O problema que poderá surgir é que a recuperação dos ficheiros não é assim tão simples, pois o desencriptador só funciona caso as vítimas tenham capturado o tráfego inicial de rede entre o ransomware e a infraestrutura do servidor de comando e controlo (C2).

Nesta fase, o ransomware envia informações a esse servidor no processo de encriptação, incluindo um string que contém o vetor de inicialização e uma password aleatória usada pelo ransomware para encriptar os ficheiros.

A nível de distribuição, o ransomware espalhava-se via emails de spam, em grande parte por países europeus, particularmente a França.

É um ransomware que se destaca pela sua capacidade de anti-machine learning, além de conter alguns scripts open source com base no Instalador Inno.

Para conseguir escapar a ferramentas de deteção, o ransomware dorme durante 999,999 segundos, o que equivale a cerca de 11.5 dias, caso a memória do sistema infetado seja menor que 4gb.

A encriptação usa a biblioteca PyCrypto e a cifra 3DES (Triple DES).

No final do processo, lança uma nota que pode ser em diversas línguas.

Ferramenta: https://github.com/Cisco-Talos/pylocky_decryptor

Mais informações aqui: https://www.tripwire.com/state-of-security/security-data-protection/free-decryption-tool-created-for-pylocky-ransomware-family/