¿Cómo saber con qué ransomware estoy infectado? ID Ransomware
Estamos acostumbrados a ver como los usuarios deambulan tristemente por foros y webs pidiendo ayuda, ya que no son capaces de determinar cuál es el ransomware que ha modificado sus archivos. No es algo fácil, principalmente cuando son de reciente creación y todavía no hay mucha base de conocimiento sobre los mismos. Por suerte, hoy estamos más cerca de responder a la eterna pregunta. Descubre ID Ransomware.
Existe un servicio alternativo llamado Crypto-Sheriff que os interesará probar
Debemos darle las gracias (y algún que otro aplauso, me atrevería a decir) a Michael Gillespie, un programador que ha ayudado a la comunidad de ciberseguridad recientemente de dos maneras.
Primero, creando la medicina para recuperar los archivos cifrados por el reciente ransomware CryptoHost. Segundo, Gillespie ha lanzado una herramienta gratuita que permite a las víctimas conocer con certeza a qué tipo de cryptoware se están enfrentando.
Servicio ID Ransomware
El servicio ID Ransomware es capaz de reconocer nada menos que 52 variantes diferentes de ransomware. ¿Cómo lo hace? Tenemos dos formas de buscar en la herramienta:
- Enviando a la web la nota de pago que presenta el malware
- Enviando alguno de los archivos que han sido afectados
Así de fácil. El usuario deberá sentarse y esperar la respuesta. Suponiendo que sea reconocida la muestra, el servidor redirigirá al usuario hacia la herramienta de descifrado acorde.
Nota de privacidad
Como rezan sus FAQ, el servicio ID ransomware borrará inmediatamente, en caso de encontrar la solución, el archivo enviado por el usuario. Sin embargo, debéis tener en cuenta que en caso de que la muestra no sea reconocida, compartirán el archivo con otros expertos para análisis pormenorizados. No enviéis nada confidencial.
Muestras reconocidas por ID Ransomware
Nada menos que las siguientes 52 muestras de cryptoransomware son reconocidas. Aquí podemos ver las mundialmente conocidas y otras que no lo son tanto. No obstante, podría ser que nos afecte una diferente, porque debe haber varios cientos de muestras flotando en Internet.
7ev3n, Booyah, Brazilian Ransomware, BuyUnlockCode, Cerber, CoinVault, Coverton, Crypt0L0cker, CryptoFortress, CryptoHasYou, CryptoJoker, CryptoTorLocker, CryptoWall 2.0, CryptoWall 3.0, CryptoWall 4.0, CrySiS, CTB-Locker, DMA Locker, ECLR Ransomware, EnCiPhErEd, Hi Buddy!, HOW TO DECRYPT FILES, HydraCrypt, Jigsaw, JobCrypter, KeRanger, LeChiffre, Locky, Lortok, Magic, Maktub Locker, MireWare, NanoLocker, Nemucod, OMG! Ransomcrypt, PadCrypt, PClock, PowerWare, Radamant, Rokku, Samas, Sanction, Shade, SuperCrypt, Surprise, TeslaCrypt 0.x, TeslaCrypt 2.x, TeslaCrypt 3.0, TeslaCrypt 4.0, UmbreCrypt, Unknown, VaultCrypt
¿Es capaz este servicio de descifrar los archivos?
No. Sólo os servirá para determinar la muestra que os está afectando. Eso sí, la web os redirigirá a la fuente de confianza que determine para obtener soporte.
¿Y si obtengo varios resultados en la prueba?
Podría darse el caso de que obtengáis un resultado múltiple el remitir archivos, apareciendo varios nombres de ransomware. Esto se debe a que, por desgracia, muchos comparten la misma nota de pago, quizá la extensión de archivos…
En este caso, ID Ransomware ordenará los resultados por probabilidad, basándose en la cantidad de puntos en común que tiene cada muestra con el primer resultado y sucesivos. Haced caso a la herramienta.
Recuperar archivos afectados por ransomware
Una vez identificado el ransomware (si es que tenemos suerte) podremos buscar algún remedio en la web NoMoreRansom, así como en mi propio blog, donde mantengo una exhaustiva lista “viva” con este tipo de amenazas, extensiones afectadas y herramientas de recuperación.
Herramientas para recuperar archivos afectados por ransomware
Categorías
Alejandro Ver todo
Trabajo como consultor de ciberseguridad y me gusta lo que hago. Aficionado a la informática / tecnología en general, me gusta compartir con la gente lo poco que sé. También soy aficionado al deporte y los videojuegos.
Proteger mi PC 
Hola actualmente se me infecto todas mis unidades y mis archivos cambiaron de extension
Promorad2
He investigado que es un ransonwere llamado promorad2
Si tuvieras alguna herramienta para poder desencriptarlo te lo agradecería
Me gustaMe gusta
Saludos, te han enviado respuesta acerca de esta .PROMORAD2?
Me gustaMe gusta
Lo siento Jose, sin novedad en el frente como se suele decir. Saludos.
Me gustaMe gusta
Gracias, gracias por la información!!! Logre recuperar mis archivos infectados con hkklzonewi
Me gustaLe gusta a 1 persona
Genial! Me alegro mucho
Me gustaMe gusta
Deseo saber si hay para .randman
Me gustaMe gusta
Deseo saber si hay para .kiratos
Me gustaMe gusta
Hola, se trata de STOP. Prueba con este decrypter: https://download.bleepingcomputer.com/demonslay335/STOPDecrypter.zip
Saludos.
Me gustaMe gusta
no lo puedo descargar
Me gustaMe gusta
buen dia….mis archivos estan encriptados por .muslat
alguien me ayuda……
Me gustaMe gusta
buenas he sido infectado por un ransomware creo que DHAMA el ejecutable es el DAVE y todos los archivos encriptados se llaman asi:
[S.doc.id[5CEF3D00-1072].[mcclellen.dave@aol.com].Acton]
ejemplo:
Impresora y Escaner.lnk.id[5CEF3D00-1072].[mcclellen.dave@aol.com].Acton
me puedes ayudar. gracias
Me gustaMe gusta
!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: wewillhelpyou@qq.com
.id[54EBCBEB-2250].[wewillhelpyou@qq.com].adage
Phobos o algo asi, agradeceria si ya tienen algun desencriptador, muchas gracias.
Me gustaMe gusta
He sido infectado, por el virus esta encriptado por BRUSAF.
Me pueden ayudar.
Muchas gracias.
Me gustaMe gusta
Saludos.
Nesesito su ayuda me ha infectado un Virus De Ransomware Que ha Encriptado todos mis Archivos con Dos Tipos de Extensión (.mogranos -.cosacos)
Gorentos@bitmessage.ch
email Contact
Gorentos2@firemail.cc
Pido Ayuda para recuperar mis Documentos Encriptados
Me gustaMe gusta
Hola, he sido infectado y encriptaron mis unidades .bch alguien tiene la app para descencriptar
saludos
Me gustaMe gusta
buenas tardes!
habrá alguna solución para recuperar archivos infectados con “.id-C0C4763A.[3442516480@qq.com]” ?
Me gustaMe gusta
Sono stato infettato c’e’ soluzione per [unlockmeplease@cock.li ].HRM
Me gustaMe gusta
tengo mi equipo todo infectado, todos los archivos tienen el nombre original_unafecha_42601583.[3442516480@qq.com]
Me gustaMe gusta
Buenas Tardes, Mi computadora se infecto con un rasomware de tipo STOP segun lei en alguna pagina en ingles, la extensión que tienen todos mis archivos infectados es .RIGH y deja un texto _readme en cada carpeta.
Lo unico que hice hasta el momento fue pasarle el spyhunter 5 y reinstalar mi sistema operativo ya que mis datos infectados estan en la unidad D, al parecer ya no se propaga el virus pero los datos infectados siguen igual con la extensión .RIGH cualquier ayuda les agradeceria, Saludos
el texto _readme contiene lo siguiente:
ATTENTION!
Don’t worry, you can return all your files!
All your files like photos, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
You can get and look video overview decrypt tool:
https://we.tl/t-WGsuBCnd3C
Price of private key and decrypt software is $980.
Discount 50% available if you contact us first 72 hours, that’s price for you is $490.
Please note that you’ll never restore your data without payment.
Check your e-mail «Spam» or «Junk» folder if you don’t get answer more than 6 hours.
To get this software you need write on our e-mail:
datarestorehelp@firemail.cc
Reserve e-mail address to contact us:
datahelp@iran.ir
Your personal ID:
0190Asd374y5iuhldUTOUdAOEh9McDgvxYv9bMSiSzoSKu2HWhA0qwpwx
Me gustaMe gusta
hola necesito ayuda para identificar un virus nosu algo asi porfavor diganme donde enviar la muestra de archivo infectado . soy nuevo en esto ayudenme porfavor
Me gustaMe gusta
Buenas, te recomiendo leer este artículo.
https://protegermipc.net/2017/05/03/herramientas-desencriptar-ransomware/
Me gustaMe gusta
Mis archivos cambiaron su extensión a .bots podrán ayudarme con alguna información sobre ese RANSOMWARE.
Me gustaMe gusta
hola buenas tardes amigo saludos desde caracas Venezuela mi nombre es Roger le escribo ya que he bajado una aplicación y se me infectaron todas mis unidades con la siguiente extensión .COVM, he buscado de todo en internet y no consigo absolutamente ninguna aplicación para recuperar mis archivos. ME PODRÍA AYUDAR POR FAVORRRRRRRR….
Este es el mensaje que me sale en cada archivo creo un .txt.
ATTENTION!
Don’t worry, you can return all your files!
All your files like photos, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
You can get and look video overview decrypt tool:
https://we.tl/t-28bBaI3ZOZ
Price of private key and decrypt software is $980.
Discount 50% available if you contact us first 72 hours, that’s price for you is $490.
Please note that you’ll never restore your data without payment.
Check your e-mail «Spam» or «Junk» folder if you don’t get answer more than 6 hours.
To get this software you need write on our e-mail:
helpmanager@mail.ch
Reserve e-mail address to contact us:
restoremanager@firemail.cc
Your personal ID:
0227yiuduy6S5dSWmtVKVnrv7EHyotMCbtppBWgnF1GBHWQ3uY5qSu
Me gustaMe gusta
BUen dia, necesito ayuda, todos mis archivos estan encriptados
.EMAIL=[fonix@tuta.io]ID=[1E5A172E].Fonix
Este es lo que tienen todos los archivo, mucho les agrdecere si conocen alguna herramienta para recuperarlos.
Me gustaMe gusta
Hola, se trata de un ransomware aparecido en Junio de este año, es muy reciente y poco más se sabe de él salvo que lo llaman Fonix y usa extensiones de archivos .fonix. Fuente: https://www.bleepingcomputer.com/news/security/the-week-in-ransomware-june-5th-2020-threat-actors-team-up/
Me gustaMe gusta
Buen día,
mi laptop fue infectada, cambiando la extensión de los archivos a .jdyi
Lo extraño es que no hay ninguna nota de rescate…
Alguna ayuda que me pueda brindar?
Me gustaMe gusta
me podras ayudar el archivo es IMG_4272.JPG.vpsh,
Me gustaMe gusta
Buenas tardes, recientemente mi laptop ha sido infectada por un ransomware, el cual tiene de nombre “WannaCry” estuve investigando, y se ve que es bastante conocido, pero hasta el día de la fecha no he encontrado solución alguna, agradecería si pueden brindarme algún drecryptor.
Me gustaMe gusta
Muy buenas. Sabes de maql?…necesito porfavor ayuda para poder recuperar todos mis archivos. y si debo formatear mi pc?… no se que hacer. SOS
Me gustaMe gusta
Instale una aplicacion por error que contenia un virus, ahora mis fotos y documentos han sido encriptados con la extension .wxgsyczrn en cada carpeta incluye un fichero readme.html en el que me indica que acuda a la pagina www . torproyect . org me descargue una aplicacion y en el buscador introduzca la id que me han dado. La id termina en wxgsyczrn. Si alguien tiene idea de que virus se trata seria de gran ayuda, gracias.
Me gustaMe gusta