¿Qué harías si tu equipo es infectado por ransomware? Una mayoría seguro buscaría una alternativa para poder recuperar la salud de sus archivos, aunque una minoría “grande” se plantearía -e incluso estaría dispuesta- a pagar por recuperarlos, sobre todo si se trata de pequeños negocios o gente que trabaja por su cuenta y pierde documentación valiosa.
La decisión de pagar es errónea se mire por donde se mire, para empezar porque estamos legitimando la actividad de los delincuentes y porque además nada nos garantiza la recuperación de los activos.
Antes de echarnos a los brazos de quien nos ha infectado, es mejor echar mano de alguna de estas herramientas para desencriptar archivos afectados por ransomware, además de identificar en primera instancia la amenaza a la que nos enfrentamos, porque existe un número cercano al infinito de variantes.
El ransomware crece, su calidad no
Parece mentira pero, salvo en contados casos, a pesar de la importancia que los ciberdelincuentes le dan al cifrado de archivos ajenos para ganar dinero, el código malicioso del ransomware está decreciendo paulatinamente. Esto está dando pie a que los expertos tengan mayores opciones de romper antes el código y permitir la recuperación.
A su vez, el ransomware “low cost” tiene un peligro inesperado para el usuario: al poder contener más errores de funcionamiento, también es más elevado el riesgo de que nuestros datos se echen a perder para siempre.
Deberías haber tenido un plan anti-ransomware en marcha -empezando este por una política de copias de seguridad- pero es posible que si has llegado aquí ya sea tarde.
Identificar el ransomware que nos ha infectado
Cuando tenemos que identificar qué variante de ransomware nos ha infectado, suelen aparecer dos problemas. El primero es que, mientras algunas muestras dejan claros signos de su nombre en forma de “ransom notes” no todos ofrecen esta información, así que nos tocará buscar otra vía. El segundo problema que puede darse es que la información de la nota no sea fiable, pretendiendo este cryptoware ser otro diferente para confundirnos.
Como norma, os recomiendo que SIEMPRE realicéis un escaneo con una de las siguientes dos herramientas, remitiendo una muestra de un archivo afectado para su identificación:
Además de la lista que encontraréis a continuación (la iré actualizando si encuentro nuevas herramientas relevantes) os aconsejo siempre investigar un poco acerca de los detalles de vuestro caso en páginas especializadas en desinfección de ransomware, como Bleeping Computer o Wilders Security Forums.
Herramientas para recuperar archivos afectados por ransomware
Como pronto comprobaréis, algunas de estas herramientas son válidas para desencriptar múltiples familias de ransomware, aunque no es lo habitual. Son los casos de RakhniDecryptor y RanohDecryptor principalmente, acompañados de otras como TM Ransomware Decryptor de TrendMicro, válido para más de 20 familias.
NOMBRE AMENAZA | EXTENSIONES | INFORMACIÓN / FUENTE |
.777 | *.777 | Emsisoft |
.8lock8 | .8block8 | Explicaciones del foro |
7ev3n | .R4A
.R5A |
Github (Hasherezade) |
7even-HONE$T | (Nº secuencial).R4A o R5A | Análisis del ransomware |
Agent.iih | Kaspersky / Tutorial | |
Alcatraz | *.Alcatraz | Avast |
Alma | Añade 5 caracteres aleatorios al final del archivo y un ID de víctima único de 8 | PhishLabs / Tutorial |
Al-Namrood | *.unavailable, *.disappeared | Emsisoft |
Alpha | *.bin | Bleeping Computer |
AlphaLocker | *.encrypt | Bleeping Computer |
Apocalypse | *.encrypted, *.FuckYourData, *.Encryptedfile, *.SecureCrypted | AVG / Avast |
ApocalypseVM | *.encrypted, *.FuckYourData, *.Encryptedfile, *.SecureCrypted *.locked | Herramienta alternativa |
Aura | Kaspersky / Tutorial | |
AutoIt | {Nombre_original}@<mail server>_.<caracteres_aleatorios>. | Kaspersky / Tutorial |
Autolocky | *.locky | Emsisoft / TrendMicro |
AutoLT | “<nombre_original>@<mail server>_.<caracteres_aleatorios>” | Kaspersky / Tutorial |
Aw3s0m3Sc0t7 | .enc | |
Badblock | No cambia (mirar la “ransom note”) | Herramienta alternativa |
BarRax | Tutorial | |
Bart | *.bart.zip | Herramienta alternativa |
BitCryptor (Coinvault) | *.clf | Bleeping Computer (Demonslay) |
BitStak | *.bitstak | Bleeping Computer (Demonslay) |
Cerber | {10 caract. aleatorios}.cerber | Kaspersky / Tutorial |
Cerber v1 | {10 caract. aleatorios}.cerber | TrendMicro / Tutorial |
Cerber v2/v3 | .cerber2 / .cerber3 / aleatorio | |
Chimera | {Nombre_original}.crypt | Alternativa 1 / Alternativa 2 / Tutorial |
CoinVault | Trojan-Ransom.Win32.Crypmodadv.cj | Kaspersky / Tutorial |
Cryaki | .{CRYPTENDBLACKDC}
Infectado con Trojan-Ransom.Win32.Crybola |
Kaspersky / Tutorial |
Crybola | Infectado con Trojan-Ransom.Win32.Crybola | Kaspersky / Tutorial |
CrypBoss | *.crypt, *.R16M01D0 | Emsisoft |
Crypren | .ENCRYPTED | Github |
Crypt38 | .crypt38 | Fortinet |
Crypt888 (Mirkop) | Añade “Lock.” al comienzo | Herramienta alternativa |
CryptInfinite | *.CRINF | Emsisoft |
CryptON | añade _crypt al nombre,
.id-_locked_by_krec .id-_locked_by_perfect .id-_x3m .id-_r9oj .id-_garryweber@protonmail.ch .id-_steaveiwalker@india.com_ .id-_julia.crown@india.com_ .id-_tom.cruz@india.com_ .id-_CarlosBoltehero@india.com_ .id-_maria.lopez1@india.com_ |
Emsisoft / Tutorial |
CryptoDefense | Se auto-identifica y deja nota “HOW_DECRYPT.txt” | Emsisoft |
Cryptolocker (inactivo) | *.encrypted, *.cryptolocker | FireEye y FoxIT |
CryptoHost | Información | |
Cryptokluchen | Kaspersky / Tutorial | |
CryptoMix / CryptoShield | *.CRYPTOSHIELD, *.rdmk, *.lesli, *.scl, *.code, *.rmd *.rscl | Desencriptado mediante clave offline |
CryptoTorLocker | .CryptoTorLocker2015! | Información |
CryptXXX v1-v3 | {nombre_original}.crypt, cryp1, crypz o 5 caract. hexadecimales
Infectado por Trojan-Ransom.Win32.CryptXXX |
TrendMicro / Información |
CryptXXX v4-v5 | {MD5 Hash}.5 caracteres hexadecimales | TrendMicro |
CrySIS | .johnycryptor@hackermail.com.xtbl
.ecovector2@aol.com.xtbl .systemdown@india.com.xtbl .Vegclass@aol.com.xtbl ..{milarepa.lotos@aol.com}.CrySiS .{Greg_blood@india.com}.xtbl .{savepanda@india.com}.xtbl .{arzamass7@163.com}.xtbl |
Kaspersky / Información |
CTB-Locker | .ctbl | |
CuteRansomware | .encrypted | Github |
Damage | Emsisoft / Tutorial | |
Dharma | .dharma
.wallet .zzzzz |
Kaspersky / Tutorial |
DeCrypt Protect | .html | Información |
DeriaLock | CheckPoint / Tutorial | |
Democry | *._fecha_hora _$address@domain$.777 o *._fecha_hora _$address@domain$.legion | Kaspersky / Tutorial |
DMA Locker | El ID es DMALOCK 41:55:16:13:51:76:67:99 | Emsisoft |
DMA2 Locker | El ID es DMALOCK 43:41:90:35:25:13:61:92 | Emsisoft |
DynACrypt | .crypt | Bleeping Computer |
Fabiansomware | *.encrypted | Emsisoft |
FenixLocker | *.centrumfr@india.com!! | Emsisoft / Tutorial |
Fury | Infectado con Trojan-Ransom.Win32.Fury | Kaspersky / Tutorial |
GhostCrypt | .Z81928819 | Bleeping Computer |
Globe v1 | *.ACRYPT, *.GSupport[0-9], *.blackblock, *.dll555, *.duhust, *.exploit, *.frozen, *.globe, *.gsupport, | Emsisoft / Tutorial / Alternativa |
Globe2 / Globe v2 | *.raid10, *.blt, *.globe, *.encrypted,*[mia.kokers@aol.com] / {Original file name}.{email address + random characters} | Tutorial |
Globe3 / Globe v3 | *.decrypt2017, *.hnumkhotep / sin extensión determinada o nombre cifrado | Emsisoft / Tutorial |
GlobeImposter | *.crypt | Tutorial |
Gomasom | *.crypt | Emsisoft / Tutorial |
Harasom | *.html and note from Spamhaus or US Department of Justice | Emsisoft |
HiddenTear | *.locked, *.34xxx, *.bloccato, *.BUGSECCCC, *.Hollycrypt, *.lock, *.saeid, *.unlockit, | Avast |
HydraCrypt | *.hyrdacrypt, *.umbrecrypt | |
Jigsaw / CryptoHit | FUN, .KKK, .GWS, .BTC | Alternativa 1 / Alternativa 2 / Tutorial |
KeRanger | .encrypted | Dr Web |
KeyBTC | Mirar ransom note “Decrypt_Your_Files.txt” | Emsisoft |
KimcilWare | *.kimcilware
*.locked |
Fortinet |
Lamer | Kaspersky / Tutorial | |
LeChiffre | *.LeChiffre | Alternativa |
Legion | *.[#s]$f_tactics@aol.com$.legion | AVG |
Linux.Encoder.1 | *.encrypted (?) | Información / Tutorial |
Linux.Encoder.3 | *.encrypted (?) | Bitdefender / Tutorial |
Lock Screen | TrendMicro | |
Locker | Bleeping Computer | |
Lortok | *.crime | Kaspersky / Tutorial |
MarsJoke (Polyglot) | Kaspersky / Tutorial | |
Manamecrypt (CryptoHost) | Bleeping Computer | |
Mircop | Lock.{Nombre_Original} | AVG / Alternativa |
Merry Christmas / MRCR | *.PEGS1, *.MRCR1, *.RARE1, *.MERRY, *.RMCM1 | Emsisoft / Tutorial |
Nanolocker | Github | |
Nemucod | *.crypted | TrendMicro / Alternativa |
NMoreira | *.maktub, *._AiraCropEncrypted! | Emsisoft / Tutorial |
NoobCrypt | ZdZ8EcvP95ki6NWR2j o lsakhBVLIKAHg | Avast |
ODCODC | *.odcodc | Bleeping Computer |
Operation Global III | *.exe | Bleeping Computer |
OpenToYou | *.-opentoyou@india.com | Emsisoft |
Ozozalocker | *.locked | Emsisoft |
PClock | No cambia; buscar “enc_files.txt” | Emsisoft |
Petya | Encripta todo el disco | Alternativa |
Philadelphia | *.locked | Emsisoft |
PHP ransomware | CheckPoint / Tutorial | |
PizzaCrypts | Bleeping Computer | |
Pletor | Kaspersky / Tutorial | |
Pompous / Skidlocker | *.locked | Bleeping Computer |
Popcorn | Eleven Paths / Tutorial | |
PowerWare / PoshCoder | *.locky | Github |
Radamant | .RDM
.RRK .RAD .RADAMANT |
Emsisoft / Información |
Rakhni ransomware | *.locked, *.kraken | Kaspersky / Tutorial |
Rannoh ransomware | Sustituye nombres por “locked-<nombre_original> .<4_letras_aleatorias>” | Kaspersky / Tutorial |
Rector | .vscrypt
.infected .bloc .korrektor |
Kaspersky |
Rotor | Kaspersky / Tutorial | |
Scraper | Infecta mediante Trojan-Ransom.BAT.Scatter | Herramientas |
Shade / Troldesh | *.xtbl, *.ytbl, *.breaking_bad, *.heisenberg. | Kaspersky / Alternativa |
SNSLocker | {Nombre_original}.RSNSLocked | TrendMicro / Información |
Stampado | *.locked | TrendMicro / Alternativa |
SZFlocker | *.szf | AVG / Avast |
TeleCrypt | {Nombre_archivo} | TrendMicro /Información |
TeslaCrypt v1 | {Nombre_archivo}.ECC | Talos |
Teslacrypt v2 | {Nombre_archivo}.VVV, CCC, ZZZ, AAA, ABC, XYZ | TrendMicro / Información |
Teslacrypt v3 | .micro
.xxx .ttt .mp3 |
Tutorial / Alternativa |
Teslacrypt v4 | .exx
.ezz .ecc .xxx .ttt .micro .mp3 |
Tutorial / Alternativa |
TorrentLocker | *.encrypted, *.enc | Bleeping Computer |
Umbrecrypt | .umbrecrypttmp_ID_[#s]
*.hydracrypt, *.umbrecrypt |
Emsisoft / Información |
Wildfire | .wflx | Alternativa / Tutorial |
WannaCry / WannaCrypt | *.wnry, *.wncry | Análisis / Herramientas |
XORBAT | {Nombre_original}.crypted | TrendMicro / Alternativa |
XORIST | *.EnCiPhErEd, *.0JELvV, *.p5tkjw, *.6FKR8d, *.UslJ6m, *.n1wLp0, *.5vypSa, *.YNhlv1 | Emsisoft / Alternativa |
Hay que señalar que no todas las herramientas para recuperación son igual de sencillas. Algunas no requieren apenas conocimientos de informática, mientras que otras herramientas / soluciones solo podrán ser puestas en marcha por usuarios avanzados.
Herramientas para descifrar ransomware según marcas
A continuación os dejo enlaces a las páginas de firmas de seguridad, siendo estás las que cuentan con más variantes soportadas, por si preferís utilizar alguna marca en concreto.
- Avast: 16 variantes soportadas
- AVG: 7 variantes soportadas
- Emsisoft: 36 variantes soportadas
- Kaspersky: 28 variantes soportadas
Como siempre, estoy atento a vuestros comentarios y sugerencias para ampliar o corregir la información de este artículo si es necesario 😉
muy interesante y un buena buena recopilacion de soluciones, gracias por el post pero es una pena no encontrar como desencriptar los archivos con extensión happydayzzz, hace 1 mes me trajeron una laptop con un rason ware que encriptaba con esa extensión
Me gustaMe gusta
Buenas y gracias por venir. Verás, parece ser que la extensión happydayz pertenece a la misma familia que Globe3, prueba con esa herramienta.
También puedes descargar esta alternativa de QuickHeal: http://www.quickheal.com/free-ransomware-decryption-tool/
Un saludo
Me gustaMe gusta
Estimado Alejandro sabes cual me pueda servir para email-BM-2cSz97HV6KCdk8k41bGGmabXF1yBXUZmji@bitmessage.ch.ver-CL 1.3.1.0.id-VWWXYZABBCDEFFGGHIJKKLMNOOPQQRSTTUVW-5@26@2017 2@11@47 AM2698929@@@@@B686-6815.randomname-DEFGHIJKKMNOPPQRSTTUWXXYZABCCD.FGG
Me gustaMe gusta
Hola Samuel. Cuando tenga un rato intento averiguar algo porque parece desconocido. Saludos
Me gustaMe gusta
yo lo tengo infectado con la extension *.jpg.oyocvnf tengo solución???
Me gustaMe gusta
Hola Manuel, te aconsejo que sigas el primer paso de la guía. Accede a Cryptosheriff o IDRansomware y proporciona la información necesaria: uno o varios archivos afectados y/o ransom notes. Saludos.
Me gustaMe gusta
pues nada de momento sin solución, juasss
Me gustaMe gusta
Hola. Sabes si tenías habilitadas las shadow copies?
Me gustaMe gusta
No no estaba habilitada
Me gustaMe gusta
Por lo que veo hay variantes de ransomware que añande simplemente varios caracteres aleatorios al final de un archivo, sin incorporar otros identificadores:
SamSam (sin remedio por el momento)
Vandev / Xorist: https://success.trendmicro.com/solution/1114221
Es posible que se trate de alguno de ellos. Te recomiendo, en caso de no tenerlo claro, abrir un hilo en Bleepingcomputer.com para que te ayuden.
Saludos!
Me gustaMe gusta
Hola a todos tengo mis archivos con la extension .94f0 que alternativas de solucion me dan por favor
Me gustaMe gusta
Buenos días, Espero que estén bien, saben si Cerber Error! es igual o perteneciente a la familia de Cerber o Cerber V2/V3?? por otro lado, tenia habilitado shadow copies en toda mi data, el problema es que el impacto fue tal que me ha encriptado incluso archivos del sistema y ante una falla mi server no iniciapor su sistema operativo, aun cuando estaba activo no tenia acceso con las credenciales de administrador (es windows server 2008). Sin embargo, he logrado tener acceso booteando con Kali linux y puedo ver tanto la info del disco de datos como eld e sistema operativo.
Alguna idea?
Muchas gracias
Me gustaMe gusta
Hola Jonas, parece que me perdí tu mensaje y no te respondí a tiempo, disculpa. Con ShadowExplorer por ejemplo es posible recuperar las shadow copies sin mucho esfuerzo. Espero que todo saliera bien. Saludos.
Me gustaMe gusta
Hola a todos
Tengo con extenciones “.id-C4B7EA68.[recfile@protonmail.com].cobra” todo mi servidor, no se si alguien sepa como poder desencriptar, espero sus comentarios, saludos!
Me gustaMe gusta
Hola Emmanuel
Existe un ransomware denominado cobra que podría haber afectado tu equipo en este caso, sin embargo para estar más seguros lo que te recomiendo es leer los siguientes artículos y usar una de las herramientas (o las dos) para determinar si es un tipo conocido y cual. Ten a mano la “ransom note” o aviso que dejan en el equipo, o bien dos copias de un archivo, una sin afectar y la otra encriptada.
https://protegermipc.net/2017/05/01/identificar-ransomware-crypto-sheriff/
https://protegermipc.net/2016/04/15/como-saber-con-que-ransomware-estoy-infectado-id-ransomware/
Saludos.
Me gustaMe gusta
Buenos dias tengo archivos con este nombre , podre tener solucion? GES076.jpg.crypted_yoshikada@cock_lu
su ayuda por favor
Me gustaMe gusta
Buenas,
¿Has probado alguna de las herramientas de diagnóstico como ID Ransomware o Cryptosheriff? Intenta primero identificar ahi la muestra.
Saludos
Me gustaMe gusta
Hola para ver quien me puede apoyar tengo todo el servidor encriptado no deja abrir nada de programas ni explorador de archivos, despues de varias checadas logra que dejara ver el explorador de archivos nada mas, todos los archivos estan con esta terminacion .id-44583812.[support0n@cock.li].java si alguien me puede apoyar parece ser de dharma .cezar pero las herramientas que consegui que tratan eso no hacen nada, esta raro porque no hay avisos no hay programas sospechosos. si alguien me puede sabe algo o alguna herramienta
Me gustaMe gusta
Buenas, lo primero, ¿has realizado una prueba con las ransom notes o archivos en:
Crypto Sheriff:
https://protegermipc.net/2017/05/01/identificar-ransomware-crypto-sheriff/
O bien:
ID Ransomware:
https://protegermipc.net/2016/04/15/como-saber-con-que-ransomware-estoy-infectado-id-ransomware/
Dime qué resultado has obtenido con las mismas.
Saludos
Me gustaMe gusta
Hola si ya realize las pruebas en ambos solo en el id ransomware me sale la infor que esta basado en dharma .cezar pero no hay herramientas para desencriptar solo realize respaldo de la informacion y que tenga esparanza en el futuru que salga algo, tengo copia de toda la informacion. haber si sale algo que pueda ayudar, encontre un programa el redimage que se supone que ayuda a elimar el virus y quitar a los archivos el .java para despues usar el desencriptador. la maquina es windows server 2008 no funciona el programa, entonces para hacer la prueba pase varios archivos a otra computadora y corri el programa pero detecta esos archvos que estan bien, entonces no funciona nada hasta ahorita probe varios progrmas en la maquina dice que esta bien los archivos. probe el zamora, malware anti, superantispayware, lo que proporciona kaspersky para desencriptar el dharma nada de nada hasta el momento. tengo los archivos si quieren hacer pruebas o ayuden como desencriptar me avisan
Me gustaMe gusta
Hola Hector, lamento oir eso 😦
Pásame algún archivo y ransom notes en distintos formatos e intento mirarlo.
Saludos.
Me gustaMe gusta
A mí me pasó lo mismo que Héctor y no logro nada! Si encuentran solución…
Me gustaMe gusta
Mismos síntomas?
Me gustaMe gusta
Si, lo mismo! Creo que hasta mismo día!
Me gustaMe gusta
Saludos, Tengo el mismo ramsonware de Hector y Dolores. En el caso mio el email del Hacker es varvar2018@aol.com todos los archivos estan encriptados en *.java y ningun desencriptador me ha funcionado. El spyhunter me removio el virus ramson y decia que era el Crysis, pero los archivo siguen encriptados. Algunos programas decian que es el Glove. Tambien pudo entrar a los backups del servidor y los encripto.
Me gustaMe gusta
Hola Jonathan, he visto referencias al ransomware Dharma para esta extensión, prueba a utilizar la herramienta Rakhni de Kaspersky. Más información en https://www.nomoreransom.org/uploads/RakhniDecryptor_how-to_guide.pdf
Me gustaMe gusta
Alejandro nada me ha funcionado. Como te puedo enviar un archivo para que lo verifiques?
Me gustaMe gusta
Buenas Jonathan,
Envíame a 267a462e@opayq.com los archivos.
Saludos.
Me gustaMe gusta
Alejandro te envie el archivo.
Me gustaMe gusta
Hola Jonathan, lo tengo. En cuanto pueda te digo. Saludos
Me gustaMe gusta
Hola, tengo el mismo problema de Hector, dolores y Jonathan, la herramienta Rakhni de Kaspersky tampoco funciona… absolutamente nada ha funcionado. aplioquè una herramienta que se llama spyHunter pero solo eliminó el virus, las carpetas y archivos aun están encriptados de modo que hasta los servicios de windows y muchos preogramas se vieron afectados… ojalá alguien tenga una solucion. Dios les bendiga.
Me gustaLe gusta a 1 persona
Hola Moisés. Es una lastima, la verdad es que no te puedo decir mucho más salvo que me envíes las ransom notes o archivos afectados. Saludos.
Me gustaMe gusta
me podrias facilitar el correo donde quieres que te mande un archivo encriptado ?
Me gustaMe gusta
Hola Alejandro, mi pregunta es la siguiente, tu todavia estas ayudando a tratar de recuperar archivos que están encriptados con cerber 3? des de ya agradeceré tu respuesta. te dejo mi mail por si me quieres responder saludos!!
Me gustaMe gusta
Buenas Luis,
Hasta donde yo se no existe un una herramienta expresamente diseñada para recuperar archivos cifrados por Cerber v3.
La única forma de hacerlo es mediante las Shadow Copies de Windows (por ejemplo con Shadow Explorer) o bien haciendo un análisis Forense del disco: FTKImager, photorec, Minitool PDR, Forensic Explorer, etcétera.
Esto, aparte de los backups que entiendo que no tienes.
Me temo que no pueda ser de ayuda si se trata de Cerber v3, a no ser que quieras que te explique en relación a los pasos anterires.
De todas formas, ¿estás seguro de que es Cerver v3? Usa Cryptosheriff o ID Ransomware para verificarlo.
P.D: no deberías poner tu email públicamente en ninguna web. Te recomiendo usar en todo caso una herramienta de enmascarado como Abine Blur
Saludos!
P.D: he eliminado tu email del comentario.
Me gustaMe gusta
Hola Alejandro
Tengo archivos con .locky y no consigo recuperarlos , podre tener solución?
Gracias
Un saludo
Me gustaMe gusta