción es mover todos los datos cifrados en una unidad de copia de seguridad y esperar a que los investigadores de seguridad a encontrar una manera de romper el cifrado del ransomware.
La recopilación de todos los archivos cifrados es una historia diferente. Ransomware funciona mediante la encriptación de los tipos de archivos, carpetas y no, por lo que por lo general las víctimas archivos cifrados han extendido por todo su PC, no en unos pocos lugares centrales.
Aquí es donde entra CryptoSearch para ayudar, mediante la automatización de este proceso de búsqueda, y el movimiento de estos archivos a una nueva ubicación. Una vez que termine este de operación y los usuarios de PC tienen una copia de seguridad de los datos cifrados, se puede limpiar el ordenador mediante la eliminación de archivos del ransomware, u opcionalmente, limpiar el disco duro y reinstalar todo el sistema operativo.
CryptoSearch trabaja en conjunto con el servicio del ID ransomware, lo que significa que tiene que estar en línea cuando se ejecuta la aplicación.
De acuerdo con Gillespie, CryptoSearch consultará el ID de servicio ransomware con el fin de recuperar los datos necesarios para identificar el tipo de ransomware que ha bloqueado el PC del usuario.
"Este programa es impulsado por mi ID de servicio ransomware, y por lo tanto está siempre actualizado con las definiciones de los ransomwares conocidos más recientes y sus firmas," escribió Gillespie.
"Cuando se lanzó por primera vez CryptoSearch, se pondrá en contacto con el sitio web, y tire hacia abajo la última información sobre las extensiones conocidas y patrones de bytes," añadió Gillespie. "Será identificar los archivos por el patrón de nombre de archivo conocido o extensión, o para algunas variantes, el patrón hexagonal en el archivo cifrado".
CryptoSearch utiliza esta base de datos para buscar en el sistema de archivos local, identificar la infección ransomware, y luego encontrar todos los archivos bloqueados por el que ransomware.
Una vez CryptoSearch ha identificado todos los archivos, se solicita al usuario a través de un menú y le preguntó si él quiere mover o copiar los archivos, y luego preguntó dónde reubicar a los datos cifrados
Gillespie dice que CryptoSearch es inteligente en la forma en que transfiere archivos, manteniendo la estructura de carpetas inicial. Por ejemplo, se han encontrado en "C:\Test\carpeta" se moverá a "J:\Backup\ C\Test arpeta"
CryptoSearch se encuentra actualmente en una fase de desarrollo beta, lo que significa más características llegarán en el futuro.
Una de las características actualmente solicitado es un "modo offline" que incluirá copias estáticas de la base de datos ransomware ID para que CryptoSearch podría ser utilizado en equipos que no están conectados a Internet.
