El Grupo Cisco Talos pudo encontrar un método para romper la rutina de cifrado con el fin de crear un descifrador que permita a las víctimas recuperar sus archivos de forma gratuita.
Aunque Thanatos nunca tuvo una amplia distribución, hubo algunas víctimas de este ransomware según lo indicado por los envíos a ID Ransomware y por el análisis de Cisco . De acuerdo con Cisco, hubo múltiples campañas, y la versión 1.1 se distribuyó más ampliamente.
Esta versión utilizó una nota de rescate más avanzada y mostró visiblemente el nombre y la versión del ransomware como se muestra a continuación. Las víctimas de este ransomware también tendrían sus archivos encriptados y los nombres de los archivos tendrían la extensión .THANATOS adjuntada a ellos. Por ejemplo, test.jpg se cifraría y se nombraría como test.jpg.THANATOS.
Cisco también ha declarado que se lanzaron otras versiones que no contenían ninguna información de contacto y que parecían estar diseñadas para simplemente destruir los datos de la víctima.
"Al investigar los mecanismos de distribución utilizados por el atacante para infectar a las víctimas y eliminar su capacidad de acceder a los datos en su sistema, identificamos una campaña interesante que indicaba que, al menos en este caso particular, el atacante no tenía intención de proporcionar ningún tipo de descifrado de datos a la víctima ", afirmó el informe de Cisco. "El malware parece haber sido entregado a la víctima como un archivo adjunto a un mensaje de chat enviado a la víctima utilizando la plataforma de chat Discord".
Como Thanatos fue lanzado al mismo tiempo como un proyecto de código abierto, es posible que otros desarrolladores hayan creado sus propias versiones usando la misma base de código ransomware.
Descifrar archivos encriptados por Thanatos Ransomware
Para descifrar archivos encriptados por Thanatos Ransomware, debe descargar Thanatos Decryptor y guardarlo en su escritorio.
También debe asegurarse de que tiene instalado Microsoft Visual C ++ Redistributable para Visual Studio 2017 o recibirá errores acerca de los DLL faltantes cuando intente ejecutar el descifrador.
Una vez que tenga todo lo que necesita, simplemente haga doble clic en el ejecutable y el descifrador comenzará a buscar los archivos para descifrar.
En este momento, el descifrador solo descifrará los siguientes tipos de archivos:
- Imagen: .gif, .tif, .tiff, .jpg, .jpeg, .png
- Video: .mpg, .mpeg, .mp4, .avi
- Audio: .wav
- Documento: .doc, .docx, .xls, .xlsx, .ppt, .pptx, .pdf, .odt, .ods, .odp, .rtf
- Otro: .zip, .7z, .vmdk, .psd, .lnk
Cisco también recomienda que el descifrador se ejecute en la misma máquina en la que se encriptaron los archivos. El proceso de descifrado puede llevar bastante tiempo, así que tenga paciencia mientras descifra sus archivos.
Para aquellos que estén interesados en aprender cómo funcionan los descifradores, Cisco ha abierto su herramienta, que se encuentra en la página Github del proyecto.
Fecha actualización el 2021-06-27. Fecha publicación el 2018-06-27. Categoría: cisco. Autor: Oscar olg Mapa del sitio Fuente: bleempingcomputer