Для приложения-вымогателя Unlock92 доступен бесплатный дешифратор

Исследователь Майкл Гиллеспи создал дешифратор (некоторые антивирусы, как 360 Total Security, при скачивании определяют его как троян, так что ссылки в данном случае не будет), который призван помочь жертвам приложения-вымогателя Unlock92 для расшифровки их файлов. Unlock92 является новым приложением, недавно обнаруженным компанией Malwarebytes. Автор у приложения тот же, что у появившегося неделей ранее вымогателя Kozy.Jozy.

Kozy.Jozy применяет надёжный алгоритм шифрования RSA-2048, который не позволяет исследователям взломать программу. В Unlock92 были внесены изменения, ослабившие защиту. Пользователи могут посетить сервис ID Ransomware и узнать, какой программой инфицирован их компьютер, хотя в случае с Unlock92 всё можно понять по расширению CRRRT у зашифрованных файлов.

Программа меняет обои  и присылает сообщение, в котором сказано отправить письмо на адрес unlock92@india.com. При шифровании для каждого файла генерируется случайный шестнадцатеричный пароль из 64 символов. Файлы шифруются симметричным алгоритмом AES, а пароль зашифрован при помощи алгоритма RSA и отправляется на сервер. Жертвами становятся файлы следующих расширений:

.cd, .ldf, .mdf, .max, .dbf, .epf, .1cd, .md, .db, .pdf, .ppt, .xls, .doc, .arj, .tar, .7z, .rar, .zip, .tif, .jpg, .ai, .bmp, .png, .cdr, .psd, .jpeg, .docx, .xlsx, .pptx, .accdb, .mdb, .rtf, .odt, .ods, .odb, .odg

Требование выкупа написано на русском языке, но шифруются файлы в системах с любым языком и в любой стране. При работе с дешифратором для создания ключа нужно взять зашифрованный файл формата PNG (*.png.CRRRT), чем меньше его размер, тем лучше. Нужно загрузить его в дешифратор и ждать результата. После нахождения ключа нажмите кнопку «Confirm Password» и выберите папку для расшифровки. Рекомендуется сделать резервную копию зашифрованных файлов.