Security researcher Michael Gillespie has created a decrypter that can help victims of the Unlock92 ransomware recover their archives them without paying a ransom.
Unlock92 is a new version of ransomware first discovered by Malwarebytes S security researcher! Ri yesterday. The ransomware seems to have been developed by Kozy.Jozy's ransomware developer who appeared a week ago.
But while Kozy.Jozy uses a strong RSA-2048 algorithm system that doesn't let researchers crack its encryption, it seems that its developer decided to make some modifications to the original source code that eventually weakened its defenses.
But let's see what happens with it malware:
To lock the victim's files, Unlock92 creates a random hexadecimal character password of 64 for each infected user. The files are encrypted with a symmetrical AES encryption, and the above code encrypted with RSA is sent to the fraudster's server.
Ransomware strikes the following file extensions:
.cd, .ldf, .mdf, .max, .dbf, .epf, .xNUMXcd, .md, .db, .pdf, .ppt, .xls, .doc, .arj, .tar, .1z, .rar .zip, .tif, .jpg, .a, .bmp, .png, .cdr, .psd, .jpeg, .docx, .xlsx, .pptx, .accdb, .mdb, .rtf, .odt ,. ODS, .odb, .odg
Instructions for using decrypter:
"Για να δημιουργήσετε το key και το IV, θα χρειαστείτε ένα κρυπτογραφημένο αρχείο PNG (*.png.CRRRT). Όσο μικρότερο είναι το αρχείο, τόσο το καλύτερο. Η διαδικασία μπορεί να πάρει κάποιο χρόνο, αλλά θα είναι λιγότερο από μία ώρα για ένα μικρό αρχείο για τα περισσότερα μηχανήματα. Ένας επεξεργαστής i7 μπορεί να αναλύσει ένα αρχείο 1KB και να βρει το κλειδί σε λίγα λεπτά. Απλά το τοποθετείτε το στο brute-Forcer, και αφήστε το να προχωρήσει. Μόλις βρει το κλειδί, κάντε κλικ στο κουμπί 'Επιβεβαίωση κωδικού πρόσβασης ", στη συνέχεια, επιλέξτε ένα φάκελο για να τον αποκρυπτογραφήσετε."
Of course for more security keep a backup of your encrypted files first.
Although, as mentioned before, Unlock92 has been developed by the same programmer who wrote Kozy.Jozy the decrypter only works for Unlock92.