¿Qué harías si tu equipo es infectado por ransomware? Una mayoría seguro buscaría una alternativa para poder recuperar la salud de sus archivos, aunque una minoría “grande” se plantearía -e incluso estaría dispuesta- a pagar por recuperarlos, sobre todo si se trata de pequeños negocios o gente que trabaja por su cuenta y pierde documentación valiosa.
La decisión de pagar es errónea se mire por donde se mire, para empezar porque estamos legitimando la actividad de los delincuentes y porque además nada nos garantiza la recuperación de los activos.
Antes de echarnos a los brazos de quien nos ha infectado, es mejor echar mano de alguna de estas herramientas para desencriptar archivos afectados por ransomware, además de identificar en primera instancia la amenaza a la que nos enfrentamos, porque existe un número cercano al infinito de variantes.
El ransomware crece, su calidad no
Parece mentira pero, salvo en contados casos, a pesar de la importancia que los ciberdelincuentes le dan al cifrado de archivos ajenos para ganar dinero, el código malicioso del ransomware está decreciendo paulatinamente. Esto está dando pie a que los expertos tengan mayores opciones de romper antes el código y permitir la recuperación.
A su vez, el ransomware “low cost” tiene un peligro inesperado para el usuario: al poder contener más errores de funcionamiento, también es más elevado el riesgo de que nuestros datos se echen a perder para siempre.
Deberías haber tenido un plan anti-ransomware en marcha -empezando este por una política de copias de seguridad- pero es posible que si has llegado aquí ya sea tarde.
Identificar el ransomware que nos ha infectado
Cuando tenemos que identificar qué variante de ransomware nos ha infectado, suelen aparecer dos problemas. El primero es que, mientras algunas muestras dejan claros signos de su nombre en forma de “ransom notes” no todos ofrecen esta información, así que nos tocará buscar otra vía. El segundo problema que puede darse es que la información de la nota no sea fiable, pretendiendo este cryptoware ser otro diferente para confundirnos.
Como norma, os recomiendo que SIEMPRE realicéis un escaneo con una de las siguientes dos herramientas, remitiendo una muestra de un archivo afectado para su identificación:
Además de la lista que encontraréis a continuación (la iré actualizando si encuentro nuevas herramientas relevantes) os aconsejo siempre investigar un poco acerca de los detalles de vuestro caso en páginas especializadas en desinfección de ransomware, como Bleeping Computer o Wilders Security Forums.
Herramientas para recuperar archivos afectados por ransomware
Como pronto comprobaréis, algunas de estas herramientas son válidas para desencriptar múltiples familias de ransomware, aunque no es lo habitual. Son los casos de RakhniDecryptor y RanohDecryptor principalmente, acompañados de otras como TM Ransomware Decryptor de TrendMicro, válido para más de 20 familias.
| NOMBRE AMENAZA | EXTENSIONES | INFORMACIÓN / FUENTE |
| .777 | *.777 | Emsisoft |
| .8lock8 | .8block8 | Explicaciones del foro |
| 7ev3n | .R4A
.R5A |
Github (Hasherezade) |
| 7even-HONE$T | (Nº secuencial).R4A o R5A | Análisis del ransomware |
| Agent.iih | Kaspersky / Tutorial | |
| Alcatraz | *.Alcatraz | Avast |
| Alma | Añade 5 caracteres aleatorios al final del archivo y un ID de víctima único de 8 | PhishLabs / Tutorial |
| Al-Namrood | *.unavailable, *.disappeared | Emsisoft |
| Alpha | *.bin | Bleeping Computer |
| AlphaLocker | *.encrypt | Bleeping Computer |
| Apocalypse | *.encrypted, *.FuckYourData, *.Encryptedfile, *.SecureCrypted | AVG / Avast |
| ApocalypseVM | *.encrypted, *.FuckYourData, *.Encryptedfile, *.SecureCrypted *.locked | Herramienta alternativa |
| Aura | Kaspersky / Tutorial | |
| AutoIt | {Nombre_original}@<mail server>_.<caracteres_aleatorios>. | Kaspersky / Tutorial |
| Autolocky | *.locky | Emsisoft / TrendMicro |
| AutoLT | “<nombre_original>@<mail server>_.<caracteres_aleatorios>” | Kaspersky / Tutorial |
| Aw3s0m3Sc0t7 | .enc | |
| Badblock | No cambia (mirar la “ransom note”) | Herramienta alternativa |
| BarRax | Tutorial | |
| Bart | *.bart.zip | Herramienta alternativa |
| BitCryptor (Coinvault) | *.clf | Bleeping Computer (Demonslay) |
| BitStak | *.bitstak | Bleeping Computer (Demonslay) |
| Cerber | {10 caract. aleatorios}.cerber | Kaspersky / Tutorial |
| Cerber v1 | {10 caract. aleatorios}.cerber | TrendMicro / Tutorial |
| Cerber v2/v3 | .cerber2 / .cerber3 / aleatorio | |
| Chimera | {Nombre_original}.crypt | Alternativa 1 / Alternativa 2 / Tutorial |
| CoinVault | Trojan-Ransom.Win32.Crypmodadv.cj | Kaspersky / Tutorial |
| Cryaki | .{CRYPTENDBLACKDC}
Infectado con Trojan-Ransom.Win32.Crybola |
Kaspersky / Tutorial |
| Crybola | Infectado con Trojan-Ransom.Win32.Crybola | Kaspersky / Tutorial |
| CrypBoss | *.crypt, *.R16M01D0 | Emsisoft |
| Crypren | .ENCRYPTED | Github |
| Crypt38 | .crypt38 | Fortinet |
| Crypt888 (Mirkop) | Añade “Lock.” al comienzo | Herramienta alternativa |
| CryptInfinite | *.CRINF | Emsisoft |
| CryptON | añade _crypt al nombre,
.id-_locked_by_krec .id-_locked_by_perfect .id-_x3m .id-_r9oj .id-_garryweber@protonmail.ch .id-_steaveiwalker@india.com_ .id-_julia.crown@india.com_ .id-_tom.cruz@india.com_ .id-_CarlosBoltehero@india.com_ .id-_maria.lopez1@india.com_ |
Emsisoft / Tutorial |
| CryptoDefense | Se auto-identifica y deja nota “HOW_DECRYPT.txt” | Emsisoft |
| Cryptolocker (inactivo) | *.encrypted, *.cryptolocker | FireEye y FoxIT |
| CryptoHost | Información | |
| Cryptokluchen | Kaspersky / Tutorial | |
| CryptoMix / CryptoShield | *.CRYPTOSHIELD, *.rdmk, *.lesli, *.scl, *.code, *.rmd *.rscl | Desencriptado mediante clave offline |
| CryptoTorLocker | .CryptoTorLocker2015! | Información |
| CryptXXX v1-v3 | {nombre_original}.crypt, cryp1, crypz o 5 caract. hexadecimales
Infectado por Trojan-Ransom.Win32.CryptXXX |
TrendMicro / Información |
| CryptXXX v4-v5 | {MD5 Hash}.5 caracteres hexadecimales | TrendMicro |
| CrySIS | .johnycryptor@hackermail.com.xtbl
.ecovector2@aol.com.xtbl .systemdown@india.com.xtbl .Vegclass@aol.com.xtbl ..{milarepa.lotos@aol.com}.CrySiS .{Greg_blood@india.com}.xtbl .{savepanda@india.com}.xtbl .{arzamass7@163.com}.xtbl |
Kaspersky / Información |
| CTB-Locker | .ctbl | |
| CuteRansomware | .encrypted | Github |
| Damage | Emsisoft / Tutorial | |
| Dharma | .dharma
.wallet .zzzzz |
Kaspersky / Tutorial |
| DeCrypt Protect | .html | Información |
| DeriaLock | CheckPoint / Tutorial | |
| Democry | *._fecha_hora _$address@domain$.777 o *._fecha_hora _$address@domain$.legion | Kaspersky / Tutorial |
| DMA Locker | El ID es DMALOCK 41:55:16:13:51:76:67:99 | Emsisoft |
| DMA2 Locker | El ID es DMALOCK 43:41:90:35:25:13:61:92 | Emsisoft |
| DynACrypt | .crypt | Bleeping Computer |
| Fabiansomware | *.encrypted | Emsisoft |
| FenixLocker | *.centrumfr@india.com!! | Emsisoft / Tutorial |
| Fury | Infectado con Trojan-Ransom.Win32.Fury | Kaspersky / Tutorial |
| GhostCrypt | .Z81928819 | Bleeping Computer |
| Globe v1 | *.ACRYPT, *.GSupport[0-9], *.blackblock, *.dll555, *.duhust, *.exploit, *.frozen, *.globe, *.gsupport, | Emsisoft / Tutorial / Alternativa |
| Globe2 / Globe v2 | *.raid10, *.blt, *.globe, *.encrypted,*[mia.kokers@aol.com] / {Original file name}.{email address + random characters} | Tutorial |
| Globe3 / Globe v3 | *.decrypt2017, *.hnumkhotep / sin extensión determinada o nombre cifrado | Emsisoft / Tutorial |
| GlobeImposter | *.crypt | Tutorial |
| Gomasom | *.crypt | Emsisoft / Tutorial |
| Harasom | *.html and note from Spamhaus or US Department of Justice | Emsisoft |
| HiddenTear | *.locked, *.34xxx, *.bloccato, *.BUGSECCCC, *.Hollycrypt, *.lock, *.saeid, *.unlockit, | Avast |
| HydraCrypt | *.hyrdacrypt, *.umbrecrypt | |
| Jigsaw / CryptoHit | FUN, .KKK, .GWS, .BTC | Alternativa 1 / Alternativa 2 / Tutorial |
| KeRanger | .encrypted | Dr Web |
| KeyBTC | Mirar ransom note “Decrypt_Your_Files.txt” | Emsisoft |
| KimcilWare | *.kimcilware
*.locked |
Fortinet |
| Lamer | Kaspersky / Tutorial | |
| LeChiffre | *.LeChiffre | Alternativa |
| Legion | *.[#s]$f_tactics@aol.com$.legion | AVG |
| Linux.Encoder.1 | *.encrypted (?) | Información / Tutorial |
| Linux.Encoder.3 | *.encrypted (?) | Bitdefender / Tutorial |
| Lock Screen | TrendMicro | |
| Locker | Bleeping Computer | |
| Lortok | *.crime | Kaspersky / Tutorial |
| MarsJoke (Polyglot) | Kaspersky / Tutorial | |
| Manamecrypt (CryptoHost) | Bleeping Computer | |
| Mircop | Lock.{Nombre_Original} | AVG / Alternativa |
| Merry Christmas / MRCR | *.PEGS1, *.MRCR1, *.RARE1, *.MERRY, *.RMCM1 | Emsisoft / Tutorial |
| Nanolocker | Github | |
| Nemucod | *.crypted | TrendMicro / Alternativa |
| NMoreira | *.maktub, *._AiraCropEncrypted! | Emsisoft / Tutorial |
| NoobCrypt | ZdZ8EcvP95ki6NWR2j o lsakhBVLIKAHg | Avast |
| ODCODC | *.odcodc | Bleeping Computer |
| Operation Global III | *.exe | Bleeping Computer |
| OpenToYou | *.-opentoyou@india.com | Emsisoft |
| Ozozalocker | *.locked | Emsisoft |
| PClock | No cambia; buscar “enc_files.txt” | Emsisoft |
| Petya | Encripta todo el disco | Alternativa |
| Philadelphia | *.locked | Emsisoft |
| PHP ransomware | CheckPoint / Tutorial | |
| PizzaCrypts | Bleeping Computer | |
| Pletor | Kaspersky / Tutorial | |
| Pompous / Skidlocker | *.locked | Bleeping Computer |
| Popcorn | Eleven Paths / Tutorial | |
| PowerWare / PoshCoder | *.locky | Github |
| Radamant | .RDM
.RRK .RAD .RADAMANT |
Emsisoft / Información |
| Rakhni ransomware | *.locked, *.kraken | Kaspersky / Tutorial |
| Rannoh ransomware | Sustituye nombres por “locked-<nombre_original> .<4_letras_aleatorias>” | Kaspersky / Tutorial |
| Rector | .vscrypt
.infected .bloc .korrektor |
Kaspersky |
| Rotor | Kaspersky / Tutorial | |
| Scraper | Infecta mediante Trojan-Ransom.BAT.Scatter | Herramientas |
| Shade / Troldesh | *.xtbl, *.ytbl, *.breaking_bad, *.heisenberg. | Kaspersky / Alternativa |
| SNSLocker | {Nombre_original}.RSNSLocked | TrendMicro / Información |
| Stampado | *.locked | TrendMicro / Alternativa |
| SZFlocker | *.szf | AVG / Avast |
| TeleCrypt | {Nombre_archivo} | TrendMicro /Información |
| TeslaCrypt v1 | {Nombre_archivo}.ECC | Talos |
| Teslacrypt v2 | {Nombre_archivo}.VVV, CCC, ZZZ, AAA, ABC, XYZ | TrendMicro / Información |
| Teslacrypt v3 | .micro
.xxx .ttt .mp3 |
Tutorial / Alternativa |
| Teslacrypt v4 | .exx
.ezz .ecc .xxx .ttt .micro .mp3 |
Tutorial / Alternativa |
| TorrentLocker | *.encrypted, *.enc | Bleeping Computer |
| Umbrecrypt | .umbrecrypttmp_ID_[#s]
*.hydracrypt, *.umbrecrypt |
Emsisoft / Información |
| Wildfire | .wflx | Alternativa / Tutorial |
| WannaCry / WannaCrypt | *.wnry, *.wncry | Análisis / Herramientas |
| XORBAT | {Nombre_original}.crypted | TrendMicro / Alternativa |
| XORIST | *.EnCiPhErEd, *.0JELvV, *.p5tkjw, *.6FKR8d, *.UslJ6m, *.n1wLp0, *.5vypSa, *.YNhlv1 | Emsisoft / Alternativa |
Hay que señalar que no todas las herramientas para recuperación son igual de sencillas. Algunas no requieren apenas conocimientos de informática, mientras que otras herramientas / soluciones solo podrán ser puestas en marcha por usuarios avanzados.
Herramientas para descifrar ransomware según marcas
A continuación os dejo enlaces a las páginas de firmas de seguridad, siendo estás las que cuentan con más variantes soportadas, por si preferís utilizar alguna marca en concreto.
- Avast: 16 variantes soportadas
- AVG: 7 variantes soportadas
- Emsisoft: 36 variantes soportadas
- Kaspersky: 28 variantes soportadas
Como siempre, estoy atento a vuestros comentarios y sugerencias para ampliar o corregir la información de este artículo si es necesario 😉
Herramientas para detectar archivos infectados con ransomare
Guía para evitar ransomware
La siguiente guía de OWASP, desarrollada por hispanohablantes, te será de gran utilidad para conocer mejor a tu enemigo y aprender a protegerte y tomar medidas.
Herramientas antiransomware recomendadas
Es posible que ya lleguemos tarde (esta vez) pero te interesará saber que puedes protegerte de cara a futuros ataques por crypto-ransomware sin pagar un céntimo gracias a herramientas anti-ransomware que he analizado en esta web:
como recupero archivos con terminacion djvu
un saludo
Me gustaMe gusta
Por desgracia de momento no es posible. Saludos.
Me gustaMe gusta
Buen día: Tuve el mismo problema, mis archivos fueron encriptados codjvu. ¿Pudiste solucionar el tema?.
Cordiales saludos. Marcos
Me gustaMe gusta
Este ransom no tiene recuperación por el momento. Saludos.
Me gustaMe gusta
Hola. En mi caso se me ha colado el que crea las extensiones . Adobe Formatee a bajo nivel y cambie el sistema operativo por lo que sospecho que ya no corro peligro de tenerlo pero aun tengo los archivos infectados. Este es del tipo que borra los datos y encripta? pudiera recuperar los datos con un programa de recuperación? Saludos y espero respuesta. Gracias de antemano
Me gustaMe gusta
Hola alguien me puede ayudar, mis archivos se volvieron con extención .adove, con que programa los desencripto o como lo hago?
Me gustaMe gusta
No estoy seguro aunque sospecho de STOP o Dharma por lo que he podido ver. ¿tienes una ransom note? También puedes utilizar el servicio IDRansomware o Cryptosheriff para identificarlo. Búscalos en mi web, en este mismo artículo los menciono. Saludos.
Me gustaMe gusta
hola me podrían ayudar con alguna herramienta para desencriptar este nuevo virus con la extensión ejemplo imagen.jpg.ojqjpta ,adicional a eso se creo un txt en cada capeta OJQJPTA-DECRYPT.txt
Me gustaMe gusta
Hola Sergio, usa los servicios de identificación que propongo en el artículo, porque no hay registros sobre eso y se trata de extensiones aleatorias para dificultar su identificación. Saludos.
Me gustaMe gusta
Buenas, mi pc ha sido infectado todo por archivos .phobos, sabes si alguna herramienta de arriba me sirve? estoy desesperado. me diecn que les escriba a un mail decrypedfiles@420blaze.it.
AYUDAA!
Me gustaMe gusta
hola y disculpa. me infecto el portatil el virus gandcrab 5.0.4 lo resetee entero, pero me guarde las fotos y videos infectadas en un disco duro que elimine el virus de el pero quiero recuperar mis archivos, tengo las notas del secuestro, junto a todos los archivos guardados en version .RAMEIAE me ayudas por favor? varios de los archivos infectados son de mi padre que en paz descanse entre ellas fotos y videos del momento de lucidez que tuvo antes de dejarme
gracias de antemano y te dejo mi correo : davidperezrivera@icloud.com
Me gustaMe gusta
Se sabe algo ya de cuando se podrán desencriptar los archivos .phobos?
Me gustaMe gusta
¿Cómo recupero mis archivos infectados por GandCrab? Gracias.
Me gustaMe gusta
De momento no se puede. Saludos.
Me gustaMe gusta
Mi pc ha sido infectado todo por archivos .phobos, sabeis si alguna herramienta de arriba me sirve? o alguna otra? estoy desesperado. me diecn que les escriba a un mail decrypedfiles@420blaze.it.
Me gustaMe gusta
No es posible de momento Jaume. Entiendo que no tiens copias de seguridad, así que tus opciones pasan por intentar recuperar Shadow copies con Shadow Explorer (versiones anteriores de archivos) que seguramente también hayan sido afectadas, o bien usar alguna herramienta de data carving (como puede ser Photorec o Forensic Explorer http://www.forensicexplorer.com/data-carve.php)
Saludos.
Me gustaMe gusta
Hola, mis archivos han pasado ha tener la extensión .rap, sabrías de algún programa para intentar recuperar los datos
Me gustaMe gusta
Hola, se trata del ransomware Scarab: https://id-ransomware.blogspot.com/2017/06/scarab-ransomware.html
Dr Web ofrece un servicio de descifrado por 150 € (no cobran si no lo consiguen) aquí: https://www.bleepingcomputer.com/forums/t/651855/scarab-mich78-ransomware-scarab-scorpio-mich78usacom-support-topic/?p=4489715
En algunos casos es posible recuperar archivos, bajo circunstancias concretas (depende de la versión): https://www.bleepingcomputer.com/forums/t/651855/scarab-mich78-ransomware-scarab-scorpio-mich78usacom-support-topic/page-22#entry4516375
Para esta última opción será necesario enviar entre 3 y 4 ransom notes.
Si lo anterior no da resultado siempre puedes intentar con software de recuperación por si no todos los archivos fueron afectados: http://www.forensicswiki.org/index.php?title=Tools:Data_Recovery
Saludos y suerte.
Me gustaMe gusta
mi PC de escritorio fue infectado las fotos, vídeos, y algunos accesos directo . las fotos como los vídeo osea cambiaron en forma de papel blanco y la foto tienen como terminación jpg.BTEGHU , y en cada carpeta me aparece ( un archivo de nota) con el nombre BTEGHU-DECRYPT . los vídeos mp4.BTEGHU ¿ que puedo hacer, Hay algo o algun programita para recuperar mis fotos ,como quito esa extencion ? porfavorrr porfavorrrrrr porfavorrrrrrrrr
Me gustaMe gusta
hola se puede recuperar los archivo con nombre archiv. merry?
Me gustaMe gusta
Hola, como estas? muy buen post!
Te consulto, sabes con que puedo recuperar archivos encriptados con veracrypt@foxmail.com (veracrypt@foxmail,com).adobe
Muchas gracias
Facundo
Me gustaMe gusta
Hola Facundo,
Con el RakhniDecryptor de Kaspersky puedes tener opciones (está en la tabla de este artículo)
Puedes obtener más información en Bleepingcomputer: https://www.bleepingcomputer.com/forums/t/691880/veracryptfoxmailcomadobe-encrypted/
Saludos.
Me gustaMe gusta
Alguien podría apoyarme? Mi memoria cambió de nombre a @!ı÷ÝÖ┐bÙFz y todos mis archivos tienen más o menos los mismos símbolos, me parece están encriptados. No puedo acceder a ninguno. ¡Gracias!
Me gustaMe gusta
Están encriptados con casi total seguridad.
Sigue las instrucciones al comienzo del artículo para identificar la familia de ransomware que te ha infectado (Cryptosheriff / IDransomware)
También puedes buscar ransom notes así: https://protegermipc.net/2018/08/08/cryptosearch-permite-encontrar-archivos-secuestrados-por-ransomware/
Ya me cuentas.
Saludos.
Me gustaMe gusta
Primeramente agradecerte en darte tu tiempo y ayudar a todas aquellas personas que pasan un mal momento por el contagio de virus, mi consulta es la siguiente, mi PC fue contagiada con un virus de tipo ransomware con extensión pulsar1, que sugieres como una alternativa de solución para recuperar los archivos. Desde ya te agradezco por tu tiempo. Saludos
Me gustaMe gusta
Hola Denys. De momento no he visto método de recuperación. Saludos.
Me gustaMe gusta
Existe ya la posibilidad de desencriptar archivos .phobos?
Me gustaMe gusta
De momento nada, te invito a seguir este hilo porque comentan que podría haber un decrypter en camino. Saludos
https://www.bleepingcomputer.com/forums/t/688649/phobos-ransomware-help-topic-phobos-phoboshta/page-12
Me gustaMe gusta
hola hermano que tal, disculpa la molestia, tenia una consulta, en caso de que se tratara de una extencion tipo PROMORA2, como podría desencriptar o recuperar mis archivos, gracias de antemano
Me gustaMe gusta