Sigrun Ransomware author free decrypt files for users from some countries former USSR (with Russian primary language)— Alex Svirid (@thyrex2002) 31 de mayo de 2018
El investigador de MalwaresBytes (S!Ri) evidenció la respuesta del atacante cuando se encontró con un usuario Ruso y otro Estadounidense.
Yup, many are doing that. Guess who is Russian and who is American? pic.twitter.com/1pS6NhPtXN— S!Ri (@siri_urz) 31 de mayo de 2018
Cuando la aplicación se ejecuta dentro del PC de la victima, esta hace una revisión de los archivos a encriptar y evita realizar la encriptación de los siguientes archivos
\ProgramData\, \IETldCache\, \Boot\, \Program Files\, \Tor Browser\, \All Users\, \Local Settings\, \Windows\, desktop.ini, autorun.inf, ntuser.dat, iconcache.db, bootsect.bak, boot.ini, ntuser.dat.log, thumbs.db, ntldr, NTDETECT.COM, Bootfont.bin, A:\, SQL, .ani , .cab , .cpl , .cur , .diagcab , .diagpkg , .dll , .drv , .hlp , .ldf , .icl , .icns , .ico , .ics , .lnk , .key , .idx , .mod , .mpa , .msc , .msp , .msstyles , .msu , .nomedia , .ocx , .prf , .rom , .rtp , .scr , .shs , .spl , .sys , .theme , .themepack , .exe , .bat , .cmd , .sigrun_key , .sigrun , .admin
Cuando los archivos se encriptan, estos terminan con la extensión sigrun.
En cada carpeta donde se realizo alguna encriptación, se crean dos archivos, uno que se llama Sigrun.txt y otro que se llama Restore-Sigrun.html
Como comentamos anteriormente la única manera de desencriptar el malware es que seas un ciudadano ruso.
Recomendamos siempre que tengas una copia de seguridad de tus archivos en otro medio, para evitar así al ser victima de estos malwares, que pierdas tu información.