El ransomware JIGSAW ha sido vencido una vez más, recupera tus archivos gratis.

Empecemos el día con buenas noticias. El ransomware JIGSAW ha sido descifrado una vez más. Descubierto por primera vez en abril, esta amenaza elimina lentamente los archivos de la víctima mientras esta piensa si pagar el rescate, si reinicias el ordenador elimina 1.000 archivos de golpe.

jigsaw-ransomware

Jigsaw amenaza con eliminar miles de tus archivos en una hora si no pagas 0,4 Bitcoins.

La buena noticia es que los expertos en malware de CheckPoint han descubierto una manera de “salvar” nuestros archivos.

Los expertos se encontraban investigando la última variante del ransomware JIGSAW:

( SHA256:61AA800584B170FFE9959ACD057CCAF784BF3088E1D3AAB39D07C0793F6C03DF )

Y las afirmaciones que este hacía sobre haber vulnerado nuestra cuenta de Skype robando nuestras contraseñas y nuestro historial. Fue en este momento, cuando descubrieron el mecanismo que el malware usa para comprobar si los pagos han sido realizados o no por la víctima.

Una vez esta decide pagar, pulsa el botón “I made a payment, now give me back my files!” el cual activa una solicitud HTTP GET a:

btc.blockr[.]io/api/v1/address/balance/<bitcoin-account>

La respuesta consiste en esta estructura JSON:

{“status”:”success”,”data”:{“address”:”<bitcoin-account>”,”balance”:0,”balance_multisig”:0},”code”:200,”message”:””}

En ese momento, los investigadores decidieron hacer algunas pruebas cambiando campos de la JSON, por ejemplo, cambiando a una direccion de una cuenta de Bitcoin la cual tiene la cantidad necesaria para descrifrar los archivos. Los expertos cambiaron la variable “balance” en su respuesta entre 0 y 10 con lo que el ransomware cree que el pago se ha realizado correctamente e inicia el proceso de descifrado de los archivos y su eliminación del ordenador infectado.

Con estas respuestas han desarrollado una herramienta de descifrado con la que debes seguir estos pasos:

  1. Descomprimir el archivo JPS.zip.  
  2. En la carpeta Jigsaw Puzzle Solver, haga clic derecho ‘JPS.exe‘ y haga clic en “Ejecutar como administrador“.     
  3. Siga las instrucciones que aparecen en la pantalla