Nuestro equipo de investigación de malware acaba de lanzar un descifrador para el nuevo ransomware que llamamos JSWorm 2.0.

JSWorm 2.0 está escrito en C ++ y utiliza el cifrado Blowfish. Lo llamamos "2.0" porque había otro ransomware C # que usaba la extensión ".JSWORM". Algunas cadenas también sugieren que este ransomware puede ser del mismo autor.

Llamadas notables también se encontraron en dos muestras de malware diferentes que nombraban ID Ransomware y varios investigadores de malware prominentes:

“:HI SIRI, DEMONSLAY AND AMIIIIGO!!! HOW ARE YOU?”

y

“:ID-RANSOMWARE, IT’S JUST THE BEGINING [sic] OF SOMETHING NEW…”

Desde enero de 2019, se han enviado múltiples notificaciones confirmadas a ID Ransomware (un sitio web donde las víctimas cargan sus archivos cifrados para identificar el ransomware que ha cifrado sus datos), incluidas las víctimas de Sudáfrica, Italia, Francia, Irán, Vietnam, Argentina y Estados Unidos. , y otros paises.

Sus archivos tienen la extensión ". [ID- <números>] [<email>] .JSWORM" y el archivo de nota de rescate llamado "JSWORM-DECRYPT.txt".

Si eres víctima de este ransomware, sigue las instrucciones a continuación y NO PAGUES el rescate

• Descargue el descifrador JSWorm 2.0 aquí

Emsisoft JSWorm 2.0 Decrypter

Detalles Técnicos

Una infección JSWorm 2.0 también tendrá los siguientes efectos:

• Establece la clave de registro "EnableLinkedConnections", que le permite atacar unidades asignadas cuando se ejecuta como administrador.

• Reinicia los servicios SMB (lanmanworkstation) para que surtan efecto (estamos investigando si hay más en el vector SMB).

• Detiene los servicios para bases de datos (MSSQL, MySQL, QuickBooks), elimina backup, desactiva el modo de recuperación.

La nota de rescate contiene el siguiente texto:

All your files were encrypted! Your personal ID: [redacted]

>>> Contacts: remarkpaul77@cock.li alfred.helper@keemail.com (in case of no answer)

>>> What should I include in my message? 1. Country 2. List of encrypted drives and their size 3. Extension of encrypted files (.[ID-[redacted]][remarkpaul77@cock.li].JSWORM) 4. JSWORM PUBLIC KEY (below)

>>> Free decryption as guarantee! Before paying you send us up to 3 files for free decryption. We recommeded to send pictures, text files, sheets, etc. (files no more than 1mb)

>>> ATTENTION! 1. Do not rename encrypted files. 2. Do not try to decrypt your data using third party software, it may cause permanent data loss. 3. Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

——-BEGIN JSWORM PUBLIC KEY——- [redacted] ——-END JSWORM PUBLIC KEY——-

Para usar el descifrador, necesitará la nota de rescate.

JSWorm 2.0 Finished Decryption

Cómo utilizar el descifrador JSWorm 2.0 de Emsisoft

1. Descargue el Emsisoft JSWorm 2.0 Decrypter.

2. Ejecute el ejecutable y confirme el acuerdo de licencia cuando se le solicite.

3. Haga clic en "Examinar" y seleccione el archivo de nota de rescate en su computadora.

4. Haga clic en "Inicio" para descifrar sus archivos. Tenga en cuenta que esto puede tomar un tiempo.

¡Terminado!

#Descifrador #Emsisoft #JSWorm #Ransomware