Una herramienta de descifrado del ransomware FindZip para Mac descomprime los archivos cifrados

Jakub Křoustek 5 may 2017

Avast presenta una nueva herramienta de descifrado que ayudará a los usuarios de Mac infectados por el ransomware denominado FindZip a descifrar los archivos.

A finales de febrero de 2017, se descubrió un nuevo tipo de ransomware para Mac. Este ransomware, que recibe el nombre de FindZip, infecta a los usuarios haciéndose pasar por una versión "crackeada" de aplicaciones comerciales, como Adobe Premiere Pro. Al infectar a un Mac, utiliza un cifrado ZIP para cifrar documentos. Se trata exactamente del mismo método que emplea el ransomware de Windows, Bart, que desciframos el verano pasado.

MalwareBytes ya publicó un análisis técnico sobre FindZip y una descripción del proceso de descifrado. Sin embargo, somos conscientes de que las instrucciones de MalwareBytes pueden resultar algo complejas, por lo que hemos creado una aplicación de descifrado más fácil de usar.

La herramienta de descifrado de FindZip está disponible en nuestra página de herramientas gratuitas de descifrado de ransomware, al igual que todas las demás herramientas de este tipo.

01.png

Ejecutar el descifrador de ransomware en Windows

Si decide copiar los archivos cifrados del Mac en un sistema Windows, podrá usar fácilmente el descifrador sin necesidad de instalar ningún otro software.

02.png

Ejecutar el descifrador de ransomware en Mac

Como los descifradores de ransomware publicados por Avast son aplicaciones de Windows, los usuarios de Mac (y de Linux) tienen que instalar una capa de emulación para la aplicación de Windows. El descifrador se probó con CrossOver y con Wine, aunque también podrían funcionar otros programas de emulación.

En esta guía se describe cómo ejecutar la herramienta de descifrado usando Wine para Mac. Esta herramienta se ha probado en MacOS 10.10 (Yosemite) y 10.12 (Sierra).

Instalar XQuartz

Primero hay que instalar un sistema de ventanas para el Mac. Vaya a https://www.xquartz.org (o busque "XQuartz para Mac" en Google) y descargue el archivo de instalación DMG.

03.png

Si el archivo descargado no se abre automáticamente, ábralo desde la carpeta Descargas.

04.png

Haga doble clic en el icono "Quartz.pkg" para abrir el instalador.

05.png

Después haga clic en "Continuar" o en "Instalar". Quizás deba aceptar la licencia y escribir su contraseña para instalar una aplicación nueva. El proceso de instalación puede tardar unos minutos. Es posible que, durante la instalación, tenga que cerrar la sesión y volver a iniciarla para completar el proceso:

06.png

Nota: Si omitió la instalación de XQuartz y pasó directamente a instalar Wine, seguramente aparezca un mensaje avisando de que primero hay que instalar XQuartz :)

Instalar Wine

Vaya a https://wiki.winehq.org/MacOS (o busque "Wine para Mac" en Google, no solo "wine" ;-) ) y siga el vínculo para descargar los paquetes PKG. Descargue "Installer for Wine Staging":

07.png

El archivo descargado se encuentra en la carpeta Descargas:

08.png

Haga doble clic en el icono para ejecutar el instalador:

09.png

Haga clic en "Continuar" y seleccione "Instalar para todos los usuarios de este equipo". Vuelva a hacer clic en "Continuar" y luego en "Instalar". Puede que deba escribir su contraseña, ya que instala una nueva aplicación. Cuando termine la instalación, haga clic en "Cerrar".

Ahora puede descargar el descifrador de Avast y ejecutarlo sin problemas.

Nota importante: Si ya tenía instalado Wine antes de la infección por ransomware, es probable que toda la configuración de Wine esté cifrada. Si es el caso, tiene que eliminar la carpeta \Usuarios\<SuNombreDeUsuario>\.wine antes de ejecutar la aplicación de descifrado.

Ejecutar la aplicación de descifrado

Para ejecutar el descifrador, descárguelo desde la página de herramientas gratuitas de descifrado de Avast y haga doble clic en el icono de la aplicación:

10.png

La primera vez que se ejecuta tarda un poco en configurarse.

  • Si se le pide instalar "Mono", haga clic en "Cancelar".
  • Si se le pide instalar "Gecko", presione "Instalar", espere a que se descargue el instalador e instálelo.

Cuando se completa la configuración inicial, el descifrador se ejecuta y aparece la pantalla de bienvenida:

11.png

En la siguiente ventana (después de hacer clic en "Siguiente"), puede seleccionar una o varias ubicaciones, que es donde están los archivos descifrados. De forma predeterminada, contiene el nombre de la carpeta principal del usuario actual:

12.png

El ajuste predeterminado suele valer. Presione "Siguiente". A continuación, hay que introducir un par de archivo original y archivo cifrado. Los puede arrastrar y soltar desde las carpetas de Mac o puede buscarlos haciendo clic en el botón "...".

13.png

Una vez introducidos los archivos, haga clic en "Siguiente".

14.png

En esta pantalla, se lleva a cabo el proceso de "crackeo" de la contraseña. Haga clic en "Iniciar" y espere hasta que el descifrador encuentre la contraseña. Normalmente, se tarda un minuto en "crackear" la contraseña de los archivos cifrados con FindZip.

15.png

Cuando haya finalizado el proceso de "crackeo" de la contraseña, presione "Siguiente".

En la última pantalla, puede elegir no crear copias de seguridad durante el proceso de descifrado. Sin embargo, no se recomienda hacerlo.

16.png

Al hacer clic en "Descifrar", la aplicación descifra todos los archivos de la carpeta que se introdujeron en la pantalla "Seleccione ubicaciones para descifrar".

17.png

Cuando el descifrado haya acabado, presione "Cerrar" y listo. ¡Los archivos ya están descifrados!

Agradecimientos especiales

Me gustaría dar las gracias a Peter Conrad, autor de PkCrack, por permitirnos utilizar su biblioteca en nuestros descifradores. También quiero mostrar mi agradecimiento a mi colega, Ladislav Zezula, por haber preparado este descifrador.

IOC

c68814901d0af5de410c152e62a06a51c16ec7fe118f1e5251bbcdbb27364709

d19b903adbd0f8c119d0d8f25b194bdd24b737357a517f23ca5cdc6c75b35038

 

--> -->