ransomware, Seguridad informática, Software, Tutoriales

Herramientas para recuperar archivos afectados por ransomware

¿Qué harías si tu equipo es infectado por ransomware? Una mayoría seguro buscaría una alternativa para poder recuperar la salud de sus archivos, aunque una minoría “grande” se plantearía -e incluso estaría dispuesta- a pagar por recuperarlos, sobre todo si se trata de pequeños negocios o gente que trabaja por su cuenta y pierde documentación valiosa.

La decisión de pagar es errónea se mire por donde se mire, para empezar porque estamos legitimando la actividad de los delincuentes y porque además nada nos garantiza la recuperación de los activos.

Antes de echarnos a los brazos de quien nos ha infectado, es mejor echar mano de alguna de estas herramientas para desencriptar archivos afectados por ransomware, además de identificar en primera instancia la amenaza a la que nos enfrentamos, porque existe un número cercano al infinito de variantes.

El ransomware crece, su calidad no

Parece mentira pero, salvo en contados casos, a pesar de la importancia que los ciberdelincuentes le dan al cifrado de archivos ajenos para ganar dinero, el código malicioso del ransomware está decreciendo paulatinamente. Esto está dando pie a que los expertos tengan mayores opciones de romper antes el código y permitir la recuperación.

Variantes de ransomware aparecidas en los últimos años

A su vez, el ransomware “low cost” tiene un peligro inesperado para el usuario: al poder contener más errores de funcionamiento, también es más elevado el riesgo de que nuestros datos se echen a perder para siempre.

Deberías haber tenido un plan anti-ransomware en marcha -empezando este por una política de copias de seguridad- pero es posible que si has llegado aquí ya sea tarde.

Identificar el ransomware que nos ha infectado

Cuando tenemos que identificar qué variante de ransomware nos ha infectado, suelen aparecer dos problemas. El primero es que, mientras algunas muestras dejan claros signos de su nombre en forma de “ransom notes” no todos ofrecen esta información, así que nos tocará buscar otra vía. El segundo problema que puede darse es que la información de la nota no sea fiable, pretendiendo este cryptoware ser otro diferente para confundirnos.

Como norma, os recomiendo que SIEMPRE realicéis un escaneo con una de las siguientes dos herramientas, remitiendo una muestra de un archivo afectado para su identificación:

Además de la lista que encontraréis a continuación (la iré actualizando si encuentro nuevas herramientas relevantes) os aconsejo siempre investigar un poco acerca de los detalles de vuestro caso en páginas especializadas en desinfección de ransomware, como Bleeping Computer o Wilders Security Forums.

Herramientas para recuperar archivos afectados por ransomware

Como pronto comprobaréis, algunas de estas herramientas son válidas para desencriptar múltiples familias de ransomware, aunque no es lo habitual. Son los casos de RakhniDecryptor y RanohDecryptor principalmente, acompañados de otras como TM Ransomware Decryptor de TrendMicro, válido para más de 20 familias.

NOMBRE AMENAZA EXTENSIONES INFORMACIÓN / FUENTE
.777 *.777 Emsisoft
.8lock8 .8block8 Explicaciones del foro
7ev3n .R4A

.R5A

 Github (Hasherezade)
7even-HONE$T (Nº secuencial).R4A o R5A Análisis del ransomware
Agent.iih Kaspersky / Tutorial
Alcatraz *.Alcatraz Avast
Alma Añade 5 caracteres aleatorios al final del archivo y un ID de víctima único de 8 PhishLabs / Tutorial
Al-Namrood *.unavailable, *.disappeared Emsisoft
Alpha *.bin Bleeping Computer
AlphaLocker *.encrypt Bleeping Computer
Apocalypse *.encrypted, *.FuckYourData, *.Encryptedfile, *.SecureCrypted AVG / Avast
ApocalypseVM *.encrypted, *.FuckYourData, *.Encryptedfile, *.SecureCrypted *.locked Herramienta alternativa
Aura Kaspersky / Tutorial
AutoIt {Nombre_original}@<mail server>_.<caracteres_aleatorios>. Kaspersky / Tutorial
Autolocky *.locky Emsisoft / TrendMicro
AutoLT “<nombre_original>@<mail server>_.<caracteres_aleatorios>” Kaspersky / Tutorial
Aw3s0m3Sc0t7 .enc
Badblock No cambia (mirar la “ransom note”) Herramienta alternativa
BarRax Tutorial
Bart *.bart.zip Herramienta alternativa
BitCryptor (Coinvault) *.clf Bleeping Computer (Demonslay)
BitStak *.bitstak Bleeping Computer (Demonslay)
Cerber {10 caract. aleatorios}.cerber Kaspersky / Tutorial
Cerber v1 {10 caract. aleatorios}.cerber TrendMicro / Tutorial
Cerber v2/v3 .cerber2 / .cerber3 / aleatorio
Chimera {Nombre_original}.crypt Alternativa 1 / Alternativa 2 / Tutorial
CoinVault Trojan-Ransom.Win32.Crypmodadv.cj Kaspersky / Tutorial
Cryaki .{CRYPTENDBLACKDC}

Infectado con Trojan-Ransom.Win32.Crybola

 Kaspersky / Tutorial
Crybola Infectado con Trojan-Ransom.Win32.Crybola Kaspersky / Tutorial
CrypBoss *.crypt, *.R16M01D0 Emsisoft
Crypren .ENCRYPTED Github
Crypt38 .crypt38 Fortinet
Crypt888 (Mirkop) Añade “Lock.” al comienzo Herramienta alternativa
CryptInfinite *.CRINF Emsisoft
CryptON añade _crypt al nombre,

 

.id-_locked_by_krec

.id-_locked_by_perfect

.id-_x3m

.id-_r9oj

.id-_garryweber@protonmail.ch

.id-_steaveiwalker@india.com_

.id-_julia.crown@india.com_

.id-_tom.cruz@india.com_

.id-_CarlosBoltehero@india.com_

.id-_maria.lopez1@india.com_

 Emsisoft / Tutorial
CryptoDefense Se auto-identifica y deja nota “HOW_DECRYPT.txt” Emsisoft
Cryptolocker (inactivo) *.encrypted, *.cryptolocker FireEye y FoxIT
CryptoHost Información
Cryptokluchen Kaspersky / Tutorial
CryptoMix / CryptoShield *.CRYPTOSHIELD, *.rdmk, *.lesli, *.scl, *.code, *.rmd *.rscl Desencriptado mediante clave offline
CryptoTorLocker .CryptoTorLocker2015! Información
CryptXXX v1-v3 {nombre_original}.crypt, cryp1, crypz o 5 caract. hexadecimales

Infectado por Trojan-Ransom.Win32.CryptXXX

 TrendMicro / Información
CryptXXX v4-v5 {MD5 Hash}.5 caracteres hexadecimales TrendMicro
CrySIS .johnycryptor@hackermail.com.xtbl

.ecovector2@aol.com.xtbl

.systemdown@india.com.xtbl

.Vegclass@aol.com.xtbl

..{milarepa.lotos@aol.com}.CrySiS

.{Greg_blood@india.com}.xtbl

.{savepanda@india.com}.xtbl

.{arzamass7@163.com}.xtbl

 Kaspersky / Información
CTB-Locker .ctbl
CuteRansomware .encrypted Github
Damage Emsisoft / Tutorial
Dharma .dharma

.wallet

.zzzzz

 Kaspersky / Tutorial
DeCrypt Protect .html Información
DeriaLock CheckPoint / Tutorial
Democry *._fecha_hora _$address@domain$.777 o *._fecha_hora _$address@domain$.legion Kaspersky / Tutorial
DMA Locker El ID es DMALOCK 41:55:16:13:51:76:67:99 Emsisoft
DMA2 Locker El ID es DMALOCK 43:41:90:35:25:13:61:92 Emsisoft
DynACrypt .crypt Bleeping Computer
Fabiansomware *.encrypted Emsisoft
FenixLocker *.centrumfr@india.com!! Emsisoft / Tutorial
Fury Infectado con Trojan-Ransom.Win32.Fury Kaspersky / Tutorial
GhostCrypt .Z81928819 Bleeping Computer
Globe v1 *.ACRYPT, *.GSupport[0-9], *.blackblock, *.dll555, *.duhust, *.exploit, *.frozen, *.globe, *.gsupport, Emsisoft / Tutorial / Alternativa
Globe2 / Globe v2 *.raid10, *.blt, *.globe, *.encrypted,*[mia.kokers@aol.com] / {Original file name}.{email address + random characters} Tutorial
Globe3 / Globe v3 *.decrypt2017, *.hnumkhotep / sin extensión determinada o nombre cifrado Emsisoft / Tutorial
GlobeImposter *.crypt Tutorial
Gomasom *.crypt Emsisoft / Tutorial
Harasom *.html and note from Spamhaus or US Department of Justice Emsisoft
HiddenTear *.locked, *.34xxx, *.bloccato, *.BUGSECCCC, *.Hollycrypt, *.lock, *.saeid, *.unlockit, Avast
HydraCrypt *.hyrdacrypt, *.umbrecrypt
Jigsaw / CryptoHit FUN, .KKK,  .GWS, .BTC Alternativa 1 / Alternativa 2 / Tutorial
KeRanger .encrypted Dr Web
KeyBTC Mirar ransom note “Decrypt_Your_Files.txt” Emsisoft
KimcilWare *.kimcilware

*.locked

 Fortinet
Lamer Kaspersky / Tutorial
LeChiffre *.LeChiffre Alternativa
Legion *.[#s]$f_tactics@aol.com$.legion AVG
Linux.Encoder.1 *.encrypted (?) Información / Tutorial
Linux.Encoder.3 *.encrypted (?) Bitdefender / Tutorial
Lock Screen TrendMicro
Locker Bleeping Computer
Lortok *.crime Kaspersky / Tutorial
MarsJoke (Polyglot) Kaspersky / Tutorial
Manamecrypt (CryptoHost) Bleeping Computer
Mircop Lock.{Nombre_Original} AVG / Alternativa
Merry Christmas / MRCR *.PEGS1, *.MRCR1, *.RARE1, *.MERRY, *.RMCM1 Emsisoft / Tutorial
Nanolocker Github
Nemucod *.crypted TrendMicro / Alternativa
NMoreira *.maktub, *._AiraCropEncrypted! Emsisoft / Tutorial
NoobCrypt ZdZ8EcvP95ki6NWR2j o lsakhBVLIKAHg Avast
ODCODC *.odcodc Bleeping Computer
Operation Global III *.exe Bleeping Computer
OpenToYou *.-opentoyou@india.com Emsisoft
Ozozalocker *.locked Emsisoft
PClock No cambia; buscar “enc_files.txt Emsisoft
Petya Encripta todo el disco Alternativa
Philadelphia *.locked Emsisoft
PHP ransomware CheckPoint / Tutorial
PizzaCrypts Bleeping Computer
Pletor Kaspersky / Tutorial
Pompous / Skidlocker *.locked Bleeping Computer
Popcorn Eleven Paths / Tutorial
PowerWare / PoshCoder *.locky Github
Radamant .RDM

.RRK

.RAD

.RADAMANT

 Emsisoft / Información
Rakhni ransomware *.locked, *.kraken Kaspersky / Tutorial
Rannoh ransomware Sustituye nombres por “locked-<nombre_original> .<4_letras_aleatorias>” Kaspersky / Tutorial
Rector .vscrypt

.infected

.bloc

.korrektor

 Kaspersky
Rotor Kaspersky / Tutorial
Scraper Infecta mediante Trojan-Ransom.BAT.Scatter Herramientas
Shade / Troldesh *.xtbl, *.ytbl, *.breaking_bad, *.heisenberg. Kaspersky / Alternativa
SNSLocker {Nombre_original}.RSNSLocked TrendMicro / Información
Stampado *.locked TrendMicro / Alternativa
SZFlocker *.szf AVG / Avast
TeleCrypt {Nombre_archivo} TrendMicro /Información
TeslaCrypt v1 {Nombre_archivo}.ECC Talos
Teslacrypt v2 {Nombre_archivo}.VVV, CCC, ZZZ, AAA, ABC, XYZ TrendMicro / Información
Teslacrypt v3 .micro

.xxx

.ttt

.mp3

 Tutorial / Alternativa
Teslacrypt v4 .exx

.ezz

.ecc

.xxx

.ttt

.micro

.mp3

 Tutorial / Alternativa
TorrentLocker *.encrypted, *.enc Bleeping Computer
Umbrecrypt .umbrecrypttmp_ID_[#s]

*.hydracrypt, *.umbrecrypt

 Emsisoft / Información
Wildfire .wflx Alternativa / Tutorial
WannaCry / WannaCrypt *.wnry, *.wncry Análisis / Herramientas
XORBAT {Nombre_original}.crypted TrendMicro / Alternativa
XORIST   *.EnCiPhErEd, *.0JELvV, *.p5tkjw, *.6FKR8d, *.UslJ6m, *.n1wLp0, *.5vypSa, *.YNhlv1 Emsisoft / Alternativa

Hay que señalar que no todas las herramientas para recuperación son igual de sencillas. Algunas no requieren apenas conocimientos de informática, mientras que otras herramientas / soluciones solo podrán ser puestas en marcha por usuarios avanzados.

Herramientas para descifrar ransomware según marcas

A continuación os dejo enlaces a las páginas de firmas de seguridad, siendo estás las que cuentan con más variantes soportadas, por si preferís utilizar alguna marca en concreto.

Como siempre, estoy atento a vuestros comentarios y sugerencias para ampliar o corregir la información de este artículo si es necesario 😉

Herramientas para detectar archivos infectados con ransomare

Guía para evitar ransomware

La siguiente guía de OWASP, desarrollada por hispanohablantes, te será de gran utilidad para conocer mejor a tu enemigo y aprender a protegerte y tomar medidas.

Descargar Guía para evitar ransomware

 

Anuncios

85 comentarios en “Herramientas para recuperar archivos afectados por ransomware

  1. muy interesante y un buena buena recopilacion de soluciones, gracias por el post pero es una pena no encontrar como desencriptar los archivos con extensión happydayzzz, hace 1 mes me trajeron una laptop con un rason ware que encriptaba con esa extensión

    Me gusta

    Responder

    1. Hola Manuel, te aconsejo que sigas el primer paso de la guía. Accede a Cryptosheriff o IDRansomware y proporciona la información necesaria: uno o varios archivos afectados y/o ransom notes. Saludos.

      Me gusta

      Responder

      4. Por lo que veo hay variantes de ransomware que añande simplemente varios caracteres aleatorios al final de un archivo, sin incorporar otros identificadores:

        SamSam (sin remedio por el momento)
        Vandev / Xorist: https://success.trendmicro.com/solution/1114221

        Es posible que se trate de alguno de ellos. Te recomiendo, en caso de no tenerlo claro, abrir un hilo en Bleepingcomputer.com para que te ayuden.
        Saludos!

        Me gusta

  5. Buenos días, Espero que estén bien, saben si Cerber Error! es igual o perteneciente a la familia de Cerber o Cerber V2/V3?? por otro lado, tenia habilitado shadow copies en toda mi data, el problema es que el impacto fue tal que me ha encriptado incluso archivos del sistema y ante una falla mi server no iniciapor su sistema operativo, aun cuando estaba activo no tenia acceso con las credenciales de administrador (es windows server 2008). Sin embargo, he logrado tener acceso booteando con Kali linux y puedo ver tanto la info del disco de datos como eld e sistema operativo.

    Alguna idea?

    Muchas gracias

    Me gusta

    Responder

    1. Hola Jonas, parece que me perdí tu mensaje y no te respondí a tiempo, disculpa. Con ShadowExplorer por ejemplo es posible recuperar las shadow copies sin mucho esfuerzo. Espero que todo saliera bien. Saludos.

      Me gusta

      Responder

  6. Hola a todos

    Tengo con extenciones “.id-C4B7EA68.[recfile@protonmail.com].cobra” todo mi servidor, no se si alguien sepa como poder desencriptar, espero sus comentarios, saludos!

    Me gusta

    Responder

    1. Hola Emmanuel

      Existe un ransomware denominado cobra que podría haber afectado tu equipo en este caso, sin embargo para estar más seguros lo que te recomiendo es leer los siguientes artículos y usar una de las herramientas (o las dos) para determinar si es un tipo conocido y cual. Ten a mano la “ransom note” o aviso que dejan en el equipo, o bien dos copias de un archivo, una sin afectar y la otra encriptada.

      https://protegermipc.net/2017/05/01/identificar-ransomware-crypto-sheriff/
      https://protegermipc.net/2016/04/15/como-saber-con-que-ransomware-estoy-infectado-id-ransomware/

      Saludos.

      Me gusta

      Responder

  8. Hola para ver quien me puede apoyar tengo todo el servidor encriptado no deja abrir nada de programas ni explorador de archivos, despues de varias checadas logra que dejara ver el explorador de archivos nada mas, todos los archivos estan con esta terminacion .id-44583812.[support0n@cock.li].java si alguien me puede apoyar parece ser de dharma .cezar pero las herramientas que consegui que tratan eso no hacen nada, esta raro porque no hay avisos no hay programas sospechosos. si alguien me puede sabe algo o alguna herramienta

    Me gusta

    Responder

      1. Hola si ya realize las pruebas en ambos solo en el id ransomware me sale la infor que esta basado en dharma .cezar pero no hay herramientas para desencriptar solo realize respaldo de la informacion y que tenga esparanza en el futuru que salga algo, tengo copia de toda la informacion. haber si sale algo que pueda ayudar, encontre un programa el redimage que se supone que ayuda a elimar el virus y quitar a los archivos el .java para despues usar el desencriptador. la maquina es windows server 2008 no funciona el programa, entonces para hacer la prueba pase varios archivos a otra computadora y corri el programa pero detecta esos archvos que estan bien, entonces no funciona nada hasta ahorita probe varios progrmas en la maquina dice que esta bien los archivos. probe el zamora, malware anti, superantispayware, lo que proporciona kaspersky para desencriptar el dharma nada de nada hasta el momento. tengo los archivos si quieren hacer pruebas o ayuden como desencriptar me avisan

        Me gusta

  11. Saludos, Tengo el mismo ramsonware de Hector y Dolores. En el caso mio el email del Hacker es varvar2018@aol.com todos los archivos estan encriptados en *.java y ningun desencriptador me ha funcionado. El spyhunter me removio el virus ramson y decia que era el Crysis, pero los archivo siguen encriptados. Algunos programas decian que es el Glove. Tambien pudo entrar a los backups del servidor y los encripto.

    Me gusta

    Responder

  12. Hola, tengo el mismo problema de Hector, dolores y Jonathan, la herramienta Rakhni de Kaspersky tampoco funciona… absolutamente nada ha funcionado. aplioquè una herramienta que se llama spyHunter pero solo eliminó el virus, las carpetas y archivos aun están encriptados de modo que hasta los servicios de windows y muchos preogramas se vieron afectados… ojalá alguien tenga una solucion. Dios les bendiga.

    Le gusta a 1 persona

    Responder

  13. Hola Alejandro, mi pregunta es la siguiente, tu todavia estas ayudando a tratar de recuperar archivos que están encriptados con cerber 3? des de ya agradeceré tu respuesta. te dejo mi mail por si me quieres responder saludos!!

    Me gusta

    Responder

    1. Buenas Luis,
      Hasta donde yo se no existe un una herramienta expresamente diseñada para recuperar archivos cifrados por Cerber v3.
      La única forma de hacerlo es mediante las Shadow Copies de Windows (por ejemplo con Shadow Explorer) o bien haciendo un análisis Forense del disco: FTKImager, photorec, Minitool PDR, Forensic Explorer, etcétera.
      Esto, aparte de los backups que entiendo que no tienes.
      Me temo que no pueda ser de ayuda si se trata de Cerber v3, a no ser que quieras que te explique en relación a los pasos anterires.

      De todas formas, ¿estás seguro de que es Cerver v3? Usa Cryptosheriff o ID Ransomware para verificarlo.
      P.D: no deberías poner tu email públicamente en ninguna web. Te recomiendo usar en todo caso una herramienta de enmascarado como Abine Blur

      Saludos!
      P.D: he eliminado tu email del comentario.

      Me gusta

      Responder

    1. Hola. Se trata de Gandcrab y podría ser la versión 2 o la versión 3 ya que ambas usan está extensión. Herramienta de desencriptacion: http://download.bitdefender.com/am/malware_removal/BDGandCrabDecryptTool.exe. También puedes intentarlo usando Shadow Explorer para buscar Shadow copies de tus archivos, o bien photorec o una herramienta similar para hacer un escaneo y recuperar los archivos huérfanos del disco.
      Actualizare el listado tan pronto pueda para reflejar está muestra.
      Saludos

      Me gusta

      Responder

    1. Hola Frank,
      Es posible que se trate de alguno de estos 3 ransomware (en orden de probabilidad):
      CryptON
      Cry36
      Damoclis Gladius

      Utiliza la herramienta Everything que puedes descargar en: https://www.voidtools.com/es-es/descargas/ y busca el nombre de la ransom note “HOWTODECRYPTFILES”. En el caso de CryptON (al menos) se crea una de estas notas en cada directorio del disco afectado.

      No se en qué punto de la infección quedó tu equipo -si lo apagaste rápidamente o no- y por tanto si has perdido pocos, muchos o todos los archivos, pero lamento decirte que por el momento no hay ninguna manera de descifrar dicho ransomware. Aún así, te recomiendo utilizar alguno de los servicios para identificar ransomare que he citado al comienzo del artículo: ID-ransomware o CryptoSheriff. Envía tus archivos afectados o ransom notes para ver si te dan un diagnóstico diferente y así verificar que estamos hablando de la misma muestra.

      P.D: usuarios afectados por CryptON reportaron en Bleeping Computer que al apagar el equipo (y por tanto detener la infección) antes de que el escritorio fuera bloqueado por el malware, era posible recuperar archivos escribiendo de nuevo la extensión original de los mismos (quitando el ransomed@india.com).

      Saludos

      Me gusta

      Responder

    1. Hola Ignacio. Dependiendo del método utilizado para formatear podrás recuperar más o menos archivos. Seguro que puedes recuperar cosas, aunque los enlaces a nombres de archivo se habrán perdido y la tarea de identificación será ardua. Puedes utilizar Photorec, Minitool Data Recovery o alguna herramienta forense como Sleuthkit + Autopsy o SANS SIFT.
      Saludos.

      Me gusta

      Responder

      1. gracias por responder pero por ejemplo encontre una foto en internet que es la misma que esta en la pc y no puedo ya que encriptado el archivo pesa mas

        Me gusta

      2. Hola, la solución que te di es solamente para intentar recuperar los archivos en su estado actual, a la espera de quizá en un futuro encontrar una solución y poder recuperarlos, algo que no es seguro desde luego. ¿Sabes qué tipo de ransomware te afectó? Saludos.

        Me gusta

      4. Según parece comparten la misma extensión. Si tienes ransom notes (archivos con instrucciones dejadas por el ransomware) te recomiendo que intentes subirlas a alguna de las páginas de identificación para averiguar el correcto. Saludos.

        Me gusta

  20. buenas Ale.. tengo un virus en un servidor.. que tiene el siguiente nombre y afecto recientemente y no encuentro alguna herramienta para desencriptar la informacion no se si me podrian ayudar !!

    IASA2015_Data.mdf.id-5E48927C.[muracami@cock.li].arrow

    Me gusta

    Responder

      1. Hola yo conseguí una empresa que los descifran peroe querían cobrar más de 2.500 € por ello si lo necesitáis Diogo la empresa pero me parecía un robo

        Un saludo

        Me gusta

  23. Hola,
    Intentaré explicarme lo mejor que pueda, porque mi nivel de informática es muy básico.
    Hace unos años mi ordenador fue infectado por globe y globe3. Cuando ocurrió todavía no había ninguna herramienta para desencriptarlos, y guardé todos los archivos encriptados en un pen con la esperanza de que en el futuro se encontrase solución. Lo malo es que formateamos el ordenador reinstalando el sistema operativo ( y por supuesto no hicimos copia de seguridad), para eliminar todo rastro de virus.
    Ahora veo que se necesitan los archivos sin encriptar (¿?) para poder solucionarlo, pero esos archivos ya no los tengo…
    ¿tengo que dar por perdidas todos los archivos?
    Gracias

    Me gusta

    Responder

  24. buen dia, tengo un problema grande ya que se consumió la gran mayoría de mis archivos y los encripto en un formato .KRAB, el problema es que no encuentro una buena aplicación que me ayude a recuperar los archivos infectados, por favor ayuda

    Me gusta

    Responder

    1. Hola. Se trata de gandcrab v4. Dentro de la v4 hay varias versiones. Para la 4.2.1 han sacado un remedio: bleepingcomputer.com/news/security/vaccine-available-for-gandcrab-ransomware-v412/ además bitdefender publicó otro este año para otra versión anterior

      Me gusta

      Responder

    1. Buenas,

      Hola. Se trata de Gandcrab y podría ser la versión 2 o la versión 3 (la v4 usa en principio .KRAB) ya que ambas usan está extensión. Herramienta de desencriptacion: BDGandCrabDecryptTool.exe (disponible a través de la empresa Bitdefender). También puedes intentarlo usando Shadow Explorer para buscar Shadow copies de tus archivos, o bien photorec o una herramienta similar para hacer un escaneo y recuperar los archivos huérfanos del disco. Saludos.

      Me gusta

      Responder

  26. karpesky y trendmicro es basura, no sirven para desencriptar solo lo hacen para q los descargues y te hacen perder el tiempo llevo meses tratando de desesncriptar archivos buyftfybi.cerber

    Me gusta

    Responder

      1. Olvidé comentarm, como ya he dicho a otros usuarios, que no es posible descifrar los archivos a día de hoy. Puedes intentar restaurr Shadow Copies con Shadow Explorer o bien utilizar un software de recuperación como Recuva, aunque en principio no auguro suerte. Lo mejor es disponer de una copia de seguridad desde la que restaurar. Saludos.

        Me gusta

  28. hola, tengo el mismo problema he sido infectado por un virus y me ha dejado todos los ficheros en .java encriptados (conoceis alguna empresa que me pueda recuperar los ficheros)

    gracuas

    Me gusta

    Responder

    1. Buenas, El ransomware en cuestión parece ser Dharma (CrySiS). Los archivos en una de las últimas variantes se cifran con extensión .java.
      En principio no existe un método para desencriptar los ficheros, salvo que tengas un backup a mano o bien utilices alguna herramienta forense de recuperación, así como ShadowExplorer para buscar versiones anteriores de tus archivos que pudieran permanecer intactas. Saludos.

      Me gusta

      Responder

  29. Hola,
    Necesitamos desencriptar archivos .GAMMA y no sabemos como y se ha comido una empresa entera… los informáticos de la empresa no me dan solución y tengo miles de archivos encriptados… Ayuda!

    Me gusta

    Responder

      1. Nada, aún no hemos encontrado herramienta para poder desencriptar estos archivos… Por favor, si alguien sabe alguna que contacte conmigo, gracias!!

        Me gusta

Deja tu comentario (puedes hacerlo de forma anónima)

Introduce tus datos o haz clic en un icono para iniciar sesión:

Gravatar
Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Cancelar

Conectando a %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.