Herramientas para recuperar archivos afectados por ransomware

¿Qué harías si tu equipo es infectado por ransomware? Una mayoría seguro buscaría una alternativa para poder recuperar la salud de sus archivos, aunque una minoría “grande” se plantearía -e incluso estaría dispuesta- a pagar por recuperarlos, sobre todo si se trata de pequeños negocios o gente que trabaja por su cuenta y pierde documentación valiosa.

La decisión de pagar es errónea se mire por donde se mire, para empezar porque estamos legitimando la actividad de los delincuentes y porque además nada nos garantiza la recuperación de los activos.

Antes de echarnos a los brazos de quien nos ha infectado, es mejor echar mano de alguna de estas herramientas para desencriptar archivos afectados por ransomware, además de identificar en primera instancia la amenaza a la que nos enfrentamos, porque existe un número cercano al infinito de variantes.

El ransomware crece, su calidad no

Parece mentira pero, salvo en contados casos, a pesar de la importancia que los ciberdelincuentes le dan al cifrado de archivos ajenos para ganar dinero, el código malicioso del ransomware está decreciendo paulatinamente. Esto está dando pie a que los expertos tengan mayores opciones de romper antes el código y permitir la recuperación.

Variantes de ransomware aparecidas en los últimos años

A su vez, el ransomware “low cost” tiene un peligro inesperado para el usuario: al poder contener más errores de funcionamiento, también es más elevado el riesgo de que nuestros datos se echen a perder para siempre.

Deberías haber tenido un plan anti-ransomware en marcha -empezando este por una política de copias de seguridad- pero es posible que si has llegado aquí ya sea tarde.

Identificar el ransomware que nos ha infectado

Cuando tenemos que identificar qué variante de ransomware nos ha infectado, suelen aparecer dos problemas. El primero es que, mientras algunas muestras dejan claros signos de su nombre en forma de “ransom notes” no todos ofrecen esta información, así que nos tocará buscar otra vía. El segundo problema que puede darse es que la información de la nota no sea fiable, pretendiendo este cryptoware ser otro diferente para confundirnos.

Como norma, os recomiendo que SIEMPRE realicéis un escaneo con una de las siguientes dos herramientas, remitiendo una muestra de un archivo afectado para su identificación:

Además de la lista que encontraréis a continuación (la iré actualizando si encuentro nuevas herramientas relevantes) os aconsejo siempre investigar un poco acerca de los detalles de vuestro caso en páginas especializadas en desinfección de ransomware, como Bleeping Computer o Wilders Security Forums.

Herramientas para recuperar archivos afectados por ransomware

Como pronto comprobaréis, algunas de estas herramientas son válidas para desencriptar múltiples familias de ransomware, aunque no es lo habitual. Son los casos de RakhniDecryptor y RanohDecryptor principalmente, acompañados de otras como TM Ransomware Decryptor de TrendMicro, válido para más de 20 familias.

NOMBRE AMENAZA EXTENSIONES INFORMACIÓN / FUENTE
.777 *.777 Emsisoft
.8lock8 .8block8 Explicaciones del foro
7ev3n .R4A

.R5A

Github (Hasherezade)
7even-HONE$T (Nº secuencial).R4A o R5A Análisis del ransomware
Agent.iih Kaspersky / Tutorial
Alcatraz *.Alcatraz Avast
Alma Añade 5 caracteres aleatorios al final del archivo y un ID de víctima único de 8 PhishLabs / Tutorial
Al-Namrood *.unavailable, *.disappeared Emsisoft
Alpha *.bin Bleeping Computer
AlphaLocker *.encrypt Bleeping Computer
Apocalypse *.encrypted, *.FuckYourData, *.Encryptedfile, *.SecureCrypted AVG / Avast
ApocalypseVM *.encrypted, *.FuckYourData, *.Encryptedfile, *.SecureCrypted *.locked Herramienta alternativa
Aura Kaspersky / Tutorial
AutoIt {Nombre_original}@<mail server>_.<caracteres_aleatorios>. Kaspersky / Tutorial
Autolocky *.locky Emsisoft / TrendMicro
AutoLT “<nombre_original>@<mail server>_.<caracteres_aleatorios>” Kaspersky / Tutorial
Aw3s0m3Sc0t7 .enc
Badblock No cambia (mirar la “ransom note”) Herramienta alternativa
BarRax Tutorial
Bart *.bart.zip Herramienta alternativa
BitCryptor (Coinvault) *.clf Bleeping Computer (Demonslay)
BitStak *.bitstak Bleeping Computer (Demonslay)
Cerber {10 caract. aleatorios}.cerber Kaspersky / Tutorial
Cerber v1 {10 caract. aleatorios}.cerber TrendMicro / Tutorial
Cerber v2/v3 .cerber2 / .cerber3 / aleatorio
Chimera {Nombre_original}.crypt Alternativa 1 / Alternativa 2 / Tutorial
CoinVault Trojan-Ransom.Win32.Crypmodadv.cj Kaspersky / Tutorial
Cryaki .{CRYPTENDBLACKDC}

Infectado con Trojan-Ransom.Win32.Crybola

Kaspersky / Tutorial
Crybola Infectado con Trojan-Ransom.Win32.Crybola Kaspersky / Tutorial
CrypBoss *.crypt, *.R16M01D0 Emsisoft
Crypren .ENCRYPTED Github
Crypt38 .crypt38 Fortinet
Crypt888 (Mirkop) Añade “Lock.” al comienzo Herramienta alternativa
CryptInfinite *.CRINF Emsisoft
CryptON añade _crypt al nombre,

 

.id-_locked_by_krec

.id-_locked_by_perfect

.id-_x3m

.id-_r9oj

.id-_garryweber@protonmail.ch

.id-_steaveiwalker@india.com_

.id-_julia.crown@india.com_

.id-_tom.cruz@india.com_

.id-_CarlosBoltehero@india.com_

.id-_maria.lopez1@india.com_

Emsisoft / Tutorial
CryptoDefense Se auto-identifica y deja nota “HOW_DECRYPT.txt” Emsisoft
Cryptolocker (inactivo) *.encrypted, *.cryptolocker FireEye y FoxIT
CryptoHost Información
Cryptokluchen Kaspersky / Tutorial
CryptoMix / CryptoShield *.CRYPTOSHIELD, *.rdmk, *.lesli, *.scl, *.code, *.rmd *.rscl Desencriptado mediante clave offline
CryptoTorLocker .CryptoTorLocker2015! Información
CryptXXX v1-v3 {nombre_original}.crypt, cryp1, crypz o 5 caract. hexadecimales

Infectado por Trojan-Ransom.Win32.CryptXXX

TrendMicro / Información
CryptXXX v4-v5 {MD5 Hash}.5 caracteres hexadecimales TrendMicro
CrySIS .johnycryptor@hackermail.com.xtbl

.ecovector2@aol.com.xtbl

.systemdown@india.com.xtbl

.Vegclass@aol.com.xtbl

..{milarepa.lotos@aol.com}.CrySiS

.{Greg_blood@india.com}.xtbl

.{savepanda@india.com}.xtbl

.{arzamass7@163.com}.xtbl

Kaspersky / Información
CTB-Locker .ctbl
CuteRansomware .encrypted Github
Damage Emsisoft / Tutorial
Dharma .dharma

.wallet

.zzzzz

Kaspersky / Tutorial
DeCrypt Protect .html Información
DeriaLock CheckPoint / Tutorial
Democry *._fecha_hora _$address@domain$.777 o *._fecha_hora _$address@domain$.legion Kaspersky / Tutorial
DMA Locker El ID es DMALOCK 41:55:16:13:51:76:67:99 Emsisoft
DMA2 Locker El ID es DMALOCK 43:41:90:35:25:13:61:92 Emsisoft
DynACrypt .crypt Bleeping Computer
Fabiansomware *.encrypted Emsisoft
FenixLocker *.centrumfr@india.com!! Emsisoft / Tutorial
Fury Infectado con Trojan-Ransom.Win32.Fury Kaspersky / Tutorial
GhostCrypt .Z81928819 Bleeping Computer
Globe v1 *.ACRYPT, *.GSupport[0-9], *.blackblock, *.dll555, *.duhust, *.exploit, *.frozen, *.globe, *.gsupport, Emsisoft / Tutorial / Alternativa
Globe2 / Globe v2 *.raid10, *.blt, *.globe, *.encrypted,*[mia.kokers@aol.com] / {Original file name}.{email address + random characters} Tutorial
Globe3 / Globe v3 *.decrypt2017, *.hnumkhotep / sin extensión determinada o nombre cifrado Emsisoft / Tutorial
GlobeImposter *.crypt Tutorial
Gomasom *.crypt Emsisoft / Tutorial
Harasom *.html and note from Spamhaus or US Department of Justice Emsisoft
HiddenTear *.locked, *.34xxx, *.bloccato, *.BUGSECCCC, *.Hollycrypt, *.lock, *.saeid, *.unlockit, Avast
HydraCrypt *.hyrdacrypt, *.umbrecrypt
Jigsaw / CryptoHit FUN, .KKK,  .GWS, .BTC Alternativa 1 / Alternativa 2 / Tutorial
KeRanger .encrypted Dr Web
KeyBTC Mirar ransom note “Decrypt_Your_Files.txt” Emsisoft
KimcilWare *.kimcilware

*.locked

Fortinet
Lamer Kaspersky / Tutorial
LeChiffre *.LeChiffre Alternativa
Legion *.[#s]$f_tactics@aol.com$.legion AVG
Linux.Encoder.1 *.encrypted (?) Información / Tutorial
Linux.Encoder.3 *.encrypted (?) Bitdefender / Tutorial
Lock Screen TrendMicro
Locker Bleeping Computer
Lortok *.crime Kaspersky / Tutorial
MarsJoke (Polyglot) Kaspersky / Tutorial
Manamecrypt (CryptoHost) Bleeping Computer
Mircop Lock.{Nombre_Original} AVG / Alternativa
Merry Christmas / MRCR *.PEGS1, *.MRCR1, *.RARE1, *.MERRY, *.RMCM1 Emsisoft / Tutorial
Nanolocker Github
Nemucod *.crypted TrendMicro / Alternativa
NMoreira *.maktub, *._AiraCropEncrypted! Emsisoft / Tutorial
NoobCrypt ZdZ8EcvP95ki6NWR2j o lsakhBVLIKAHg Avast
ODCODC *.odcodc Bleeping Computer
Operation Global III *.exe Bleeping Computer
OpenToYou *.-opentoyou@india.com Emsisoft
Ozozalocker *.locked Emsisoft
PClock No cambia; buscar “enc_files.txt Emsisoft
Petya Encripta todo el disco Alternativa
Philadelphia *.locked Emsisoft
PHP ransomware CheckPoint / Tutorial
PizzaCrypts Bleeping Computer
Pletor Kaspersky / Tutorial
Pompous / Skidlocker *.locked Bleeping Computer
Popcorn Eleven Paths / Tutorial
PowerWare / PoshCoder *.locky Github
Radamant .RDM

.RRK

.RAD

.RADAMANT

Emsisoft / Información
Rakhni ransomware *.locked, *.kraken Kaspersky / Tutorial
Rannoh ransomware Sustituye nombres por “locked-<nombre_original> .<4_letras_aleatorias>” Kaspersky / Tutorial
Rector .vscrypt

.infected

.bloc

.korrektor

Kaspersky
Rotor Kaspersky / Tutorial
Scraper Infecta mediante Trojan-Ransom.BAT.Scatter Herramientas
Shade / Troldesh *.xtbl, *.ytbl, *.breaking_bad, *.heisenberg. Kaspersky / Alternativa
SNSLocker {Nombre_original}.RSNSLocked TrendMicro / Información
Stampado *.locked TrendMicro / Alternativa
SZFlocker *.szf AVG / Avast
TeleCrypt {Nombre_archivo} TrendMicro /Información
TeslaCrypt v1 {Nombre_archivo}.ECC Talos
Teslacrypt v2 {Nombre_archivo}.VVV, CCC, ZZZ, AAA, ABC, XYZ TrendMicro / Información
Teslacrypt v3 .micro

.xxx

.ttt

.mp3

Tutorial / Alternativa
Teslacrypt v4 .exx

.ezz

.ecc

.xxx

.ttt

.micro

.mp3

Tutorial / Alternativa
TorrentLocker *.encrypted, *.enc Bleeping Computer
Umbrecrypt .umbrecrypttmp_ID_[#s]

*.hydracrypt, *.umbrecrypt

Emsisoft / Información
Wildfire .wflx Alternativa / Tutorial
WannaCry / WannaCrypt *.wnry, *.wncry Análisis / Herramientas
XORBAT {Nombre_original}.crypted TrendMicro / Alternativa
XORIST   *.EnCiPhErEd, *.0JELvV, *.p5tkjw, *.6FKR8d, *.UslJ6m, *.n1wLp0, *.5vypSa, *.YNhlv1 Emsisoft / Alternativa

Hay que señalar que no todas las herramientas para recuperación son igual de sencillas. Algunas no requieren apenas conocimientos de informática, mientras que otras herramientas / soluciones solo podrán ser puestas en marcha por usuarios avanzados.

Herramientas para descifrar ransomware según marcas

A continuación os dejo enlaces a las páginas de firmas de seguridad, siendo estás las que cuentan con más variantes soportadas, por si preferís utilizar alguna marca en concreto.

Como siempre, estoy atento a vuestros comentarios y sugerencias para ampliar o corregir la información de este artículo si es necesario 😉

Herramientas para detectar archivos infectados con ransomare

Guía para evitar ransomware

La siguiente guía de OWASP, desarrollada por hispanohablantes, te será de gran utilidad para conocer mejor a tu enemigo y aprender a protegerte y tomar medidas.

Descargar Guía para evitar ransomware

Herramientas antiransomware recomendadas

Es posible que ya lleguemos tarde (esta vez) pero te interesará saber que puedes protegerte de cara a futuros ataques por crypto-ransomware sin pagar un céntimo gracias a herramientas anti-ransomware que he analizado en esta web:

Anuncios

146 comentarios en “Herramientas para recuperar archivos afectados por ransomware

  1. Hola. En mi caso se me ha colado el que crea las extensiones . Adobe Formatee a bajo nivel y cambie el sistema operativo por lo que sospecho que ya no corro peligro de tenerlo pero aun tengo los archivos infectados. Este es del tipo que borra los datos y encripta? pudiera recuperar los datos con un programa de recuperación? Saludos y espero respuesta. Gracias de antemano

    Me gusta

    1. No estoy seguro aunque sospecho de STOP o Dharma por lo que he podido ver. ¿tienes una ransom note? También puedes utilizar el servicio IDRansomware o Cryptosheriff para identificarlo. Búscalos en mi web, en este mismo artículo los menciono. Saludos.

      Me gusta

  2. hola me podrían ayudar con alguna herramienta para desencriptar este nuevo virus con la extensión ejemplo imagen.jpg.ojqjpta ,adicional a eso se creo un txt en cada capeta OJQJPTA-DECRYPT.txt

    Me gusta

  3. hola y disculpa. me infecto el portatil el virus gandcrab 5.0.4 lo resetee entero, pero me guarde las fotos y videos infectadas en un disco duro que elimine el virus de el pero quiero recuperar mis archivos, tengo las notas del secuestro, junto a todos los archivos guardados en version .RAMEIAE me ayudas por favor? varios de los archivos infectados son de mi padre que en paz descanse entre ellas fotos y videos del momento de lucidez que tuvo antes de dejarme
    gracias de antemano y te dejo mi correo : davidperezrivera@icloud.com

    Me gusta

    1. Hola, se trata del ransomware Scarab: https://id-ransomware.blogspot.com/2017/06/scarab-ransomware.html
      Dr Web ofrece un servicio de descifrado por 150 € (no cobran si no lo consiguen) aquí: https://www.bleepingcomputer.com/forums/t/651855/scarab-mich78-ransomware-scarab-scorpio-mich78usacom-support-topic/?p=4489715
      En algunos casos es posible recuperar archivos, bajo circunstancias concretas (depende de la versión): https://www.bleepingcomputer.com/forums/t/651855/scarab-mich78-ransomware-scarab-scorpio-mich78usacom-support-topic/page-22#entry4516375
      Para esta última opción será necesario enviar entre 3 y 4 ransom notes.

      Si lo anterior no da resultado siempre puedes intentar con software de recuperación por si no todos los archivos fueron afectados: http://www.forensicswiki.org/index.php?title=Tools:Data_Recovery
      Saludos y suerte.

      Me gusta

  4. mi PC de escritorio fue infectado las fotos, vídeos, y algunos accesos directo . las fotos como los vídeo osea cambiaron en forma de papel blanco y la foto tienen como terminación jpg.BTEGHU , y en cada carpeta me aparece ( un archivo de nota) con el nombre BTEGHU-DECRYPT . los vídeos mp4.BTEGHU ¿ que puedo hacer, Hay algo o algun programita para recuperar mis fotos ,como quito esa extencion ? porfavorrr porfavorrrrrr porfavorrrrrrrrr

    Me gusta

  5. Alguien podría apoyarme? Mi memoria cambió de nombre a @!ı÷ÝÖ┐bÙFz y todos mis archivos tienen más o menos los mismos símbolos, me parece están encriptados. No puedo acceder a ninguno. ¡Gracias!

    Me gusta

  6. Primeramente agradecerte en darte tu tiempo y ayudar a todas aquellas personas que pasan un mal momento por el contagio de virus, mi consulta es la siguiente, mi PC fue contagiada con un virus de tipo ransomware con extensión pulsar1, que sugieres como una alternativa de solución para recuperar los archivos. Desde ya te agradezco por tu tiempo. Saludos

    Me gusta

  7. hola hermano que tal, disculpa la molestia, tenia una consulta, en caso de que se tratara de una extencion tipo PROMORA2, como podría desencriptar o recuperar mis archivos, gracias de antemano

    Me gusta

Deja tu comentario (puedes hacerlo de forma anónima)

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.