Ya está disponible para descargar un nuevo descifrador para el ransomware RanHassan. Aislada por primera vez en mayo de 2022, esta familia de ransomware parece apuntar principalmente a víctimas en India y países de habla árabe.
Los signos reveladores de una infección de RanHassan son la presencia de notas de rescate llamadas ATENTION...ATENTION...ATENTION...ATENTION...ATENTION....hta referencias [dc.dcrypt@tutanota.com](mailto:dc.dcrypt@tutanota.com)y [dc.dcrypt@mailfence.com](mailto:dc.dcrypt@mailfence.com).
Cómo descifrar archivos rescatados
Paso 1 : descargue la herramienta de descifrado a continuación y guárdela en el dispositivo infectado:
Paso 2 : Ejecute la herramienta y acepte el Acuerdo de licencia de usuario final.
Paso 3 : seleccione una carpeta para buscar archivos cifrados o deje que la herramienta encuentre todos los archivos en el sistema. Para que la herramienta identifique las claves correctas, necesita al menos un archivo cifrado y su versión sin cifrar.
Paso 4 : inicie el proceso de descifrado y deje que la herramienta se ejecute hasta que se descifren todos los archivos.
Ejecución silenciosa (a través de cmdline)
La herramienta también se puede ejecutar de forma silenciosa a través de una línea de comandos. Si necesita automatizar la implementación de la herramienta dentro de una red grande, es posible que desee utilizar esta función.
• -help– proporcionará información sobre cómo ejecutar la herramienta de forma silenciosa (esta información se escribirá en el archivo de registro, no en la consola)
• start – este argumento permite que la herramienta se ejecute en silencio (sin GUI)
• -scan-path – este argumento especifica la ruta que contiene los archivos cifrados
• -full-scan – habilitará la opción Escanear todo el sistema (ignorando el argumento -scan-path)
• -disable-backup – desactivará la opción de copia de seguridad del archivo
• -replace-existing – habilitará la opción Reemplazar archivos previamente descifrados
• -test-path– especifica una carpeta que contiene pares de archivos limpios y cifrados
Ejemplos:
BDRanHassanDecryptTool.exe start -scan-path: C:\-> la herramienta se iniciará sin GUI y escaneará C:\BDRanHassanDecryptTool.exe start -full-scan-> la herramienta comenzará sin GUI y escaneará todo el sistemaBDRanHassanDecryptTool.exe start-escaneado completo -reemplazar-existente -> la herramienta escaneará todo el sistema y sobrescribirá los archivos limpios presentes
Reconocimiento
Este producto incluye software desarrollado por OpenSSL Project, para uso en OpenSSL Toolkit ( http://www.openssl.org/ )
K7Security Labs ha publicado un análisis técnico de RanHassan (DCDcrypt) aqui.