Nuevo sistema de codificación de ficheros con extension añadida .block, provocado por nueva variante de ransomware de la policia, ahora con cifrado aes 256

Ya hace tiempo en algunas de las variantes del virus de la policia, Ransowmware Reveton, winlock, etc, se cifraban los ficheros del usuario afectado, añadiendo como prefijo la palabra LOCKED, para lo que hicimos un decodificador (SDECODER.EXE) y desde entonces otros ransomware han codificado de diferentes maneras, añadiendo .DONE a la extension de los ficheros y el último del que tenemos noticia es uno que añade .BLOCK despues de la extension, y se basa, por lo que sabemos, en una codificacion al estilo de clave publica y privada, incluyendo con cada infección dos ficheros que graba en la carpeta:

APPLICATION DATA (Datos de programa) en Windows XP o APPDATA\ROAMING en Windows 7


siendo los nombres de los ficheros que crea, los siguientes:


Initia1Log.txt.block (clave de cifrado) y ok.txt.block (verificacion de la validez)



Con ellos, la utilidad DEBLOCK.EXE decodificará los ficheros cifrados y se podrá volver a disponer de ellos para su proceso normal.

Si algun usuario ha sido ya afectado por dicho ransomware, que conserve dichos ficheros *.TXT.BLOCK , y tras eliminar el virus, lance la utilidad DEBLOCK.EXE para decodificar los ficheros:

DeBlock.zip

En cualquier caso, tomar precauciones y trabajar con copia de seguridad, ante las posibles modificaciones que se hagan con dicha codificacion.

saludos

ms, 17-12-2012