Saltar al contenido
Publicado por Alejandro193 comentarios en Herramientas para recuperar archivos afectados por ransomware ransomware

Herramientas para recuperar archivos afectados por ransomware

¿Qué harías si tu equipo es infectado por ransomware? Una mayoría seguro buscaría una alternativa para poder recuperar la salud de sus archivos, aunque una minoría “grande” se plantearía -e incluso estaría dispuesta- a pagar por recuperarlos, sobre todo si se trata de pequeños negocios o gente que trabaja por su cuenta y pierde documentación valiosa.

La decisión de pagar es errónea se mire por donde se mire, para empezar porque estamos legitimando la actividad de los delincuentes y porque además nada nos garantiza la recuperación de los activos.

Antes de echarnos a los brazos de quien nos ha infectado, es mejor echar mano de alguna de estas herramientas para desencriptar archivos afectados por ransomware, además de identificar en primera instancia la amenaza a la que nos enfrentamos, porque existe un número cercano al infinito de variantes.

El ransomware crece, su calidad no

Parece mentira pero, salvo en contados casos, a pesar de la importancia que los ciberdelincuentes le dan al cifrado de archivos ajenos para ganar dinero, el código malicioso del ransomware está decreciendo paulatinamente. Esto está dando pie a que los expertos tengan mayores opciones de romper antes el código y permitir la recuperación.

Variantes de ransomware aparecidas en los últimos años

A su vez, el ransomware “low cost” tiene un peligro inesperado para el usuario: al poder contener más errores de funcionamiento, también es más elevado el riesgo de que nuestros datos se echen a perder para siempre.

Deberías haber tenido un plan anti-ransomware en marcha -empezando este por una política de copias de seguridad- pero es posible que si has llegado aquí ya sea tarde.

Identificar el ransomware que nos ha infectado

Cuando tenemos que identificar qué variante de ransomware nos ha infectado, suelen aparecer dos problemas. El primero es que, mientras algunas muestras dejan claros signos de su nombre en forma de “ransom notes” no todos ofrecen esta información, así que nos tocará buscar otra vía. El segundo problema que puede darse es que la información de la nota no sea fiable, pretendiendo este cryptoware ser otro diferente para confundirnos.

Como norma, os recomiendo que SIEMPRE realicéis un escaneo con una de las siguientes dos herramientas, remitiendo una muestra de un archivo afectado para su identificación:

Además de la lista que encontraréis a continuación (la iré actualizando si encuentro nuevas herramientas relevantes) os aconsejo siempre investigar un poco acerca de los detalles de vuestro caso en páginas especializadas en desinfección de ransomware, como Bleeping Computer o Wilders Security Forums.

Herramientas para recuperar archivos afectados por ransomware

Como pronto comprobaréis, algunas de estas herramientas son válidas para desencriptar múltiples familias de ransomware, aunque no es lo habitual. Son los casos de RakhniDecryptor y RanohDecryptor principalmente, acompañados de otras como TM Ransomware Decryptor de TrendMicro, válido para más de 20 familias.

NOMBRE AMENAZA EXTENSIONES INFORMACIÓN / FUENTE
.777 *.777 Emsisoft
.8lock8 .8block8 Explicaciones del foro
7ev3n .R4A

.R5A

 Github (Hasherezade)
7even-HONE$T (Nº secuencial).R4A o R5A Análisis del ransomware
Agent.iih Kaspersky / Tutorial
Alcatraz *.Alcatraz Avast
Alma Añade 5 caracteres aleatorios al final del archivo y un ID de víctima único de 8 PhishLabs / Tutorial
Al-Namrood *.unavailable, *.disappeared Emsisoft
Alpha *.bin Bleeping Computer
AlphaLocker *.encrypt Bleeping Computer
Apocalypse *.encrypted, *.FuckYourData, *.Encryptedfile, *.SecureCrypted AVG / Avast
ApocalypseVM *.encrypted, *.FuckYourData, *.Encryptedfile, *.SecureCrypted *.locked Herramienta alternativa
Aura Kaspersky / Tutorial
AutoIt {Nombre_original}@<mail server>_.<caracteres_aleatorios>. Kaspersky / Tutorial
Autolocky *.locky Emsisoft / TrendMicro
AutoLT “<nombre_original>@<mail server>_.<caracteres_aleatorios>” Kaspersky / Tutorial
Aw3s0m3Sc0t7 .enc
Badblock No cambia (mirar la “ransom note”) Herramienta alternativa
BarRax Tutorial
Bart *.bart.zip Herramienta alternativa
BitCryptor (Coinvault) *.clf Bleeping Computer (Demonslay)
BitStak *.bitstak Bleeping Computer (Demonslay)
Cerber {10 caract. aleatorios}.cerber Kaspersky / Tutorial
Cerber v1 {10 caract. aleatorios}.cerber TrendMicro / Tutorial
Cerber v2/v3 .cerber2 / .cerber3 / aleatorio
Chimera {Nombre_original}.crypt Alternativa 1 / Alternativa 2 / Tutorial
CoinVault Trojan-Ransom.Win32.Crypmodadv.cj Kaspersky / Tutorial
Cryaki .{CRYPTENDBLACKDC}

Infectado con Trojan-Ransom.Win32.Crybola

 Kaspersky / Tutorial
Crybola Infectado con Trojan-Ransom.Win32.Crybola Kaspersky / Tutorial
CrypBoss *.crypt, *.R16M01D0 Emsisoft
Crypren .ENCRYPTED Github
Crypt38 .crypt38 Fortinet
Crypt888 (Mirkop) Añade “Lock.” al comienzo Herramienta alternativa
CryptInfinite *.CRINF Emsisoft
CryptON añade _crypt al nombre,

 

.id-_locked_by_krec

.id-_locked_by_perfect

.id-_x3m

.id-_r9oj

.id-_garryweber@protonmail.ch

.id-_steaveiwalker@india.com_

.id-_julia.crown@india.com_

.id-_tom.cruz@india.com_

.id-_CarlosBoltehero@india.com_

.id-_maria.lopez1@india.com_

 Emsisoft / Tutorial
CryptoDefense Se auto-identifica y deja nota “HOW_DECRYPT.txt” Emsisoft
Cryptolocker (inactivo) *.encrypted, *.cryptolocker FireEye y FoxIT
CryptoHost Información
Cryptokluchen Kaspersky / Tutorial
CryptoMix / CryptoShield *.CRYPTOSHIELD, *.rdmk, *.lesli, *.scl, *.code, *.rmd *.rscl Desencriptado mediante clave offline
CryptoTorLocker .CryptoTorLocker2015! Información
CryptXXX v1-v3 {nombre_original}.crypt, cryp1, crypz o 5 caract. hexadecimales

Infectado por Trojan-Ransom.Win32.CryptXXX

 TrendMicro / Información
CryptXXX v4-v5 {MD5 Hash}.5 caracteres hexadecimales TrendMicro
CrySIS .johnycryptor@hackermail.com.xtbl

.ecovector2@aol.com.xtbl

.systemdown@india.com.xtbl

.Vegclass@aol.com.xtbl

..{milarepa.lotos@aol.com}.CrySiS

.{Greg_blood@india.com}.xtbl

.{savepanda@india.com}.xtbl

.{arzamass7@163.com}.xtbl

 Kaspersky / Información
CTB-Locker .ctbl
CuteRansomware .encrypted Github
Damage Emsisoft / Tutorial
Dharma .dharma

.wallet

.zzzzz

 Kaspersky / Tutorial
DeCrypt Protect .html Información
DeriaLock CheckPoint / Tutorial
Democry *._fecha_hora _$address@domain$.777 o *._fecha_hora _$address@domain$.legion Kaspersky / Tutorial
DMA Locker El ID es DMALOCK 41:55:16:13:51:76:67:99 Emsisoft
DMA2 Locker El ID es DMALOCK 43:41:90:35:25:13:61:92 Emsisoft
DynACrypt .crypt Bleeping Computer
Fabiansomware *.encrypted Emsisoft
FenixLocker *.centrumfr@india.com!! Emsisoft / Tutorial
Fury Infectado con Trojan-Ransom.Win32.Fury Kaspersky / Tutorial
GhostCrypt .Z81928819 Bleeping Computer
Globe v1 *.ACRYPT, *.GSupport[0-9], *.blackblock, *.dll555, *.duhust, *.exploit, *.frozen, *.globe, *.gsupport, Emsisoft / Tutorial / Alternativa
Globe2 / Globe v2 *.raid10, *.blt, *.globe, *.encrypted,*[mia.kokers@aol.com] / {Original file name}.{email address + random characters} Tutorial
Globe3 / Globe v3 *.decrypt2017, *.hnumkhotep / sin extensión determinada o nombre cifrado Emsisoft / Tutorial
GlobeImposter *.crypt Tutorial
Gomasom *.crypt Emsisoft / Tutorial
Harasom *.html and note from Spamhaus or US Department of Justice Emsisoft
HiddenTear *.locked, *.34xxx, *.bloccato, *.BUGSECCCC, *.Hollycrypt, *.lock, *.saeid, *.unlockit, Avast
HydraCrypt *.hyrdacrypt, *.umbrecrypt
Jigsaw / CryptoHit FUN, .KKK,  .GWS, .BTC Alternativa 1 / Alternativa 2 / Tutorial
KeRanger .encrypted Dr Web
KeyBTC Mirar ransom note “Decrypt_Your_Files.txt” Emsisoft
KimcilWare *.kimcilware

*.locked

 Fortinet
Lamer Kaspersky / Tutorial
LeChiffre *.LeChiffre Alternativa
Legion *.[#s]$f_tactics@aol.com$.legion AVG
Linux.Encoder.1 *.encrypted (?) Información / Tutorial
Linux.Encoder.3 *.encrypted (?) Bitdefender / Tutorial
Lock Screen TrendMicro
Locker Bleeping Computer
Lortok *.crime Kaspersky / Tutorial
MarsJoke (Polyglot) Kaspersky / Tutorial
Manamecrypt (CryptoHost) Bleeping Computer
Mircop Lock.{Nombre_Original} AVG / Alternativa
Merry Christmas / MRCR *.PEGS1, *.MRCR1, *.RARE1, *.MERRY, *.RMCM1 Emsisoft / Tutorial
Nanolocker Github
Nemucod *.crypted TrendMicro / Alternativa
NMoreira *.maktub, *._AiraCropEncrypted! Emsisoft / Tutorial
NoobCrypt ZdZ8EcvP95ki6NWR2j o lsakhBVLIKAHg Avast
ODCODC *.odcodc Bleeping Computer
Operation Global III *.exe Bleeping Computer
OpenToYou *.-opentoyou@india.com Emsisoft
Ozozalocker *.locked Emsisoft
PClock No cambia; buscar “enc_files.txt Emsisoft
Petya Encripta todo el disco Alternativa
Philadelphia *.locked Emsisoft
PHP ransomware CheckPoint / Tutorial
PizzaCrypts Bleeping Computer
Pletor Kaspersky / Tutorial
Pompous / Skidlocker *.locked Bleeping Computer
Popcorn Eleven Paths / Tutorial
PowerWare / PoshCoder *.locky Github
Radamant .RDM

.RRK

.RAD

.RADAMANT

 Emsisoft / Información
Rakhni ransomware *.locked, *.kraken Kaspersky / Tutorial
Rannoh ransomware Sustituye nombres por “locked-<nombre_original> .<4_letras_aleatorias>” Kaspersky / Tutorial
Rector .vscrypt

.infected

.bloc

.korrektor

 Kaspersky
Rotor Kaspersky / Tutorial
Scraper Infecta mediante Trojan-Ransom.BAT.Scatter Herramientas
Shade / Troldesh *.xtbl, *.ytbl, *.breaking_bad, *.heisenberg. Kaspersky / Alternativa
SNSLocker {Nombre_original}.RSNSLocked TrendMicro / Información
Stampado *.locked TrendMicro / Alternativa
SZFlocker *.szf AVG / Avast
TeleCrypt {Nombre_archivo} TrendMicro /Información
TeslaCrypt v1 {Nombre_archivo}.ECC Talos
Teslacrypt v2 {Nombre_archivo}.VVV, CCC, ZZZ, AAA, ABC, XYZ TrendMicro / Información
Teslacrypt v3 .micro

.xxx

.ttt

.mp3

 Tutorial / Alternativa
Teslacrypt v4 .exx

.ezz

.ecc

.xxx

.ttt

.micro

.mp3

 Tutorial / Alternativa
TorrentLocker *.encrypted, *.enc Bleeping Computer
Umbrecrypt .umbrecrypttmp_ID_[#s]

*.hydracrypt, *.umbrecrypt

 Emsisoft / Información
Wildfire .wflx Alternativa / Tutorial
WannaCry / WannaCrypt *.wnry, *.wncry Análisis / Herramientas
XORBAT {Nombre_original}.crypted TrendMicro / Alternativa
XORIST   *.EnCiPhErEd, *.0JELvV, *.p5tkjw, *.6FKR8d, *.UslJ6m, *.n1wLp0, *.5vypSa, *.YNhlv1 Emsisoft / Alternativa

Hay que señalar que no todas las herramientas para recuperación son igual de sencillas. Algunas no requieren apenas conocimientos de informática, mientras que otras herramientas / soluciones solo podrán ser puestas en marcha por usuarios avanzados.

Herramientas para descifrar ransomware según marcas

A continuación os dejo enlaces a las páginas de firmas de seguridad, siendo estás las que cuentan con más variantes soportadas, por si preferís utilizar alguna marca en concreto.

Como siempre, estoy atento a vuestros comentarios y sugerencias para ampliar o corregir la información de este artículo si es necesario 😉

Herramientas para detectar archivos infectados con ransomare

Guía para evitar ransomware

La siguiente guía de OWASP, desarrollada por hispanohablantes, te será de gran utilidad para conocer mejor a tu enemigo y aprender a protegerte y tomar medidas.

Descargar Guía para evitar ransomware

Herramientas antiransomware recomendadas

Es posible que ya lleguemos tarde (esta vez) pero te interesará saber que puedes protegerte de cara a futuros ataques por crypto-ransomware sin pagar un céntimo gracias a herramientas anti-ransomware que he analizado en esta web:

Categorías

ransomware, Seguridad informática, Software, Tutoriales

Etiquetas

, , ,

Alejandro Ver todo

Trabajo como consultor de ciberseguridad y me gusta lo que hago. Aficionado a la informática / tecnología en general, me gusta compartir con la gente lo poco que sé. También soy aficionado al deporte y los videojuegos.

193 comentarios sobre “Herramientas para recuperar archivos afectados por ransomware Deja un comentario

  2. Hola. En mi caso se me ha colado el que crea las extensiones . Adobe Formatee a bajo nivel y cambie el sistema operativo por lo que sospecho que ya no corro peligro de tenerlo pero aun tengo los archivos infectados. Este es del tipo que borra los datos y encripta? pudiera recuperar los datos con un programa de recuperación? Saludos y espero respuesta. Gracias de antemano

    Me gusta

    Responder

    • No estoy seguro aunque sospecho de STOP o Dharma por lo que he podido ver. ¿tienes una ransom note? También puedes utilizar el servicio IDRansomware o Cryptosheriff para identificarlo. Búscalos en mi web, en este mismo artículo los menciono. Saludos.

      Me gusta

      Responder

  4. hola me podrían ayudar con alguna herramienta para desencriptar este nuevo virus con la extensión ejemplo imagen.jpg.ojqjpta ,adicional a eso se creo un txt en cada capeta OJQJPTA-DECRYPT.txt

    Me gusta

    Responder

  6. hola y disculpa. me infecto el portatil el virus gandcrab 5.0.4 lo resetee entero, pero me guarde las fotos y videos infectadas en un disco duro que elimine el virus de el pero quiero recuperar mis archivos, tengo las notas del secuestro, junto a todos los archivos guardados en version .RAMEIAE me ayudas por favor? varios de los archivos infectados son de mi padre que en paz descanse entre ellas fotos y videos del momento de lucidez que tuvo antes de dejarme
    gracias de antemano y te dejo mi correo : davidperezrivera@icloud.com

    Me gusta

    Responder

  11. mi PC de escritorio fue infectado las fotos, vídeos, y algunos accesos directo . las fotos como los vídeo osea cambiaron en forma de papel blanco y la foto tienen como terminación jpg.BTEGHU , y en cada carpeta me aparece ( un archivo de nota) con el nombre BTEGHU-DECRYPT . los vídeos mp4.BTEGHU ¿ que puedo hacer, Hay algo o algun programita para recuperar mis fotos ,como quito esa extencion ? porfavorrr porfavorrrrrr porfavorrrrrrrrr

    Me gusta

    Responder

  14. Alguien podría apoyarme? Mi memoria cambió de nombre a @!ı÷ÝÖ┐bÙFz y todos mis archivos tienen más o menos los mismos símbolos, me parece están encriptados. No puedo acceder a ninguno. ¡Gracias!

    Me gusta

    Responder

  15. Primeramente agradecerte en darte tu tiempo y ayudar a todas aquellas personas que pasan un mal momento por el contagio de virus, mi consulta es la siguiente, mi PC fue contagiada con un virus de tipo ransomware con extensión pulsar1, que sugieres como una alternativa de solución para recuperar los archivos. Desde ya te agradezco por tu tiempo. Saludos

    Me gusta

    Responder

  17. hola hermano que tal, disculpa la molestia, tenia una consulta, en caso de que se tratara de una extencion tipo PROMORA2, como podría desencriptar o recuperar mis archivos, gracias de antemano

    Me gusta

    Responder

    • Buenos días,

      Se trata de una variante del ransomware STOP probablemente, para el cual no hay de momento un decrypter. En cualquier caso, deberías darle una pasada con las herramientas de catalogación que recomiendo al comienzo del artículo.

      Saludos.

      Me gusta

      Responder

      • Muchas gracias, le pido el favor que si sabe alguna forma de recuperar estos archivos dentro del transcurso del estos meses me lo haga saber, mi correo electrónico es cfcl518@gmail.com y voy a seguir su sugerencia. Dios lo Bendiga.

        Le gusta a 1 persona

  19. Hola, tengo archivos excel pero no los puedo abrir ya que su extension termina en .ccc
    he intentado con varios antispywares para poder recuperar los archivos pero me ha sido imposible. Saben alguna solucion al respecto de estos casos? cabe destacar que ya he utilizado TeslaDecoder el cual no ha sido efectivo, por lo que no he podido recuperar la informacion que necesito. Quedo atento a comentarios. saludos

    Me gusta

    Responder

  21. Buenas tardes Alejandro, he sido infectado y los archivos quedan con la extension .fordan. me podrias informar si al dia de la fecha existe algun decrypter? desde ya muchas gracias. Ramirpo

    Me gusta

    Responder

  23. Buenas tardes Alejandro, mi computador se infecto con virus moresa, ya lo desinfecte y estoy tratando de desencriptar los archivos con STOPDecryptor pero me sale el siguiente mensaje:
    [!] No keys were found for the following IDs:
    [*] ID: jbTRUsgKKpctBE7PpYhiQQCnFLaVAsaDKJnmFj1y (.moresa )
    [*] ID: jbTRUsgKKpctBE7PpYhiQQCnFLaVAsaDKJnmFj1y (.docx )
    no se si con esa informacion se puedan recuperar los archivos. Agradezco su respuesta. Muchas Gracias.

    Me gusta

    Responder

    • Hola, ese decrypter usado no ha detectado nada, no es válido para esa muestra. No se qué versión de STOP decrypter estás usando, intenta descargar una más reciente o esperar a que salga una nueva versión si tienes la última. Saludos.

      Me gusta

      Responder

  24. Buenas noches: Mi PC fue atacada con el ransonware djvu y baje en usb los archivos mas importantes. Todo lo demás el técnico reinstalo todo y la dejo en cero. MI PREGUNTA ¿A la fecha se encontró algún antivirus para este virus?. Gracias por la atención.

    Me gusta

    Responder

  25. A mi se me metió hoy este gran puto djvu, y me sifro todos los archivos con extensión RECTOT. Si hay alguna solución avísenme por favor, tengo un respaldo de los archivos en otro disco pero creo que no están todos aunque si la mayoría.

    Me gusta

    Responder

    • Hola Javier,
      Estoy acostumbrado a que la gente se refiera a este ransom como djvu (es de la familia STOP) pero en tu caso no se qué extensión tienen tus archivos. Existen gran variedad de extensiones de esta familia. Te recomiendo como primer paso enviar alguna muestra a IDRansomware o Cryptosheriff (aparecen al comienzo del post) y seguidamente, si son reconocidas, intentar descifrar con el STOP decrypter: https://download.bleepingcomputer.com/demonslay335/STOPDecrypter.zip

      En cualquier caso siempre puedes darle una pasada con alguna herramienta de recuperación de archivos:

    • ShadowExplorer para recuperar VSS (versiones anteriores de los archivos) si el ransomware las ha dejado intactas.
    • Photorec es una herramienta de File Carving que puede recuperar archivos en discos sin particionamiento ni información de sistema de archivos (RAW) o bien puedes intentar con las herramientas que he analizado previamente en la categoría software > almacenamiento y backup

      • Suerte

      Me gusta

      Responder

    • Hola Jorge, haz un análisis de los archivos afectados con IDRansomware (https://protegermipc.net/2016/04/15/como-saber-con-que-ransomware-estoy-infectado-id-ransomware/) para asegurarte de qué familia te ha atacado. El ransomware que emplea .rectot es casi seguro de la familia STOP y quizá podría servirte STOP decrypter. Aunque no fuera posible descifrar tus archivos (lleva pocos días aparecida esta variante) es recomendable que sigas las instrucciones que aparecen aquí: https://kb.gt500.org/stopdecrypter porque facilitando esa información es posible que los expertos de webs como Bleepingcomputer sean capaces antes o después de dar con una clave privada que permita descifrar los archivos.
      En cualquier caso siempre puedes darle una pasada con alguna herramienta de recuperación de archivos:

    • ShadowExplorer para recuperar VSS (versiones anteriores de los archivos) si el ransomware las ha dejado intactas.
    • Photorec es una herramienta de File Carving que puede recuperar archivos en discos sin particionamiento ni información de sistema de archivos (RAW) o bien puedes intentar con las herramientas que he analizado previamente en la categoría software > almacenamiento y backup

      • Suerte….y recuerda que para la próxima vez debes contar con un sistema de copias de seguridad.

      Me gusta

      Responder

  27. Hola, todos mis archivos están cifrados con (.rectot), me pueden ayudar a encontrar alguna forma de descifrarlos, alguna herramienta o algun consejo? gracias de antemano

    Me gusta

    Responder

  29. Hola amigos,
    Mi pc fue infectado por un ransomware que encriptó de mis archivos (.docx, .mp3, etc.) poniendo una extensión adicional así:
    “carta.docx.horon”
    “fotopolola.jpeg.horon”
    “cancion.mp3.horon”
    Conocen alguna solución?
    Ojo. Ya no está infectado el pc, pero quedaron muchos archivos con nombre cambiado.

    Me gusta

    Responder

  30. cordial saludo
    mi equipo fue infectado por el ransomware NERAS y todos los archivos estan con extension .NERAS si alguien me puede ayudar les agradezco
    feliz dia

    Me gusta

    Responder

  31. Hola tengo un problema se me metio en la PC un virus que me ha encriptado los archivos que tenia en la PC y han escrito una nota de rescate, a cada archivo encriptado le han cambiado la extención a una llave para poder descriptar.
    Ejempo:
    Archivo encriptado: hosts.-8BF5216A-727B-DE3D-03E3-669F025E73DA
    Archivo original: hosts

    La nota de rescate es la siguiente:

    All your files, documents, photos, databases and other important
    files are encrypted.

    You are not able to decrypt it by yourself! The only method
    of recovering files is to purchase an unique private key.
    Only we can give you this key and only we can recover your files.

    To be sure that we have the decryptor and it works you can send an
    email to endereless@cock.li and decrypt one file for free. But this
    file must’nt be of valuable!

    Do you really want to restore your files?

    If you are ready to buy unique private key send an email including you ID to happyless@airmail.cc
    Your personal ID: 8BF5216A-727B-DE3D-03E3-669F025E73DA

    Attention!
    * Do not rename encrypted files.
    * Do not try to decrypt your data using third party software,
    it may cause permanent data loss.
    * Decryption of your files with the help of third parties may
    cause increased price (they add their fee to our) or you can
    become a victim of a scam.

    Que me pueden decir de este virus…

    Me gusta

    Responder

  32. Buenos dias me ha entrado este ramson justo cuando estaba actualizando mi copia de seguridad, con lo que me ha infectado el original, los discos secundarios y el de rescate.

    id[A62F9785-2275].[supportcrypt2019@cock.li].Adame

    Hay alguna forma de poder eliminarlo y recuperar todo??
    Esmuy importante poder hacerlo

    Me gusta

    Responder

    • Hola Juan.
      Parece que es Phobos, para el cual no hay de momento decrypter disponible. Si tienes versiones anteriores activadas (shadow copies) puedes probar, también puedes intentar con una herramienta de file carving como photorec, aunque la tarea va a ser monumental.
      ¿Cuánto tamaño tienes afectado? ¿Cuántos discos o dispositivos? ¡Siempre hay que tener una copia offline!

      Si quieres envíame algún archivo e intento ver si es posible recuperar con software forense.

      Siento no poder darte mejores noticias :S
      Saludos.

      Me gusta

      Responder

      • Me acaba de suceder el mismo problema, mis archivos una gran parte de ellos están con extensión .adame. Son mas de 100 GB si alguien tiene alguna posible solución les pido de favor la den a conocer.
        Gracias

        Me gusta

  33. cordial saludo
    mi equipo fue infectado por el ransomware NERAS y todos los archivos estan con extension .NERAS si alguien me puede ayudar les agradezco
    feliz dia

    Me gusta

    Responder

  35. cordial saludo mi equipo fue infectado por el ransomware NERAS y todos los archivos estan con extension .NERAS si alguien me puede ayudar les agradezco feliz dia

    Me gusta

    Responder

  37. Utilizando la herramienta ID Ransomware identifique que tengo el disco duro infectado por Dharma (.cezar Family). Existe alguna posible solución para desencriptar los archivos?. Gracias por la colaboración

    Me gusta

    Responder

  42. Hola Alejandro. Buen día.
    Te consulto por si me puedes ayudar.
    Mi computadora fue infectada por un Ramsomware que modificó la extensión de todos mis archivos a .tfudet.
    He logrado quitar el virus con Malawarebytes sin problemas, pero no logro desencriptar los archivos. He probado con Recuva y otros programas pero no me recupera ninguno.
    Tienes alguna sugerencia que me pueda servir?
    Desde ya, muchas gracias!

    Me gusta

    Responder

  44. tengo varios meses que muchos documentos importantes estan encriptador por una extension llamada .lanset, he buscado como desencriptar y no encuentro solucion, o los quiero borrar porque despues no tendria como recuperarlo, si me pueden dar la mano se agradece

    Me gusta

    Responder

Deja tu comentario (puedes hacerlo de forma anónima)

Introduce tus datos o haz clic en un icono para iniciar sesión:

Gravatar
Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Cancelar

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios .

A %d blogueros les gusta esto: