Hace unos días, los expertos de Emsisoft lanzaron dos descifradores para el ransomware ZeroFucks y el ransomware Ims00rry , ahora el equipo de malware anunció el lanzamiento de un descifrador para el ransomware LooCipher .
Las víctimas del ransomware LooCipher no tienen que pagar el rescate, solo necesitan descargar el desencriptador desde el siguiente enlace: https://www.emsisoft.com/decrypter/download/loocipher
Loocipher es una nueva amenaza que se está extendiendo rápidamente, sus funcionalidades son bastante sencillas y efectivas, comunes a muchas otras familias de ransomware.
Expertos publicaron un análisis detallado del ransomware:
- El ransomware se propaga utilizando un documento Word armado.
- El comando y control está alojado en la red TOR, en la siguiente dirección de onion "hxxp: // hcwyo5rfapkytajg [.] Onion" .
- Los atacantes aprovechan varios servicios proxy Tor2Web para permitir fácilmente el acceso al Tor C2.
- El binario puede funcionar tanto como Cifrador como descifrador.
- El C2 genera dinámicamente una dirección Bitcoin diferente para cada infección.
- "LooCipher encripta los archivos de la víctima con AES-128 ECB, y agrega la extensión ".lcphr"." Declara Eminsoft.
"No queda ningún archivo de nota de rescate, pero el malware deja una pantalla que le dice a la víctima que realice un pago de BitCoin y luego use el mismo malware para descifrar sus archivos una vez que se complete el pago".
Fuente: https://securityaffairs.co/wordpress/88849/hacking/loocipher-ransomware-decryptor-2.html