Fabian Wosar, CTO e investigador de seguridad de Emsisoft, ha publicado un descifrador gratuito para los archivos afectados por la familia de ransomware CryptON. Con esta herramienta los usuarios afectados no tendrán que pagar el rescate para recuperar sus archivos.
CryptON se originó en Rusia. Infecta a través de ataques de fuerza bruta a servicios de escritorio remoto (RDP) para iniciar sesión en el servidor de la víctima y ejecutar el ransomware. El malware elimina los puntos de recuperación del sistema para evitar que sean recuperables copias sombra de los archivos una vez que fueron encriptados.
CryptON cifrará con AES-256 y llave SHA-256 todos los tipos de archivo del equipo, excepto los que se encuentran en C:\Windows, C:\Program Files y la carpeta de perfil del usuario. Con esto evita afectar la operación de arranque y otros procesos críticos del sistema.
Se ha identificado que el ransomware agrega las siguientes extensiones al nombre de los archivos cifrados:
.id-<id>_locked
.id-<id>_locked_by_krec
.id-<id>_locked_by_perfect
.id-<id>_x3m
.id-<id>_r9oj
.id-<id>_garryweber@protonmail.ch
.id-<id>_steaveiwalker@india.com_
.id-<id>_julia.crown@india.com_
.id-<id>_tom.cruz@india.com_
.id-<id>_CarlosBoltehero@india.com_
.id-<id>_maria.lopez1@india.com_
En su nota de rescate CryptON indica a las víctimas que se pongan en contacto por correo electrónico con el desarrollador de ransomware para el pago del rescate, a diferencia del comportamiento habitual de otros ransomware que inducen a la víctima a un portal de internet para hacer dicho pago.
El descifrador gratuito para CryptON se encuentra en el sitio de descifradores de Emsisoft. Antes hay que seguir los pasos indicados en la Guía de Borrado de Ransomware.