Nueva herramienta por parte de CERT Polska para descifrar Mapo ransomware

por Alex Millà el

Mapo es virus de tipo ransomware que nos va a cifrar algunos archivos importantes utilizando la clave RSA-2048 (algoritmo de cifrado AES CBC de 256 bits) y va a añadir la extensión .Mapo a estos archivos. Mapo nos va a mostrar un mensaje ofreciéndonos descifrar los datos pagando previamente un importe en Bitcoins. Las instrucciones se colocan en el escritorio de las víctimas en la ventana emergente o en un archivo de texto.

CERT Polska pertenece al Research and Academic Computer Network (NASK) y han creado junto con Maciej Kotowicz del equipo GReAT de Kaspersky una herramienta gratuita para descifrar Mapo ransomware.

La herramienta trabaja con archivos cifrados que tienen la extensión .mapo y deja una nota de rescate adjunta como archivo «MAPO-Readme.txt»:

Instrucciones de descifrado de Mapo ransomware

  • Primero hay que asegúrese de que el software de rescate ya no se está ejecutando, puede volver a cifrar sus archivos, haciendo que todo el proceso de descifrado no sirva para nada.
  • Descargue el Mapo Decryptor.
  • Obtenga la clave en https://mapo.cert.pl.
    • Subir el archivo con la nota de rescate (el archivo MAPO-Readme.txt) haciendo clic en el campo en blanco de la página web.

    • Después de seleccionar el archivo, se mostrará el archivo subido. Verifique el captcha haciendo click, luego haga clic en el botón «Get key» para recuperar la clave.

    • Si la nota de rescate es correcta y está soportada por la herramienta de descifrado, mostrará la clave correspondiente. Sin cerrar el sitio web todavía.

  • Ejecute el archivo mapo_decryptor.exe (que descargó en uno de los pasos anteriores.) en el equipo infectado en una ventana de MS-DOS.

  • Haga clic en «Sí» en la ventana de UAC.

  • Espere hasta que el descifrador pida la llave con el siguiente mensaje «Ingrese la llave recuperada».

  • El descifrador pedirá proporcionar la llave obtenida del servicio en los pasos anteriores, copie la llave del sitio web y péguela en la terminal como se muestra a continuación (haga clic con el botón derecho del ratón en la barra de título primero).
  • Al introducir la tecla y pulsar intro se iniciará el proceso de decifrado. Después del mensaje «Presione «Enter» para salir…», todos sus archivos deben ser descifrados.
  • Si algo no funcionara, o no todos los archivos fueran descifrados, CERT Polska recomienda contactar con ellos en el siguiente e-mail: cert@cert.pl adjuntando el archivo log.txt, que debe ser generará junto a mapo_decryptor.exe. También recomiendan adjuntar uno de los ficheros infectados.
  • Después de descifrar y asegurarse de que los archivos se han descifrado correctamente, se pueden eliminar los archivos cifrados de forma segura.

Fuente original