Herramientas para recuperar archivos afectados por ransomware

¿Qué harías si tu equipo es infectado por ransomware? Una mayoría seguro buscaría una alternativa para poder recuperar la salud de sus archivos, aunque una minoría “grande” se plantearía -e incluso estaría dispuesta- a pagar por recuperarlos, sobre todo si se trata de pequeños negocios o gente que trabaja por su cuenta y pierde documentación valiosa.

La decisión de pagar es errónea se mire por donde se mire, para empezar porque estamos legitimando la actividad de los delincuentes y porque además nada nos garantiza la recuperación de los activos.

Antes de echarnos a los brazos de quien nos ha infectado, es mejor echar mano de alguna de estas herramientas para desencriptar archivos afectados por ransomware, además de identificar en primera instancia la amenaza a la que nos enfrentamos, porque existe un número cercano al infinito de variantes.

El ransomware crece, su calidad no

Parece mentira pero, salvo en contados casos, a pesar de la importancia que los ciberdelincuentes le dan al cifrado de archivos ajenos para ganar dinero, el código malicioso del ransomware está decreciendo paulatinamente. Esto está dando pie a que los expertos tengan mayores opciones de romper antes el código y permitir la recuperación.

A su vez, el ransomware “low cost” tiene un peligro inesperado para el usuario: al poder contener más errores de funcionamiento, también es más elevado el riesgo de que nuestros datos se echen a perder para siempre.

Deberías haber tenido un plan anti-ransomware en marcha -empezando este por una política de copias de seguridad- pero es posible que si has llegado aquí ya sea tarde.

Identificar el ransomware que nos ha infectado

Cuando tenemos que identificar qué variante de ransomware nos ha infectado, suelen aparecer dos problemas. El primero es que, mientras algunas muestras dejan claros signos de su nombre en forma de “ransom notes” no todos ofrecen esta información, así que nos tocará buscar otra vía. El segundo problema que puede darse es que la información de la nota no sea fiable, pretendiendo este cryptoware ser otro diferente para confundirnos.

Como norma, os recomiendo que SIEMPRE realicéis un escaneo con una de las siguientes dos herramientas, remitiendo una muestra de un archivo afectado para su identificación:

• ID Ransomware
• Crypto Sheriff

Además de la lista que encontraréis a continuación (la iré actualizando si encuentro nuevas herramientas relevantes) os aconsejo siempre investigar un poco acerca de los detalles de vuestro caso en páginas especializadas en desinfección de ransomware, como Bleeping Computer o Wilders Security Forums.

Herramientas para recuperar archivos afectados por ransomware

Como pronto comprobaréis, algunas de estas herramientas son válidas para desencriptar múltiples familias de ransomware, aunque no es lo habitual. Son los casos de RakhniDecryptor y RanohDecryptor principalmente, acompañados de otras como TM Ransomware Decryptor de TrendMicro, válido para más de 20 familias.

NOMBRE AMENAZA	EXTENSIONES	INFORMACIÓN / FUENTE
.777	*.777	Emsisoft
.8lock8	.8block8	Explicaciones del foro
7ev3n	.R4A .R5A	Github (Hasherezade)
7even-HONE$T	(Nº secuencial).R4A o R5A	Análisis del ransomware
Agent.iih		Kaspersky / Tutorial
Alcatraz	*.Alcatraz	Avast
Alma	Añade 5 caracteres aleatorios al final del archivo y un ID de víctima único de 8	PhishLabs / Tutorial
Al-Namrood	*.unavailable, *.disappeared	Emsisoft
Alpha	*.bin	Bleeping Computer
AlphaLocker	*.encrypt	Bleeping Computer
Apocalypse	*.encrypted, *.FuckYourData, *.Encryptedfile, *.SecureCrypted	AVG / Avast
ApocalypseVM	*.encrypted, *.FuckYourData, *.Encryptedfile, *.SecureCrypted *.locked	Herramienta alternativa
Aura		Kaspersky / Tutorial
AutoIt	{Nombre_original}@<mail server>_.<caracteres_aleatorios>.	Kaspersky / Tutorial
Autolocky	*.locky	Emsisoft / TrendMicro
AutoLT	“<nombre_original>@<mail server>_.<caracteres_aleatorios>”	Kaspersky / Tutorial
Aw3s0m3Sc0t7	.enc
Badblock	No cambia (mirar la “ransom note”)	Herramienta alternativa
BarRax		Tutorial
Bart	*.bart.zip	Herramienta alternativa
BitCryptor (Coinvault)	*.clf	Bleeping Computer (Demonslay)
BitStak	*.bitstak	Bleeping Computer (Demonslay)
Cerber	{10 caract. aleatorios}.cerber	Kaspersky / Tutorial
Cerber v1	{10 caract. aleatorios}.cerber	TrendMicro / Tutorial
Cerber v2/v3	.cerber2 / .cerber3 / aleatorio
Chimera	{Nombre_original}.crypt	Alternativa 1 / Alternativa 2 / Tutorial
CoinVault	Trojan-Ransom.Win32.Crypmodadv.cj	Kaspersky / Tutorial
Cryaki	.{CRYPTENDBLACKDC} Infectado con Trojan-Ransom.Win32.Crybola	Kaspersky / Tutorial
Crybola	Infectado con Trojan-Ransom.Win32.Crybola	Kaspersky / Tutorial
CrypBoss	*.crypt, *.R16M01D0	Emsisoft
Crypren	.ENCRYPTED	Github
Crypt38	.crypt38	Fortinet
Crypt888 (Mirkop)	Añade “Lock.” al comienzo	Herramienta alternativa
CryptInfinite	*.CRINF	Emsisoft
CryptON	añade _crypt al nombre,   .id-_locked_by_krec .id-_locked_by_perfect .id-_x3m .id-_r9oj .id-_garryweber@protonmail.ch .id-_steaveiwalker@india.com_ .id-_julia.crown@india.com_ .id-_tom.cruz@india.com_ .id-_CarlosBoltehero@india.com_ .id-_maria.lopez1@india.com_	Emsisoft / Tutorial
CryptoDefense	Se auto-identifica y deja nota “HOW_DECRYPT.txt”	Emsisoft
Cryptolocker (inactivo)	*.encrypted, *.cryptolocker	FireEye y FoxIT
CryptoHost		Información
Cryptokluchen		Kaspersky / Tutorial
CryptoMix / CryptoShield	*.CRYPTOSHIELD, *.rdmk, *.lesli, *.scl, *.code, *.rmd *.rscl	Desencriptado mediante clave offline
CryptoTorLocker	.CryptoTorLocker2015!	Información
CryptXXX v1-v3	{nombre_original}.crypt, cryp1, crypz o 5 caract. hexadecimales Infectado por Trojan-Ransom.Win32.CryptXXX	TrendMicro / Información
CryptXXX v4-v5	{MD5 Hash}.5 caracteres hexadecimales	TrendMicro
CrySIS	.johnycryptor@hackermail.com.xtbl .ecovector2@aol.com.xtbl .systemdown@india.com.xtbl .Vegclass@aol.com.xtbl ..{milarepa.lotos@aol.com}.CrySiS .{Greg_blood@india.com}.xtbl .{savepanda@india.com}.xtbl .{arzamass7@163.com}.xtbl	Kaspersky / Información
CTB-Locker	.ctbl
CuteRansomware	.encrypted	Github
Damage		Emsisoft / Tutorial
Dharma	.dharma .wallet .zzzzz	Kaspersky / Tutorial
DeCrypt Protect	.html	Información
DeriaLock		CheckPoint / Tutorial
Democry	*._fecha_hora _$address@domain$.777 o *._fecha_hora _$address@domain$.legion	Kaspersky / Tutorial
DMA Locker	El ID es DMALOCK 41:55:16:13:51:76:67:99	Emsisoft
DMA2 Locker	El ID es DMALOCK 43:41:90:35:25:13:61:92	Emsisoft
DynACrypt	.crypt	Bleeping Computer
Fabiansomware	*.encrypted	Emsisoft
FenixLocker	*.centrumfr@india.com!!	Emsisoft / Tutorial
Fury	Infectado con Trojan-Ransom.Win32.Fury	Kaspersky / Tutorial
GhostCrypt	.Z81928819	Bleeping Computer
Globe v1	*.ACRYPT, *.GSupport[0-9], *.blackblock, *.dll555, *.duhust, *.exploit, *.frozen, *.globe, *.gsupport,	Emsisoft / Tutorial / Alternativa
Globe2 / Globe v2	*.raid10, *.blt, *.globe, *.encrypted,*[mia.kokers@aol.com] / {Original file name}.{email address + random characters}	Tutorial
Globe3 / Globe v3	*.decrypt2017, *.hnumkhotep / sin extensión determinada o nombre cifrado	Emsisoft / Tutorial
GlobeImposter	*.crypt	Tutorial
Gomasom	*.crypt	Emsisoft / Tutorial
Harasom	*.html and note from Spamhaus or US Department of Justice	Emsisoft
HiddenTear	*.locked, *.34xxx, *.bloccato, *.BUGSECCCC, *.Hollycrypt, *.lock, *.saeid, *.unlockit,	Avast
HydraCrypt	*.hyrdacrypt, *.umbrecrypt
Jigsaw / CryptoHit	FUN, .KKK,  .GWS, .BTC	Alternativa 1 / Alternativa 2 / Tutorial
KeRanger	.encrypted	Dr Web
KeyBTC	Mirar ransom note “Decrypt_Your_Files.txt”	Emsisoft
KimcilWare	*.kimcilware *.locked	Fortinet
Lamer		Kaspersky / Tutorial
LeChiffre	*.LeChiffre	Alternativa
Legion	*.[#s]$f_tactics@aol.com$.legion	AVG
Linux.Encoder.1	*.encrypted (?)	Información / Tutorial
Linux.Encoder.3	*.encrypted (?)	Bitdefender / Tutorial
Lock Screen		TrendMicro
Locker		Bleeping Computer
Lortok	*.crime	Kaspersky / Tutorial
MarsJoke (Polyglot)		Kaspersky / Tutorial
Manamecrypt (CryptoHost)		Bleeping Computer
Mircop	Lock.{Nombre_Original}	AVG / Alternativa
Merry Christmas / MRCR	*.PEGS1, *.MRCR1, *.RARE1, *.MERRY, *.RMCM1	Emsisoft / Tutorial
Nanolocker		Github
Nemucod	*.crypted	TrendMicro / Alternativa
NMoreira	*.maktub, *._AiraCropEncrypted!	Emsisoft / Tutorial
NoobCrypt	ZdZ8EcvP95ki6NWR2j o lsakhBVLIKAHg	Avast
ODCODC	*.odcodc	Bleeping Computer
Operation Global III	*.exe	Bleeping Computer
OpenToYou	*.-opentoyou@india.com	Emsisoft
Ozozalocker	*.locked	Emsisoft
PClock	No cambia; buscar “enc_files.txt”	Emsisoft
Petya	Encripta todo el disco	Alternativa
Philadelphia	*.locked	Emsisoft
PHP ransomware		CheckPoint / Tutorial
PizzaCrypts		Bleeping Computer
Pletor		Kaspersky / Tutorial
Pompous / Skidlocker	*.locked	Bleeping Computer
Popcorn		Eleven Paths / Tutorial
PowerWare / PoshCoder	*.locky	Github
Radamant	.RDM .RRK .RAD .RADAMANT	Emsisoft / Información
Rakhni ransomware	*.locked, *.kraken	Kaspersky / Tutorial
Rannoh ransomware	Sustituye nombres por “locked-<nombre_original> .<4_letras_aleatorias>”	Kaspersky / Tutorial
Rector	.vscrypt .infected .bloc .korrektor	Kaspersky
Rotor		Kaspersky / Tutorial
Scraper	Infecta mediante Trojan-Ransom.BAT.Scatter	Herramientas
Shade / Troldesh	*.xtbl, *.ytbl, *.breaking_bad, *.heisenberg.	Kaspersky / Alternativa
SNSLocker	{Nombre_original}.RSNSLocked	TrendMicro / Información
Stampado	*.locked	TrendMicro / Alternativa
SZFlocker	*.szf	AVG / Avast
TeleCrypt	{Nombre_archivo}	TrendMicro /Información
TeslaCrypt v1	{Nombre_archivo}.ECC	Talos
Teslacrypt v2	{Nombre_archivo}.VVV, CCC, ZZZ, AAA, ABC, XYZ	TrendMicro / Información
Teslacrypt v3	.micro .xxx .ttt .mp3	Tutorial / Alternativa
Teslacrypt v4	.exx .ezz .ecc .xxx .ttt .micro .mp3	Tutorial / Alternativa
TorrentLocker	*.encrypted, *.enc	Bleeping Computer
Tycoon	*.RedRum	Análisis / Emsisoft
Umbrecrypt	.umbrecrypttmp_ID_[#s] *.hydracrypt, *.umbrecrypt	Emsisoft / Información
Wildfire	.wflx	Alternativa / Tutorial
WannaCry / WannaCrypt	*.wnry, *.wncry	Análisis / Herramientas
XORBAT	{Nombre_original}.crypted	TrendMicro / Alternativa
XORIST	*.EnCiPhErEd, *.0JELvV, *.p5tkjw, *.6FKR8d, *.UslJ6m, *.n1wLp0, *.5vypSa, *.YNhlv1	Emsisoft / Alternativa

Hay que señalar que no todas las herramientas para recuperación son igual de sencillas. Algunas no requieren apenas conocimientos de informática, mientras que otras herramientas / soluciones solo podrán ser puestas en marcha por usuarios avanzados.

Herramientas para descifrar ransomware según marcas

A continuación os dejo enlaces a las páginas de firmas de seguridad, siendo estás las que cuentan con más variantes soportadas, por si preferís utilizar alguna marca en concreto.

• Avast: 16 variantes soportadas
• AVG: 7 variantes soportadas
• Emsisoft: 36 variantes soportadas
• Kaspersky: 28 variantes soportadas

Como siempre, estoy atento a vuestros comentarios y sugerencias para ampliar o corregir la información de este artículo si es necesario 😉

Herramientas para detectar archivos infectados con ransomare

• CryptoSearch

Guía para evitar ransomware

La siguiente guía de OWASP, desarrollada por hispanohablantes, te será de gran utilidad para conocer mejor a tu enemigo y aprender a protegerte y tomar medidas.

Herramientas antiransomware recomendadas

Es posible que ya lleguemos tarde (esta vez) pero te interesará saber que puedes protegerte de cara a futuros ataques por crypto-ransomware sin pagar un céntimo gracias a herramientas anti-ransomware que he analizado en esta web:

• AppCheck
• Cybersight Ransomstopper
• RansomOff