Narzędzie do odzyskania plików zaszyfrowanych Mapo ransomware

Data publikacji: 18/12/2019, CERT Polska

W toku analizy incydentu zaszyfrowanych plików w systemach informatycznych gminy Kościerzyna, otrzymaliśmy od poszkodowanych próbkę z plikiem wykonywalnym złośliwego oprogramowania szyfrującego o nazwie Mapo. Po przystąpieniu do szczegółowej analizy technicznej udało nam się zidentyfikować błąd w procesie generowania kluczy szyfrujących. Pozwoliło nam to na ich odzyskanie bez konieczności płacenia okupu. Miło nam poinformować, że dzielimy się dzisiaj narzędziem, które umożliwia darmowe odszyfrowanie plików wszystkim osobom, których komputery zostały zaszyfrowane przez ten wariant złośliwego oprogramowania szyfrującego.

Chcielibyśmy podziękować Maciejowi Kotowiczowi z zespołu GReAT firmy Kaspersky za wyrównaną walkę o odzyskanie kościerzyńskich plików i wymianę pomysłów oraz uwag podczas tej „rywalizacji” :).

Nasze narzędzie działa dla plików zaszyfrowanych z rozszerzeniem .mapo oraz z dołączoną notką okupu w pliku MAPO-Readme.txt, która wygląda jak na poniższym zrzucie ekranu:

Instrukcja odszyfrowania plików

  1. Prosimy, aby się upewnić, że złośliwe oprogramowanie nie jest uruchomione, ponieważ pliki mogą zostać zaszyfrowane ponownie.
  2. Należy pobrać nasz program z https://nomoreransom.cert.pl/static/mapo_decryptor.exe.
  3. Należy odzyskać klucz szyfrowania na stronie https://mapo.cert.pl poprzez:
    1. Wybranie pliku z notką okupu (o nazwie MAPO-Readme.txt) klikając na białe pole widoczne na zrzucie ekranu.
    2. Po wybraniu pliku, powinna zostać wyświetlona jego nazwa.

      Należy zaznaczyć pole „Nie jestem robotem”, a następnie wcisnąć przycisk „Get key”.
    3. Jeżeli notka z okupem nie jest uszkodzona i jest wspierana przez nasze narzędzie, wyświetlony zostanie klucz. Prosimy nie zamykać jeszcze tej strony.
  4. Na zainfekowanym komputerze należy uruchomić plik mapo_decryptor.exe pobrany w kroku drugim.
  5. Należy wcisnąć przycisk „Tak” w oknie UAC.
  6. Czekamy aż program wyświetli komunikat „Input the recovered key”.
  7. Należy wkleić klucz uzyskany w kroku trzecim w sposób widoczny na zrzucie ekranu – kliknąć prawym przyciskiem myszy na pasek okna, wybrać „Edycja”, a następnie „Wklej”:
  8. Wprowadzenie klucza i naciśnięcie klawisza Enter rozpocznie proces odszyfrowania plików. Po komunikacie „Press „Enter” to exit…” wszystkie pliki powinny zostać odszyfrowane.
  9. Jeżeli wystąpił błąd albo nie wszystkie pliki zostały odszyfrowane, prosimy o kontakt na adres [email protected]. Prosimy również o załączenie pliku log.txt, który powinien zostać wygenerowany obok naszego narzędzia. Jeżeli to możliwe, prosimy również o załączenie nieodszyfrowanych plików.
  10. Po odszyfrowaniu i upewnieniu się, że wszystkie pliki zostały odszyfrowane, można usunąć zaszyfrowane pliki z rozszerzeniem .mapo.