El creador del ransomware Locker publica las llaves de descifrado

Un individuo que dice ser el desarrollador del ransomware conocido como Locker ha publicado las claves privadas en pastebin necesarias para recuperar los archivos cifrados tomados como rehenes. De momento no se conocen los motivos del repentino arrepentimiento.

 "Yo soy el autor del ransomware Locker y siento mucho lo que ha ocurrido. Nunca fue mi intención  lanzarlo ", reza un post Pastebin firmado por" Poka BrightMinds ".



http://pastebin.com/1WZGqrUH

Hi,

 

I am the author of the Locker ransomware and I'm very sorry about that has happened. It was never my

intention to release this.

 

I uploaded the database to mega.co.nz containing "bitcoin address, public key, private key" as CSV.

This is a dump of the complete database and most of the keys weren't even used.

All distribution of new keys has been stopped.

 

https://mega.co.nz/#!W85whbSb!kAb-5VS1Gf20zYziUOgMOaYWDsI87o4QHJBqJiOW6Z4

 

Automatic decryption will start on 2nd of june at midnight.

 

@devs, as you might be aware the private key is used in the RSACryptoServiceProvider class .net and

files are encrypted with AES-256 bit using the RijndaelManaged class.

 

This is the structure of the encrypted files:

 

- 32 bit integer, header length

- byte array, header (length is previous int)

*decrypt byte array using RSA & private key.

 

Decrypted byte array contains:

- 32 bit integer, IV length

- byte array, IV (length is in previous int)

- 32 bit integer, key length

- byte array, Key (length is in previous int)

 

- rest of the data is the actual file which can be decrypted using Rijndaelmanaged and the IV and Key

 

Again sorry for all the trouble.

 

Poka BrightMinds

 

~ V

Un archivo CSV que contiene direcciones Bitcoin y claves RSA ha sido puesto a disposición, junto con información sobre la estructura de los archivos cifrados. El presunto autor afirma que los archivos también pueden descifrar automáticamente a partir del 2 de junio a la medianoche.

File Information

Name: database_dump.csv
Size: 127.5 MB
MD5: d4d781412e562b76fe0db0977cf6279b
SHA-1: 6ba671ce2a6c256c74d7db81186b0dbddd5e2185
SHA-256: d7fd791b86615fada64fe0290aecb70e5584b9ac570e7b55534555a3b468b33f

VirusTotal: https://www.virustotal.com/en/file/d7fd791b86615fada64fe0290aecb70e5584b9ac570e7b55534555a3b468b33f/analysis/1433015747/

El archivo de base de datos contiene más de 62.000 filas, pero la mayoría de las keys no se han utilizado, de acuerdo con el presunto creador Locker.

Varios usuarios han confirmado en el foro de Bleeping Computer que las claves de descifrado publicadas son válidas. El analista de Malware y experto ransomware Nathan Scott ha desarrollado Locker Unlocker, una sencilla herramienta que permite a las víctimas a recuperar sus archivos.



Locker exige el pago de 0,1 Bitcoin para la clave de descifrado. Si el rescate no se paga dentro de 72 horas, la cantidad aumenta a 1 Bitcoin.

La amenaza se ha distribuido con la ayuda de un troyano, que recibió una orden instruyendo para instalar Locker en sistemas infectados, el 25 de mayo.

Muchos usuarios se han mostrado escépticos acerca de las buenas intenciones del presunto autor, y algunos han señalado que debería devolver los Bitcoins pagados por las víctimas si está verdaderamente arrepentido de sus actos. Mientras que algunos han especulado que la persona que publicó las claves de descifrado podría ser un programador contratado para crear Locker o que su trabajo ha sido robado y abusado, mucha gente no piensa que es inocente.....

Fuente:
http://www.securityweek.com/alleged-author-locker-ransomware-publishes-decryption-keys