Herramientas para recuperar archivos afectados por ransomware
¿Qué harías si tu equipo es infectado por ransomware? Una mayoría seguro buscaría una alternativa para poder recuperar la salud de sus archivos, aunque una minoría “grande” se plantearía -e incluso estaría dispuesta- a pagar por recuperarlos, sobre todo si se trata de pequeños negocios o gente que trabaja por su cuenta y pierde documentación valiosa.
La decisión de pagar es errónea se mire por donde se mire, para empezar porque estamos legitimando la actividad de los delincuentes y porque además nada nos garantiza la recuperación de los activos.
Antes de echarnos a los brazos de quien nos ha infectado, es mejor echar mano de alguna de estas herramientas para desencriptar archivos afectados por ransomware, además de identificar en primera instancia la amenaza a la que nos enfrentamos, porque existe un número cercano al infinito de variantes.
El ransomware crece, su calidad no
Parece mentira pero, salvo en contados casos, a pesar de la importancia que los ciberdelincuentes le dan al cifrado de archivos ajenos para ganar dinero, el código malicioso del ransomware está decreciendo paulatinamente. Esto está dando pie a que los expertos tengan mayores opciones de romper antes el código y permitir la recuperación.
A su vez, el ransomware “low cost” tiene un peligro inesperado para el usuario: al poder contener más errores de funcionamiento, también es más elevado el riesgo de que nuestros datos se echen a perder para siempre.
Deberías haber tenido un plan anti-ransomware en marcha -empezando este por una política de copias de seguridad- pero es posible que si has llegado aquí ya sea tarde.
Identificar el ransomware que nos ha infectado
Cuando tenemos que identificar qué variante de ransomware nos ha infectado, suelen aparecer dos problemas. El primero es que, mientras algunas muestras dejan claros signos de su nombre en forma de “ransom notes” no todos ofrecen esta información, así que nos tocará buscar otra vía. El segundo problema que puede darse es que la información de la nota no sea fiable, pretendiendo este cryptoware ser otro diferente para confundirnos.
Como norma, os recomiendo que SIEMPRE realicéis un escaneo con una de las siguientes dos herramientas, remitiendo una muestra de un archivo afectado para su identificación:
Además de la lista que encontraréis a continuación (la iré actualizando si encuentro nuevas herramientas relevantes) os aconsejo siempre investigar un poco acerca de los detalles de vuestro caso en páginas especializadas en desinfección de ransomware, como Bleeping Computer o Wilders Security Forums.
Herramientas para recuperar archivos afectados por ransomware
Como pronto comprobaréis, algunas de estas herramientas son válidas para desencriptar múltiples familias de ransomware, aunque no es lo habitual. Son los casos de RakhniDecryptor y RanohDecryptor principalmente, acompañados de otras como TM Ransomware Decryptor de TrendMicro, válido para más de 20 familias.
| NOMBRE AMENAZA | EXTENSIONES | INFORMACIÓN / FUENTE |
| .777 | *.777 | Emsisoft |
| .8lock8 | .8block8 | Explicaciones del foro |
| 7ev3n | .R4A
.R5A | Github (Hasherezade) |
| 7even-HONE$T | (Nº secuencial).R4A o R5A | Análisis del ransomware |
| Agent.iih | Kaspersky / Tutorial | |
| Alcatraz | *.Alcatraz | Avast |
| Alma | Añade 5 caracteres aleatorios al final del archivo y un ID de víctima único de 8 | PhishLabs / Tutorial |
| Al-Namrood | *.unavailable, *.disappeared | Emsisoft |
| Alpha | *.bin | Bleeping Computer |
| AlphaLocker | *.encrypt | Bleeping Computer |
| Apocalypse | *.encrypted, *.FuckYourData, *.Encryptedfile, *.SecureCrypted | AVG / Avast |
| ApocalypseVM | *.encrypted, *.FuckYourData, *.Encryptedfile, *.SecureCrypted *.locked | Herramienta alternativa |
| Aura | Kaspersky / Tutorial | |
| AutoIt | {Nombre_original}@<mail server>_.<caracteres_aleatorios>. | Kaspersky / Tutorial |
| Autolocky | *.locky | Emsisoft / TrendMicro |
| AutoLT | “<nombre_original>@<mail server>_.<caracteres_aleatorios>” | Kaspersky / Tutorial |
| Aw3s0m3Sc0t7 | .enc | |
| Badblock | No cambia (mirar la “ransom note”) | Herramienta alternativa |
| BarRax | Tutorial | |
| Bart | *.bart.zip | Herramienta alternativa |
| BitCryptor (Coinvault) | *.clf | Bleeping Computer (Demonslay) |
| BitStak | *.bitstak | Bleeping Computer (Demonslay) |
| Cerber | {10 caract. aleatorios}.cerber | Kaspersky / Tutorial |
| Cerber v1 | {10 caract. aleatorios}.cerber | TrendMicro / Tutorial |
| Cerber v2/v3 | .cerber2 / .cerber3 / aleatorio | |
| Chimera | {Nombre_original}.crypt | Alternativa 1 / Alternativa 2 / Tutorial |
| CoinVault | Trojan-Ransom.Win32.Crypmodadv.cj | Kaspersky / Tutorial |
| Cryaki | .{CRYPTENDBLACKDC}
Infectado con Trojan-Ransom.Win32.Crybola | Kaspersky / Tutorial |
| Crybola | Infectado con Trojan-Ransom.Win32.Crybola | Kaspersky / Tutorial |
| CrypBoss | *.crypt, *.R16M01D0 | Emsisoft |
| Crypren | .ENCRYPTED | Github |
| Crypt38 | .crypt38 | Fortinet |
| Crypt888 (Mirkop) | Añade “Lock.” al comienzo | Herramienta alternativa |
| CryptInfinite | *.CRINF | Emsisoft |
| CryptON | añade _crypt al nombre,
.id-_locked_by_krec .id-_locked_by_perfect .id-_x3m .id-_r9oj .id-_garryweber@protonmail.ch .id-_steaveiwalker@india.com_ .id-_julia.crown@india.com_ .id-_tom.cruz@india.com_ .id-_CarlosBoltehero@india.com_ .id-_maria.lopez1@india.com_ | Emsisoft / Tutorial |
| CryptoDefense | Se auto-identifica y deja nota “HOW_DECRYPT.txt” | Emsisoft |
| Cryptolocker (inactivo) | *.encrypted, *.cryptolocker | FireEye y FoxIT |
| CryptoHost | Información | |
| Cryptokluchen | Kaspersky / Tutorial | |
| CryptoMix / CryptoShield | *.CRYPTOSHIELD, *.rdmk, *.lesli, *.scl, *.code, *.rmd *.rscl | Desencriptado mediante clave offline |
| CryptoTorLocker | .CryptoTorLocker2015! | Información |
| CryptXXX v1-v3 | {nombre_original}.crypt, cryp1, crypz o 5 caract. hexadecimales
Infectado por Trojan-Ransom.Win32.CryptXXX | TrendMicro / Información |
| CryptXXX v4-v5 | {MD5 Hash}.5 caracteres hexadecimales | TrendMicro |
| CrySIS | .johnycryptor@hackermail.com.xtbl
.ecovector2@aol.com.xtbl .systemdown@india.com.xtbl .Vegclass@aol.com.xtbl ..{milarepa.lotos@aol.com}.CrySiS .{Greg_blood@india.com}.xtbl .{savepanda@india.com}.xtbl .{arzamass7@163.com}.xtbl | Kaspersky / Información |
| CTB-Locker | .ctbl | |
| CuteRansomware | .encrypted | Github |
| Damage | Emsisoft / Tutorial | |
| Dharma | .dharma
.wallet .zzzzz | Kaspersky / Tutorial |
| DeCrypt Protect | .html | Información |
| DeriaLock | CheckPoint / Tutorial | |
| Democry | *._fecha_hora _$address@domain$.777 o *._fecha_hora _$address@domain$.legion | Kaspersky / Tutorial |
| DMA Locker | El ID es DMALOCK 41:55:16:13:51:76:67:99 | Emsisoft |
| DMA2 Locker | El ID es DMALOCK 43:41:90:35:25:13:61:92 | Emsisoft |
| DynACrypt | .crypt | Bleeping Computer |
| Fabiansomware | *.encrypted | Emsisoft |
| FenixLocker | *.centrumfr@india.com!! | Emsisoft / Tutorial |
| Fury | Infectado con Trojan-Ransom.Win32.Fury | Kaspersky / Tutorial |
| GhostCrypt | .Z81928819 | Bleeping Computer |
| Globe v1 | *.ACRYPT, *.GSupport[0-9], *.blackblock, *.dll555, *.duhust, *.exploit, *.frozen, *.globe, *.gsupport, | Emsisoft / Tutorial / Alternativa |
| Globe2 / Globe v2 | *.raid10, *.blt, *.globe, *.encrypted,*[mia.kokers@aol.com] / {Original file name}.{email address + random characters} | Tutorial |
| Globe3 / Globe v3 | *.decrypt2017, *.hnumkhotep / sin extensión determinada o nombre cifrado | Emsisoft / Tutorial |
| GlobeImposter | *.crypt | Tutorial |
| Gomasom | *.crypt | Emsisoft / Tutorial |
| Harasom | *.html and note from Spamhaus or US Department of Justice | Emsisoft |
| HiddenTear | *.locked, *.34xxx, *.bloccato, *.BUGSECCCC, *.Hollycrypt, *.lock, *.saeid, *.unlockit, | Avast |
| HydraCrypt | *.hyrdacrypt, *.umbrecrypt | |
| Jigsaw / CryptoHit | FUN, .KKK, .GWS, .BTC | Alternativa 1 / Alternativa 2 / Tutorial |
| KeRanger | .encrypted | Dr Web |
| KeyBTC | Mirar ransom note “Decrypt_Your_Files.txt” | Emsisoft |
| KimcilWare | *.kimcilware
*.locked | Fortinet |
| Lamer | Kaspersky / Tutorial | |
| LeChiffre | *.LeChiffre | Alternativa |
| Legion | *.[#s]$f_tactics@aol.com$.legion | AVG |
| Linux.Encoder.1 | *.encrypted (?) | Información / Tutorial |
| Linux.Encoder.3 | *.encrypted (?) | Bitdefender / Tutorial |
| Lock Screen | TrendMicro | |
| Locker | Bleeping Computer | |
| Lortok | *.crime | Kaspersky / Tutorial |
| MarsJoke (Polyglot) | Kaspersky / Tutorial | |
| Manamecrypt (CryptoHost) | Bleeping Computer | |
| Mircop | Lock.{Nombre_Original} | AVG / Alternativa |
| Merry Christmas / MRCR | *.PEGS1, *.MRCR1, *.RARE1, *.MERRY, *.RMCM1 | Emsisoft / Tutorial |
| Nanolocker | Github | |
| Nemucod | *.crypted | TrendMicro / Alternativa |
| NMoreira | *.maktub, *._AiraCropEncrypted! | Emsisoft / Tutorial |
| NoobCrypt | ZdZ8EcvP95ki6NWR2j o lsakhBVLIKAHg | Avast |
| ODCODC | *.odcodc | Bleeping Computer |
| Operation Global III | *.exe | Bleeping Computer |
| OpenToYou | *.-opentoyou@india.com | Emsisoft |
| Ozozalocker | *.locked | Emsisoft |
| PClock | No cambia; buscar “enc_files.txt” | Emsisoft |
| Petya | Encripta todo el disco | Alternativa |
| Philadelphia | *.locked | Emsisoft |
| PHP ransomware | CheckPoint / Tutorial | |
| PizzaCrypts | Bleeping Computer | |
| Pletor | Kaspersky / Tutorial | |
| Pompous / Skidlocker | *.locked | Bleeping Computer |
| Popcorn | Eleven Paths / Tutorial | |
| PowerWare / PoshCoder | *.locky | Github |
| Radamant | .RDM
.RRK .RAD .RADAMANT | Emsisoft / Información |
| Rakhni ransomware | *.locked, *.kraken | Kaspersky / Tutorial |
| Rannoh ransomware | Sustituye nombres por “locked-<nombre_original> .<4_letras_aleatorias>” | Kaspersky / Tutorial |
| Rector | .vscrypt
.infected .bloc .korrektor | Kaspersky |
| Rotor | Kaspersky / Tutorial | |
| Scraper | Infecta mediante Trojan-Ransom.BAT.Scatter | Herramientas |
| Shade / Troldesh | *.xtbl, *.ytbl, *.breaking_bad, *.heisenberg. | Kaspersky / Alternativa |
| SNSLocker | {Nombre_original}.RSNSLocked | TrendMicro / Información |
| Stampado | *.locked | TrendMicro / Alternativa |
| SZFlocker | *.szf | AVG / Avast |
| TeleCrypt | {Nombre_archivo} | TrendMicro /Información |
| TeslaCrypt v1 | {Nombre_archivo}.ECC | Talos |
| Teslacrypt v2 | {Nombre_archivo}.VVV, CCC, ZZZ, AAA, ABC, XYZ | TrendMicro / Información |
| Teslacrypt v3 | .micro .xxx .ttt .mp3 | Tutorial / Alternativa |
| Teslacrypt v4 | .exx
.ezz .ecc .xxx .ttt .micro .mp3 | Tutorial / Alternativa |
| TorrentLocker | *.encrypted, *.enc | Bleeping Computer |
| Tycoon | *.RedRum | Análisis / Emsisoft |
| Umbrecrypt | .umbrecrypttmp_ID_[#s]
*.hydracrypt, *.umbrecrypt | Emsisoft / Información |
| Wildfire | .wflx | Alternativa / Tutorial |
| WannaCry / WannaCrypt | *.wnry, *.wncry | Análisis / Herramientas |
| XORBAT | {Nombre_original}.crypted | TrendMicro / Alternativa |
| XORIST | *.EnCiPhErEd, *.0JELvV, *.p5tkjw, *.6FKR8d, *.UslJ6m, *.n1wLp0, *.5vypSa, *.YNhlv1 | Emsisoft / Alternativa |
Hay que señalar que no todas las herramientas para recuperación son igual de sencillas. Algunas no requieren apenas conocimientos de informática, mientras que otras herramientas / soluciones solo podrán ser puestas en marcha por usuarios avanzados.
Herramientas para descifrar ransomware según marcas
A continuación os dejo enlaces a las páginas de firmas de seguridad, siendo estás las que cuentan con más variantes soportadas, por si preferís utilizar alguna marca en concreto.
- Avast: 16 variantes soportadas
- AVG: 7 variantes soportadas
- Emsisoft: 36 variantes soportadas
- Kaspersky: 28 variantes soportadas
Como siempre, estoy atento a vuestros comentarios y sugerencias para ampliar o corregir la información de este artículo si es necesario 😉
Herramientas para detectar archivos infectados con ransomare
Guía para evitar ransomware
La siguiente guía de OWASP, desarrollada por hispanohablantes, te será de gran utilidad para conocer mejor a tu enemigo y aprender a protegerte y tomar medidas.
Herramientas antiransomware recomendadas
Es posible que ya lleguemos tarde (esta vez) pero te interesará saber que puedes protegerte de cara a futuros ataques por crypto-ransomware sin pagar un céntimo gracias a herramientas anti-ransomware que he analizado en esta web:
Categorías
Alejandro Ver todo
Trabajo como consultor de ciberseguridad y me gusta lo que hago. Aficionado a la informática / tecnología en general, me gusta compartir con la gente lo poco que sé. También soy aficionado al deporte y los videojuegos.
como recupero archivos con terminacion djvu
un saludo
Me gustaMe gusta
Por desgracia de momento no es posible. Saludos.
Me gustaMe gusta
saludes alejandro
puedes ayudarme,,tengo encriptados mis archivos con la ext .muslat
Me gustaMe gusta
Hola, ya te respondí en otro de los comentarios, saludos.
Me gustaMe gusta
Buen día: Tuve el mismo problema, mis archivos fueron encriptados codjvu. ¿Pudiste solucionar el tema?.
Cordiales saludos. Marcos
Me gustaMe gusta
Este ransom no tiene recuperación por el momento. Saludos.
Me gustaMe gusta
Hola. En mi caso se me ha colado el que crea las extensiones . Adobe Formatee a bajo nivel y cambie el sistema operativo por lo que sospecho que ya no corro peligro de tenerlo pero aun tengo los archivos infectados. Este es del tipo que borra los datos y encripta? pudiera recuperar los datos con un programa de recuperación? Saludos y espero respuesta. Gracias de antemano
Me gustaMe gusta
Hola alguien me puede ayudar, mis archivos se volvieron con extención .adove, con que programa los desencripto o como lo hago?
Me gustaMe gusta
No estoy seguro aunque sospecho de STOP o Dharma por lo que he podido ver. ¿tienes una ransom note? También puedes utilizar el servicio IDRansomware o Cryptosheriff para identificarlo. Búscalos en mi web, en este mismo artículo los menciono. Saludos.
Me gustaMe gusta
hola me podrían ayudar con alguna herramienta para desencriptar este nuevo virus con la extensión ejemplo imagen.jpg.ojqjpta ,adicional a eso se creo un txt en cada capeta OJQJPTA-DECRYPT.txt
Me gustaMe gusta
Hola Sergio, usa los servicios de identificación que propongo en el artículo, porque no hay registros sobre eso y se trata de extensiones aleatorias para dificultar su identificación. Saludos.
Me gustaMe gusta
Buenas, mi pc ha sido infectado todo por archivos .phobos, sabes si alguna herramienta de arriba me sirve? estoy desesperado. me diecn que les escriba a un mail decrypedfiles@420blaze.it.
AYUDAA!
Me gustaMe gusta
hola y disculpa. me infecto el portatil el virus gandcrab 5.0.4 lo resetee entero, pero me guarde las fotos y videos infectadas en un disco duro que elimine el virus de el pero quiero recuperar mis archivos, tengo las notas del secuestro, junto a todos los archivos guardados en version .RAMEIAE me ayudas por favor? varios de los archivos infectados son de mi padre que en paz descanse entre ellas fotos y videos del momento de lucidez que tuvo antes de dejarme
gracias de antemano y te dejo mi correo : davidperezrivera@icloud.com
Me gustaMe gusta
Se sabe algo ya de cuando se podrán desencriptar los archivos .phobos?
Me gustaMe gusta
¿Cómo recupero mis archivos infectados por GandCrab? Gracias.
Me gustaMe gusta
De momento no se puede. Saludos.
Me gustaMe gusta
Mi pc ha sido infectado todo por archivos .phobos, sabeis si alguna herramienta de arriba me sirve? o alguna otra? estoy desesperado. me diecn que les escriba a un mail decrypedfiles@420blaze.it.
Me gustaMe gusta
No es posible de momento Jaume. Entiendo que no tiens copias de seguridad, así que tus opciones pasan por intentar recuperar Shadow copies con Shadow Explorer (versiones anteriores de archivos) que seguramente también hayan sido afectadas, o bien usar alguna herramienta de data carving (como puede ser Photorec o Forensic Explorer http://www.forensicexplorer.com/data-carve.php)
Saludos.
Me gustaMe gusta
Hola, mis archivos han pasado ha tener la extensión .rap, sabrías de algún programa para intentar recuperar los datos
Me gustaMe gusta
Hola, se trata del ransomware Scarab: https://id-ransomware.blogspot.com/2017/06/scarab-ransomware.html
Dr Web ofrece un servicio de descifrado por 150 € (no cobran si no lo consiguen) aquí: https://www.bleepingcomputer.com/forums/t/651855/scarab-mich78-ransomware-scarab-scorpio-mich78usacom-support-topic/?p=4489715
En algunos casos es posible recuperar archivos, bajo circunstancias concretas (depende de la versión): https://www.bleepingcomputer.com/forums/t/651855/scarab-mich78-ransomware-scarab-scorpio-mich78usacom-support-topic/page-22#entry4516375
Para esta última opción será necesario enviar entre 3 y 4 ransom notes.
Si lo anterior no da resultado siempre puedes intentar con software de recuperación por si no todos los archivos fueron afectados: http://www.forensicswiki.org/index.php?title=Tools:Data_Recovery
Saludos y suerte.
Me gustaMe gusta
mi PC de escritorio fue infectado las fotos, vídeos, y algunos accesos directo . las fotos como los vídeo osea cambiaron en forma de papel blanco y la foto tienen como terminación jpg.BTEGHU , y en cada carpeta me aparece ( un archivo de nota) con el nombre BTEGHU-DECRYPT . los vídeos mp4.BTEGHU ¿ que puedo hacer, Hay algo o algun programita para recuperar mis fotos ,como quito esa extencion ? porfavorrr porfavorrrrrr porfavorrrrrrrrr
Me gustaMe gusta
hola se puede recuperar los archivo con nombre archiv. merry?
Me gustaMe gusta
Hola, como estas? muy buen post!
Te consulto, sabes con que puedo recuperar archivos encriptados con veracrypt@foxmail.com (veracrypt@foxmail,com).adobe
Muchas gracias
Facundo
Me gustaMe gusta
Hola Facundo,
Con el RakhniDecryptor de Kaspersky puedes tener opciones (está en la tabla de este artículo)
Puedes obtener más información en Bleepingcomputer: https://www.bleepingcomputer.com/forums/t/691880/veracryptfoxmailcomadobe-encrypted/
Saludos.
Me gustaMe gusta
Alguien podría apoyarme? Mi memoria cambió de nombre a @!ı÷ÝÖ┐bÙFz y todos mis archivos tienen más o menos los mismos símbolos, me parece están encriptados. No puedo acceder a ninguno. ¡Gracias!
Me gustaMe gusta
Están encriptados con casi total seguridad.
Sigue las instrucciones al comienzo del artículo para identificar la familia de ransomware que te ha infectado (Cryptosheriff / IDransomware)
También puedes buscar ransom notes así: https://protegermipc.net/2018/08/08/cryptosearch-permite-encontrar-archivos-secuestrados-por-ransomware/
Ya me cuentas.
Saludos.
Me gustaMe gusta
Primeramente agradecerte en darte tu tiempo y ayudar a todas aquellas personas que pasan un mal momento por el contagio de virus, mi consulta es la siguiente, mi PC fue contagiada con un virus de tipo ransomware con extensión pulsar1, que sugieres como una alternativa de solución para recuperar los archivos. Desde ya te agradezco por tu tiempo. Saludos
Me gustaMe gusta
Hola Denys. De momento no he visto método de recuperación. Saludos.
Me gustaMe gusta
Existe ya la posibilidad de desencriptar archivos .phobos?
Me gustaMe gusta
De momento nada, te invito a seguir este hilo porque comentan que podría haber un decrypter en camino. Saludos
https://www.bleepingcomputer.com/forums/t/688649/phobos-ransomware-help-topic-phobos-phoboshta/page-12
Me gustaMe gusta
hola hermano que tal, disculpa la molestia, tenia una consulta, en caso de que se tratara de una extencion tipo PROMORA2, como podría desencriptar o recuperar mis archivos, gracias de antemano
Me gustaMe gusta
Buenos días como puedo recuperar archivos con extensión .moresa
Me gustaMe gusta
Buenos días,
Se trata de una variante del ransomware STOP probablemente, para el cual no hay de momento un decrypter. En cualquier caso, deberías darle una pasada con las herramientas de catalogación que recomiendo al comienzo del artículo.
Saludos.
Me gustaMe gusta
Muchas gracias, le pido el favor que si sabe alguna forma de recuperar estos archivos dentro del transcurso del estos meses me lo haga saber, mi correo electrónico es cfcl518@gmail.com y voy a seguir su sugerencia. Dios lo Bendiga.
Me gustaLe gusta a 1 persona
Hola, tengo archivos excel pero no los puedo abrir ya que su extension termina en .ccc
he intentado con varios antispywares para poder recuperar los archivos pero me ha sido imposible. Saben alguna solucion al respecto de estos casos? cabe destacar que ya he utilizado TeslaDecoder el cual no ha sido efectivo, por lo que no he podido recuperar la informacion que necesito. Quedo atento a comentarios. saludos
Me gustaMe gusta
fui infectado por ramsomware y mis archivos tienen extesion .fordan por ejemplo mi aguita amarilla.mp3.fordan
Me gustaMe gusta
Buenas tardes Alejandro, he sido infectado y los archivos quedan con la extension .fordan. me podrias informar si al dia de la fecha existe algun decrypter? desde ya muchas gracias. Ramirpo
Me gustaMe gusta
Saludos cordiales.Por favor algún desencriptador para la extensión .fordan, gracias anticipadas.
Me gustaMe gusta
Buenas Ramiro y compañía. No existe una cura para estos archivos de momento, ya que parecen ser de STOP/Djvu. Algunas variantes son soportadas pero no estos ID. En Bleepingcomputer puede consultar en el futuro y tratar de identificar si realmente es este ransomware con alguno de los programas propuestos al inicio. Aunque he visto alguna mención al recuperador STOP Decrypter no creo que te funcione como he dicho, pero te dejo enlace por si quieres probar: https://download.bleepingcomputer.com/demonslay335/STOPDecrypter.zip
Me gustaMe gusta
hola mis archivos tiene extension .randman, se pueden recuperar
Me gustaMe gusta
Hola, sobre esa extensión no existe información alguna. Envía los archivos a alguna de las webs que recomiendo para analizar la muestra: ID Ransomware o CryptoSheriff. Saludos.
Me gustaMe gusta
Buenas tardes Alejandro, mi computador se infecto con virus moresa, ya lo desinfecte y estoy tratando de desencriptar los archivos con STOPDecryptor pero me sale el siguiente mensaje:
[!] No keys were found for the following IDs:
[*] ID: jbTRUsgKKpctBE7PpYhiQQCnFLaVAsaDKJnmFj1y (.moresa )
[*] ID: jbTRUsgKKpctBE7PpYhiQQCnFLaVAsaDKJnmFj1y (.docx )
no se si con esa informacion se puedan recuperar los archivos. Agradezco su respuesta. Muchas Gracias.
Me gustaMe gusta
Hola, ese decrypter usado no ha detectado nada, no es válido para esa muestra. No se qué versión de STOP decrypter estás usando, intenta descargar una más reciente o esperar a que salga una nueva versión si tienes la última. Saludos.
Me gustaMe gusta
Buenas noches: Mi PC fue atacada con el ransonware djvu y baje en usb los archivos mas importantes. Todo lo demás el técnico reinstalo todo y la dejo en cero. MI PREGUNTA ¿A la fecha se encontró algún antivirus para este virus?. Gracias por la atención.
Me gustaMe gusta
Hola, si te refieres a si los antivirus tiene firmas para reconocer y limpiar el malware, no lo tengo claro del todo pero debería haber firmas. Ahora, si te refieres a poder recuperar archivos depende mucho de la extensión y versión. Dime qué extensión tienen tus archivos o comprueba en este post si se encuentra entre los que aparecen listados con decrypter:
https://www.bleepingcomputer.com/forums/t/671473/stop-ransomware-stop-puma-djvu-promo-drume-help-support-topic/
Saludos.
Me gustaMe gusta
A mi se me metió hoy este gran puto djvu, y me sifro todos los archivos con extensión RECTOT. Si hay alguna solución avísenme por favor, tengo un respaldo de los archivos en otro disco pero creo que no están todos aunque si la mayoría.
Me gustaMe gusta
Hola Javier,
Estoy acostumbrado a que la gente se refiera a este ransom como djvu (es de la familia STOP) pero en tu caso no se qué extensión tienen tus archivos. Existen gran variedad de extensiones de esta familia. Te recomiendo como primer paso enviar alguna muestra a IDRansomware o Cryptosheriff (aparecen al comienzo del post) y seguidamente, si son reconocidas, intentar descifrar con el STOP decrypter: https://download.bleepingcomputer.com/demonslay335/STOPDecrypter.zip
En cualquier caso siempre puedes darle una pasada con alguna herramienta de recuperación de archivos:
Suerte
Me gustaMe gusta
tengo el mismo problema todos los archivos se encriptaron con extension .RECTOT
Me gustaMe gusta
Hola Jorge, haz un análisis de los archivos afectados con IDRansomware (https://protegermipc.net/2016/04/15/como-saber-con-que-ransomware-estoy-infectado-id-ransomware/) para asegurarte de qué familia te ha atacado. El ransomware que emplea .rectot es casi seguro de la familia STOP y quizá podría servirte STOP decrypter. Aunque no fuera posible descifrar tus archivos (lleva pocos días aparecida esta variante) es recomendable que sigas las instrucciones que aparecen aquí: https://kb.gt500.org/stopdecrypter porque facilitando esa información es posible que los expertos de webs como Bleepingcomputer sean capaces antes o después de dar con una clave privada que permita descifrar los archivos.
En cualquier caso siempre puedes darle una pasada con alguna herramienta de recuperación de archivos:
Suerte….y recuerda que para la próxima vez debes contar con un sistema de copias de seguridad.
Me gustaMe gusta
Hola, todos mis archivos están cifrados con (.rectot), me pueden ayudar a encontrar alguna forma de descifrarlos, alguna herramienta o algun consejo? gracias de antemano
Me gustaMe gusta
Hay un virus encryptador nuevo: extensión ‘.488q9’ (sin las aspas) alguien sabe algo sobre?
Me gustaMe gusta
Hola amigos,
Mi pc fue infectado por un ransomware que encriptó de mis archivos (.docx, .mp3, etc.) poniendo una extensión adicional así:
“carta.docx.horon”
“fotopolola.jpeg.horon”
“cancion.mp3.horon”
Conocen alguna solución?
Ojo. Ya no está infectado el pc, pero quedaron muchos archivos con nombre cambiado.
Me gustaMe gusta
cordial saludo
mi equipo fue infectado por el ransomware NERAS y todos los archivos estan con extension .NERAS si alguien me puede ayudar les agradezco
feliz dia
Me gustaMe gusta
Hola tengo un problema se me metio en la PC un virus que me ha encriptado los archivos que tenia en la PC y han escrito una nota de rescate, a cada archivo encriptado le han cambiado la extención a una llave para poder descriptar.
Ejempo:
Archivo encriptado: hosts.-8BF5216A-727B-DE3D-03E3-669F025E73DA
Archivo original: hosts
La nota de rescate es la siguiente:
All your files, documents, photos, databases and other important
files are encrypted.
You are not able to decrypt it by yourself! The only method
of recovering files is to purchase an unique private key.
Only we can give you this key and only we can recover your files.
To be sure that we have the decryptor and it works you can send an
email to endereless@cock.li and decrypt one file for free. But this
file must’nt be of valuable!
Do you really want to restore your files?
If you are ready to buy unique private key send an email including you ID to happyless@airmail.cc
Your personal ID: 8BF5216A-727B-DE3D-03E3-669F025E73DA
Attention!
* Do not rename encrypted files.
* Do not try to decrypt your data using third party software,
it may cause permanent data loss.
* Decryption of your files with the help of third parties may
cause increased price (they add their fee to our) or you can
become a victim of a scam.
Que me pueden decir de este virus…
Me gustaMe gusta
HOla, ¿extensión? Diría que es Phobos a simple vista. Usa los servicios de reconomiento por favor.
Saludos.
Me gustaMe gusta
Buenos dias me ha entrado este ramson justo cuando estaba actualizando mi copia de seguridad, con lo que me ha infectado el original, los discos secundarios y el de rescate.
id[A62F9785-2275].[supportcrypt2019@cock.li].Adame
Hay alguna forma de poder eliminarlo y recuperar todo??
Esmuy importante poder hacerlo
Me gustaMe gusta
Hola Juan.
Parece que es Phobos, para el cual no hay de momento decrypter disponible. Si tienes versiones anteriores activadas (shadow copies) puedes probar, también puedes intentar con una herramienta de file carving como photorec, aunque la tarea va a ser monumental.
¿Cuánto tamaño tienes afectado? ¿Cuántos discos o dispositivos? ¡Siempre hay que tener una copia offline!
Si quieres envíame algún archivo e intento ver si es posible recuperar con software forense.
Siento no poder darte mejores noticias :S
Saludos.
Me gustaMe gusta
Me acaba de suceder el mismo problema, mis archivos una gran parte de ellos están con extensión .adame. Son mas de 100 GB si alguien tiene alguna posible solución les pido de favor la den a conocer.
Gracias
Me gustaMe gusta
cordial saludo
mi equipo fue infectado por el ransomware NERAS y todos los archivos estan con extension .NERAS si alguien me puede ayudar les agradezco
feliz dia
Me gustaMe gusta
Hola Luis,
Parece que se trata de STOP ransomware. Existe descifrado offline para algunas extensiones, pero no para la que propones (NERAS). https://id-ransomware.blogspot.com/2017/12/stop-ransomware.html
En cualquier caso, intenta reconocer el ransomware a través de uno de estos programas web para una mayor certeza:
https://id-ransomware.malwarehunterteam.com/index.php?lang=es_ES
https://www.nomoreransom.org/crypto-sheriff.php?lang=es
Dichas herramientas aparecen listadas en el artículo y siempre es el punto de partida para trabajar sobre el ransomware.
Me gustaMe gusta
BUENAS, TENGO MIS IMAGENES IMPORTANTES INFECTADAS CON LA EXTENSION “.INFOWAIT” QUIEN TENGA UNA SOLUCION LE AGRADECERIA, MUCHAS GRACIAS.
Me gustaMe gusta
cordial saludo mi equipo fue infectado por el ransomware NERAS y todos los archivos estan con extension .NERAS si alguien me puede ayudar les agradezco feliz dia
Me gustaMe gusta
Hola mi pc esta encryptada con la extension .guesswho me podrian ayudar.
Saludos
Me gustaMe gusta
Utilizando la herramienta ID Ransomware identifique que tengo el disco duro infectado por Dharma (.cezar Family). Existe alguna posible solución para desencriptar los archivos?. Gracias por la colaboración
Me gustaMe gusta
buenas, ojala me puedan ayudar, recientemente mi computadora fue infectada con el ransomware extension .FORMAT.
agradecere tu ayuda.
Me gustaMe gusta
Si por favor, tengo el mismo problema. gracias
Me gustaMe gusta
Buen dia mi pc tiene un archivo llamado promorad2 como puedo eliminarlo y recuperar los archivos dañados
Me gustaMe gusta
Buenas, para .seto hay alguna solución? gracias.
Me gustaMe gusta
Buen día, para .seto hay solución???
Me gustaMe gusta
Hola Alejandro. Buen día.
Te consulto por si me puedes ayudar.
Mi computadora fue infectada por un Ramsomware que modificó la extensión de todos mis archivos a .tfudet.
He logrado quitar el virus con Malawarebytes sin problemas, pero no logro desencriptar los archivos. He probado con Recuva y otros programas pero no me recupera ninguno.
Tienes alguna sugerencia que me pueda servir?
Desde ya, muchas gracias!
Me gustaMe gusta
como puedo desencriptar un HDD por extension .Adame
Me gustaMe gusta
tengo varios meses que muchos documentos importantes estan encriptador por una extension llamada .lanset, he buscado como desencriptar y no encuentro solucion, o los quiero borrar porque despues no tendria como recuperarlo, si me pueden dar la mano se agradece
Me gustaMe gusta
cordial saludo
tengo mis archivos encryptados con el .NERAS
alguien me podria yudar
gracias
Me gustaMe gusta
Alejandro Buenas Tardes
Se podrán recuperar archivos con ext. DMR64.
Saludos
Me gustaMe gusta
hola se puede recuperar los archivos .CH
Me gustaMe gusta
Tengo encriptados mis archivos, hace cinco días … la siguiente es la extensión; mi consulta, es posible recuperarlos ..
[53B0FCCE].[KILLYOUASS@protonmail.com].makop
Me gustaMe gusta
Buenas tardes saludos desde monterrey mexico existe algun programa para desencriptar o metodo para los archivos con terminacion MADO ? agradesco la info
Me gustaMe gusta
Buen dia, tengo archivos contaminados con PGP, alguien conoce de una herramienta que descifre los archivos?, el virus los renombro como el siguiente: (Documento.SCT.id-20506054.[openpgp@foxmail.com].pgp)
Por otro lado quisiera entender como una computadora sin acceso a Internet puede infectarse, es parte de la red, pero exactamente la maquina sin Internet es la que fue contaminada!
Gracias por sus comentarios, slds
Me gustaMe gusta
Hola Richar, siento no haber podido responder antes. Es un ransomware aparecido en Mayo de 2020 que tiene bastante similitud con Dharma, pero al igual que para este no hay de momento método alguno para recuperar la información si no es pagando o restableciendo copias de seguridad. Poco más puedo decirte , saludos.
Me gustaMe gusta