Herramientas para recuperar archivos afectados por ransomware
¿Qué harías si tu equipo es infectado por ransomware? Una mayoría seguro buscaría una alternativa para poder recuperar la salud de sus archivos, aunque una minoría “grande” se plantearía -e incluso estaría dispuesta- a pagar por recuperarlos, sobre todo si se trata de pequeños negocios o gente que trabaja por su cuenta y pierde documentación valiosa.
La decisión de pagar es errónea se mire por donde se mire, para empezar porque estamos legitimando la actividad de los delincuentes y porque además nada nos garantiza la recuperación de los activos.
Antes de echarnos a los brazos de quien nos ha infectado, es mejor echar mano de alguna de estas herramientas para desencriptar archivos afectados por ransomware, además de identificar en primera instancia la amenaza a la que nos enfrentamos, porque existe un número cercano al infinito de variantes.
El ransomware crece, su calidad no
Parece mentira pero, salvo en contados casos, a pesar de la importancia que los ciberdelincuentes le dan al cifrado de archivos ajenos para ganar dinero, el código malicioso del ransomware está decreciendo paulatinamente. Esto está dando pie a que los expertos tengan mayores opciones de romper antes el código y permitir la recuperación.
A su vez, el ransomware “low cost” tiene un peligro inesperado para el usuario: al poder contener más errores de funcionamiento, también es más elevado el riesgo de que nuestros datos se echen a perder para siempre.
Deberías haber tenido un plan anti-ransomware en marcha -empezando este por una política de copias de seguridad- pero es posible que si has llegado aquí ya sea tarde.
Identificar el ransomware que nos ha infectado
Cuando tenemos que identificar qué variante de ransomware nos ha infectado, suelen aparecer dos problemas. El primero es que, mientras algunas muestras dejan claros signos de su nombre en forma de “ransom notes” no todos ofrecen esta información, así que nos tocará buscar otra vía. El segundo problema que puede darse es que la información de la nota no sea fiable, pretendiendo este cryptoware ser otro diferente para confundirnos.
Como norma, os recomiendo que SIEMPRE realicéis un escaneo con una de las siguientes dos herramientas, remitiendo una muestra de un archivo afectado para su identificación:
Además de la lista que encontraréis a continuación (la iré actualizando si encuentro nuevas herramientas relevantes) os aconsejo siempre investigar un poco acerca de los detalles de vuestro caso en páginas especializadas en desinfección de ransomware, como Bleeping Computer o Wilders Security Forums.
Herramientas para recuperar archivos afectados por ransomware
Como pronto comprobaréis, algunas de estas herramientas son válidas para desencriptar múltiples familias de ransomware, aunque no es lo habitual. Son los casos de RakhniDecryptor y RanohDecryptor principalmente, acompañados de otras como TM Ransomware Decryptor de TrendMicro, válido para más de 20 familias.
| NOMBRE AMENAZA | EXTENSIONES | INFORMACIÓN / FUENTE |
| .777 | *.777 | Emsisoft |
| .8lock8 | .8block8 | Explicaciones del foro |
| 7ev3n | .R4A
.R5A | Github (Hasherezade) |
| 7even-HONE$T | (Nº secuencial).R4A o R5A | Análisis del ransomware |
| Agent.iih | Kaspersky / Tutorial | |
| Alcatraz | *.Alcatraz | Avast |
| Alma | Añade 5 caracteres aleatorios al final del archivo y un ID de víctima único de 8 | PhishLabs / Tutorial |
| Al-Namrood | *.unavailable, *.disappeared | Emsisoft |
| Alpha | *.bin | Bleeping Computer |
| AlphaLocker | *.encrypt | Bleeping Computer |
| Apocalypse | *.encrypted, *.FuckYourData, *.Encryptedfile, *.SecureCrypted | AVG / Avast |
| ApocalypseVM | *.encrypted, *.FuckYourData, *.Encryptedfile, *.SecureCrypted *.locked | Herramienta alternativa |
| Aura | Kaspersky / Tutorial | |
| AutoIt | {Nombre_original}@<mail server>_.<caracteres_aleatorios>. | Kaspersky / Tutorial |
| Autolocky | *.locky | Emsisoft / TrendMicro |
| AutoLT | “<nombre_original>@<mail server>_.<caracteres_aleatorios>” | Kaspersky / Tutorial |
| Aw3s0m3Sc0t7 | .enc | |
| Badblock | No cambia (mirar la “ransom note”) | Herramienta alternativa |
| BarRax | Tutorial | |
| Bart | *.bart.zip | Herramienta alternativa |
| BitCryptor (Coinvault) | *.clf | Bleeping Computer (Demonslay) |
| BitStak | *.bitstak | Bleeping Computer (Demonslay) |
| Cerber | {10 caract. aleatorios}.cerber | Kaspersky / Tutorial |
| Cerber v1 | {10 caract. aleatorios}.cerber | TrendMicro / Tutorial |
| Cerber v2/v3 | .cerber2 / .cerber3 / aleatorio | |
| Chimera | {Nombre_original}.crypt | Alternativa 1 / Alternativa 2 / Tutorial |
| CoinVault | Trojan-Ransom.Win32.Crypmodadv.cj | Kaspersky / Tutorial |
| Cryaki | .{CRYPTENDBLACKDC}
Infectado con Trojan-Ransom.Win32.Crybola | Kaspersky / Tutorial |
| Crybola | Infectado con Trojan-Ransom.Win32.Crybola | Kaspersky / Tutorial |
| CrypBoss | *.crypt, *.R16M01D0 | Emsisoft |
| Crypren | .ENCRYPTED | Github |
| Crypt38 | .crypt38 | Fortinet |
| Crypt888 (Mirkop) | Añade “Lock.” al comienzo | Herramienta alternativa |
| CryptInfinite | *.CRINF | Emsisoft |
| CryptON | añade _crypt al nombre,
.id-_locked_by_krec .id-_locked_by_perfect .id-_x3m .id-_r9oj .id-_garryweber@protonmail.ch .id-_steaveiwalker@india.com_ .id-_julia.crown@india.com_ .id-_tom.cruz@india.com_ .id-_CarlosBoltehero@india.com_ .id-_maria.lopez1@india.com_ | Emsisoft / Tutorial |
| CryptoDefense | Se auto-identifica y deja nota “HOW_DECRYPT.txt” | Emsisoft |
| Cryptolocker (inactivo) | *.encrypted, *.cryptolocker | FireEye y FoxIT |
| CryptoHost | Información | |
| Cryptokluchen | Kaspersky / Tutorial | |
| CryptoMix / CryptoShield | *.CRYPTOSHIELD, *.rdmk, *.lesli, *.scl, *.code, *.rmd *.rscl | Desencriptado mediante clave offline |
| CryptoTorLocker | .CryptoTorLocker2015! | Información |
| CryptXXX v1-v3 | {nombre_original}.crypt, cryp1, crypz o 5 caract. hexadecimales
Infectado por Trojan-Ransom.Win32.CryptXXX | TrendMicro / Información |
| CryptXXX v4-v5 | {MD5 Hash}.5 caracteres hexadecimales | TrendMicro |
| CrySIS | .johnycryptor@hackermail.com.xtbl
.ecovector2@aol.com.xtbl .systemdown@india.com.xtbl .Vegclass@aol.com.xtbl ..{milarepa.lotos@aol.com}.CrySiS .{Greg_blood@india.com}.xtbl .{savepanda@india.com}.xtbl .{arzamass7@163.com}.xtbl | Kaspersky / Información |
| CTB-Locker | .ctbl | |
| CuteRansomware | .encrypted | Github |
| Damage | Emsisoft / Tutorial | |
| Dharma | .dharma
.wallet .zzzzz | Kaspersky / Tutorial |
| DeCrypt Protect | .html | Información |
| DeriaLock | CheckPoint / Tutorial | |
| Democry | *._fecha_hora _$address@domain$.777 o *._fecha_hora _$address@domain$.legion | Kaspersky / Tutorial |
| DMA Locker | El ID es DMALOCK 41:55:16:13:51:76:67:99 | Emsisoft |
| DMA2 Locker | El ID es DMALOCK 43:41:90:35:25:13:61:92 | Emsisoft |
| DynACrypt | .crypt | Bleeping Computer |
| Fabiansomware | *.encrypted | Emsisoft |
| FenixLocker | *.centrumfr@india.com!! | Emsisoft / Tutorial |
| Fury | Infectado con Trojan-Ransom.Win32.Fury | Kaspersky / Tutorial |
| GhostCrypt | .Z81928819 | Bleeping Computer |
| Globe v1 | *.ACRYPT, *.GSupport[0-9], *.blackblock, *.dll555, *.duhust, *.exploit, *.frozen, *.globe, *.gsupport, | Emsisoft / Tutorial / Alternativa |
| Globe2 / Globe v2 | *.raid10, *.blt, *.globe, *.encrypted,*[mia.kokers@aol.com] / {Original file name}.{email address + random characters} | Tutorial |
| Globe3 / Globe v3 | *.decrypt2017, *.hnumkhotep / sin extensión determinada o nombre cifrado | Emsisoft / Tutorial |
| GlobeImposter | *.crypt | Tutorial |
| Gomasom | *.crypt | Emsisoft / Tutorial |
| Harasom | *.html and note from Spamhaus or US Department of Justice | Emsisoft |
| HiddenTear | *.locked, *.34xxx, *.bloccato, *.BUGSECCCC, *.Hollycrypt, *.lock, *.saeid, *.unlockit, | Avast |
| HydraCrypt | *.hyrdacrypt, *.umbrecrypt | |
| Jigsaw / CryptoHit | FUN, .KKK, .GWS, .BTC | Alternativa 1 / Alternativa 2 / Tutorial |
| KeRanger | .encrypted | Dr Web |
| KeyBTC | Mirar ransom note “Decrypt_Your_Files.txt” | Emsisoft |
| KimcilWare | *.kimcilware
*.locked | Fortinet |
| Lamer | Kaspersky / Tutorial | |
| LeChiffre | *.LeChiffre | Alternativa |
| Legion | *.[#s]$f_tactics@aol.com$.legion | AVG |
| Linux.Encoder.1 | *.encrypted (?) | Información / Tutorial |
| Linux.Encoder.3 | *.encrypted (?) | Bitdefender / Tutorial |
| Lock Screen | TrendMicro | |
| Locker | Bleeping Computer | |
| Lortok | *.crime | Kaspersky / Tutorial |
| MarsJoke (Polyglot) | Kaspersky / Tutorial | |
| Manamecrypt (CryptoHost) | Bleeping Computer | |
| Mircop | Lock.{Nombre_Original} | AVG / Alternativa |
| Merry Christmas / MRCR | *.PEGS1, *.MRCR1, *.RARE1, *.MERRY, *.RMCM1 | Emsisoft / Tutorial |
| Nanolocker | Github | |
| Nemucod | *.crypted | TrendMicro / Alternativa |
| NMoreira | *.maktub, *._AiraCropEncrypted! | Emsisoft / Tutorial |
| NoobCrypt | ZdZ8EcvP95ki6NWR2j o lsakhBVLIKAHg | Avast |
| ODCODC | *.odcodc | Bleeping Computer |
| Operation Global III | *.exe | Bleeping Computer |
| OpenToYou | *.-opentoyou@india.com | Emsisoft |
| Ozozalocker | *.locked | Emsisoft |
| PClock | No cambia; buscar “enc_files.txt” | Emsisoft |
| Petya | Encripta todo el disco | Alternativa |
| Philadelphia | *.locked | Emsisoft |
| PHP ransomware | CheckPoint / Tutorial | |
| PizzaCrypts | Bleeping Computer | |
| Pletor | Kaspersky / Tutorial | |
| Pompous / Skidlocker | *.locked | Bleeping Computer |
| Popcorn | Eleven Paths / Tutorial | |
| PowerWare / PoshCoder | *.locky | Github |
| Radamant | .RDM
.RRK .RAD .RADAMANT | Emsisoft / Información |
| Rakhni ransomware | *.locked, *.kraken | Kaspersky / Tutorial |
| Rannoh ransomware | Sustituye nombres por “locked-<nombre_original> .<4_letras_aleatorias>” | Kaspersky / Tutorial |
| Rector | .vscrypt
.infected .bloc .korrektor | Kaspersky |
| Rotor | Kaspersky / Tutorial | |
| Scraper | Infecta mediante Trojan-Ransom.BAT.Scatter | Herramientas |
| Shade / Troldesh | *.xtbl, *.ytbl, *.breaking_bad, *.heisenberg. | Kaspersky / Alternativa |
| SNSLocker | {Nombre_original}.RSNSLocked | TrendMicro / Información |
| Stampado | *.locked | TrendMicro / Alternativa |
| SZFlocker | *.szf | AVG / Avast |
| TeleCrypt | {Nombre_archivo} | TrendMicro /Información |
| TeslaCrypt v1 | {Nombre_archivo}.ECC | Talos |
| Teslacrypt v2 | {Nombre_archivo}.VVV, CCC, ZZZ, AAA, ABC, XYZ | TrendMicro / Información |
| Teslacrypt v3 | .micro .xxx .ttt .mp3 | Tutorial / Alternativa |
| Teslacrypt v4 | .exx
.ezz .ecc .xxx .ttt .micro .mp3 | Tutorial / Alternativa |
| TorrentLocker | *.encrypted, *.enc | Bleeping Computer |
| Tycoon | *.RedRum | Análisis / Emsisoft |
| Umbrecrypt | .umbrecrypttmp_ID_[#s]
*.hydracrypt, *.umbrecrypt | Emsisoft / Información |
| Wildfire | .wflx | Alternativa / Tutorial |
| WannaCry / WannaCrypt | *.wnry, *.wncry | Análisis / Herramientas |
| XORBAT | {Nombre_original}.crypted | TrendMicro / Alternativa |
| XORIST | *.EnCiPhErEd, *.0JELvV, *.p5tkjw, *.6FKR8d, *.UslJ6m, *.n1wLp0, *.5vypSa, *.YNhlv1 | Emsisoft / Alternativa |
Hay que señalar que no todas las herramientas para recuperación son igual de sencillas. Algunas no requieren apenas conocimientos de informática, mientras que otras herramientas / soluciones solo podrán ser puestas en marcha por usuarios avanzados.
Herramientas para descifrar ransomware según marcas
A continuación os dejo enlaces a las páginas de firmas de seguridad, siendo estás las que cuentan con más variantes soportadas, por si preferís utilizar alguna marca en concreto.
- Avast: 16 variantes soportadas
- AVG: 7 variantes soportadas
- Emsisoft: 36 variantes soportadas
- Kaspersky: 28 variantes soportadas
Como siempre, estoy atento a vuestros comentarios y sugerencias para ampliar o corregir la información de este artículo si es necesario 😉
Herramientas para detectar archivos infectados con ransomare
Guía para evitar ransomware
La siguiente guía de OWASP, desarrollada por hispanohablantes, te será de gran utilidad para conocer mejor a tu enemigo y aprender a protegerte y tomar medidas.
Herramientas antiransomware recomendadas
Es posible que ya lleguemos tarde (esta vez) pero te interesará saber que puedes protegerte de cara a futuros ataques por crypto-ransomware sin pagar un céntimo gracias a herramientas anti-ransomware que he analizado en esta web:
Categorías
Alejandro Ver todo
Trabajo como consultor de ciberseguridad y me gusta lo que hago. Aficionado a la informática / tecnología en general, me gusta compartir con la gente lo poco que sé. También soy aficionado al deporte y los videojuegos.
hola esa es la extemcion de los archivos que tengo infectado sabes de alguna solucion
gracias de antemano saludos KILLYOUASS@protonmail.com]
Me gustaMe gusta
Buenas tardes Silvio, aún no tengo una herramienta para dicha operación de desencriptar los archivos que tengo de la misma forma encriptados por este ramsoware.
En cuento tenga alguna herramienta estable para dicha operación te la comparto.
Saludos.
Me gustaMe gusta
Hola, tengo infectados los archivos con la extension .nile y el software emsisoft decryptor me dice Error: No key for New Variant online ID: Qz39V9cXbQHKmA1ehgcVoKbrBtg66S8DPx7eBpNh
Notice: this ID appears to be an online ID, decryption is impossible
Necesito ayuda por favor
Me gustaMe gusta
Hola Rodolfo, lo lamento pero no existe un decripter diseñado para esa variante, por el momento. Suerte y no pierdas la esperanza.
Me gustaMe gusta
HOLA HAN PODIDO DESENCRIPTAR LOS QUE RENOMBRAN CON EXTENSION *.KUUS
GRACIAS!!!
Me gustaMe gusta
Lo siento, es DJVU/STOP y se trata de una clave de cifrado online y por el momento no hay solución. Te recomiendo hacer una copia de seguridad de todos los archivos infectados por si en el futuro se consigue obtener alguna clave de descifrado offline.
Por otro lado, para cierto tipo de archivos (imágenes o vídeo) se ha publicado una herramienta gratuita que podría interesarte probar (nunca sobre los archivos afectados, sino sobre una copia!) y es https://www.disktuna.com/media_repair-file-repair-for-stop-djvu-mp3-mp4-3gp/.
Saludos y suerte.
Me gustaLe gusta a 1 persona