Saltar al contenido

Herramientas para recuperar archivos afectados por ransomware

¿Qué harías si tu equipo es infectado por ransomware? Una mayoría seguro buscaría una alternativa para poder recuperar la salud de sus archivos, aunque una minoría “grande” se plantearía -e incluso estaría dispuesta- a pagar por recuperarlos, sobre todo si se trata de pequeños negocios o gente que trabaja por su cuenta y pierde documentación valiosa.

La decisión de pagar es errónea se mire por donde se mire, para empezar porque estamos legitimando la actividad de los delincuentes y porque además nada nos garantiza la recuperación de los activos.

Antes de echarnos a los brazos de quien nos ha infectado, es mejor echar mano de alguna de estas herramientas para desencriptar archivos afectados por ransomware, además de identificar en primera instancia la amenaza a la que nos enfrentamos, porque existe un número cercano al infinito de variantes.

El ransomware crece, su calidad no

Parece mentira pero, salvo en contados casos, a pesar de la importancia que los ciberdelincuentes le dan al cifrado de archivos ajenos para ganar dinero, el código malicioso del ransomware está decreciendo paulatinamente. Esto está dando pie a que los expertos tengan mayores opciones de romper antes el código y permitir la recuperación.

Variantes de ransomware aparecidas en los últimos años

A su vez, el ransomware “low cost” tiene un peligro inesperado para el usuario: al poder contener más errores de funcionamiento, también es más elevado el riesgo de que nuestros datos se echen a perder para siempre.

Deberías haber tenido un plan anti-ransomware en marcha -empezando este por una política de copias de seguridad- pero es posible que si has llegado aquí ya sea tarde.

Identificar el ransomware que nos ha infectado

Cuando tenemos que identificar qué variante de ransomware nos ha infectado, suelen aparecer dos problemas. El primero es que, mientras algunas muestras dejan claros signos de su nombre en forma de “ransom notes” no todos ofrecen esta información, así que nos tocará buscar otra vía. El segundo problema que puede darse es que la información de la nota no sea fiable, pretendiendo este cryptoware ser otro diferente para confundirnos.

Como norma, os recomiendo que SIEMPRE realicéis un escaneo con una de las siguientes dos herramientas, remitiendo una muestra de un archivo afectado para su identificación:

Además de la lista que encontraréis a continuación (la iré actualizando si encuentro nuevas herramientas relevantes) os aconsejo siempre investigar un poco acerca de los detalles de vuestro caso en páginas especializadas en desinfección de ransomware, como Bleeping Computer o Wilders Security Forums.

Herramientas para recuperar archivos afectados por ransomware

Como pronto comprobaréis, algunas de estas herramientas son válidas para desencriptar múltiples familias de ransomware, aunque no es lo habitual. Son los casos de RakhniDecryptor y RanohDecryptor principalmente, acompañados de otras como TM Ransomware Decryptor de TrendMicro, válido para más de 20 familias.

NOMBRE AMENAZAEXTENSIONESINFORMACIÓN / FUENTE
.777*.777Emsisoft
.8lock8.8block8Explicaciones del foro
7ev3n.R4A

.R5A

Github (Hasherezade)
7even-HONE$T(Nº secuencial).R4A o R5AAnálisis del ransomware
Agent.iihKaspersky / Tutorial
Alcatraz *.AlcatrazAvast
Alma Añade 5 caracteres aleatorios al final del archivo y un ID de víctima único de 8PhishLabs / Tutorial
Al-Namrood*.unavailable, *.disappearedEmsisoft
Alpha*.binBleeping Computer
AlphaLocker*.encryptBleeping Computer
Apocalypse *.encrypted, *.FuckYourData, *.Encryptedfile, *.SecureCryptedAVG / Avast
ApocalypseVM*.encrypted, *.FuckYourData, *.Encryptedfile, *.SecureCrypted *.lockedHerramienta alternativa
Aura Kaspersky / Tutorial
AutoIt {Nombre_original}@<mail server>_.<caracteres_aleatorios>.Kaspersky / Tutorial
Autolocky*.lockyEmsisoft / TrendMicro
AutoLT“<nombre_original>@<mail server>_.<caracteres_aleatorios>”Kaspersky / Tutorial
Aw3s0m3Sc0t7.enc
BadblockNo cambia (mirar la “ransom note”)Herramienta alternativa
BarRaxTutorial
Bart *.bart.zipHerramienta alternativa
BitCryptor (Coinvault)*.clfBleeping Computer (Demonslay)
BitStak*.bitstakBleeping Computer (Demonslay)
Cerber{10 caract. aleatorios}.cerberKaspersky / Tutorial
Cerber v1{10 caract. aleatorios}.cerberTrendMicro / Tutorial
Cerber v2/v3.cerber2 / .cerber3 / aleatorio
Chimera{Nombre_original}.cryptAlternativa 1 / Alternativa 2 / Tutorial
CoinVaultTrojan-Ransom.Win32.Crypmodadv.cjKaspersky / Tutorial
Cryaki.{CRYPTENDBLACKDC}

Infectado con Trojan-Ransom.Win32.Crybola

Kaspersky / Tutorial
CrybolaInfectado con Trojan-Ransom.Win32.CrybolaKaspersky / Tutorial
CrypBoss *.crypt, *.R16M01D0Emsisoft
Crypren .ENCRYPTEDGithub
Crypt38 .crypt38Fortinet
Crypt888 (Mirkop)Añade “Lock.” al comienzoHerramienta alternativa
CryptInfinite*.CRINFEmsisoft
CryptONañade _crypt al nombre,

 

.id-_locked_by_krec

.id-_locked_by_perfect

.id-_x3m

.id-_r9oj

.id-_garryweber@protonmail.ch

.id-_steaveiwalker@india.com_

.id-_julia.crown@india.com_

.id-_tom.cruz@india.com_

.id-_CarlosBoltehero@india.com_

.id-_maria.lopez1@india.com_

Emsisoft / Tutorial
CryptoDefense Se auto-identifica y deja nota “HOW_DECRYPT.txt”Emsisoft
Cryptolocker (inactivo)*.encrypted, *.cryptolockerFireEye y FoxIT
CryptoHostInformación
CryptokluchenKaspersky / Tutorial
CryptoMix / CryptoShield*.CRYPTOSHIELD, *.rdmk, *.lesli, *.scl, *.code, *.rmd *.rsclDesencriptado mediante clave offline
CryptoTorLocker .CryptoTorLocker2015!Información
CryptXXX v1-v3{nombre_original}.crypt, cryp1, crypz o 5 caract. hexadecimales

Infectado por Trojan-Ransom.Win32.CryptXXX

TrendMicro / Información
CryptXXX v4-v5{MD5 Hash}.5 caracteres hexadecimalesTrendMicro
CrySIS.johnycryptor@hackermail.com.xtbl

.ecovector2@aol.com.xtbl

.systemdown@india.com.xtbl

.Vegclass@aol.com.xtbl

..{milarepa.lotos@aol.com}.CrySiS

.{Greg_blood@india.com}.xtbl

.{savepanda@india.com}.xtbl

.{arzamass7@163.com}.xtbl

Kaspersky / Información
CTB-Locker.ctbl
CuteRansomware.encryptedGithub
DamageEmsisoft / Tutorial
Dharma.dharma

.wallet

.zzzzz

Kaspersky / Tutorial
DeCrypt Protect.htmlInformación
DeriaLockCheckPoint / Tutorial
Democry*._fecha_hora _$address@domain$.777 o *._fecha_hora _$address@domain$.legionKaspersky / Tutorial
DMA LockerEl ID es DMALOCK 41:55:16:13:51:76:67:99Emsisoft
DMA2 Locker El ID es DMALOCK 43:41:90:35:25:13:61:92Emsisoft
DynACrypt.cryptBleeping Computer
Fabiansomware*.encryptedEmsisoft
FenixLocker*.centrumfr@india.com!!Emsisoft / Tutorial
FuryInfectado con Trojan-Ransom.Win32.FuryKaspersky / Tutorial
GhostCrypt.Z81928819Bleeping Computer
Globe v1*.ACRYPT, *.GSupport[0-9], *.blackblock, *.dll555, *.duhust, *.exploit, *.frozen, *.globe, *.gsupport,Emsisoft / Tutorial / Alternativa
Globe2 / Globe v2*.raid10, *.blt, *.globe, *.encrypted,*[mia.kokers@aol.com] / {Original file name}.{email address + random characters}Tutorial
Globe3 / Globe v3*.decrypt2017, *.hnumkhotep / sin extensión determinada o nombre cifradoEmsisoft / Tutorial
GlobeImposter*.cryptTutorial
Gomasom*.cryptEmsisoft / Tutorial
Harasom*.html and note from Spamhaus or US Department of JusticeEmsisoft
HiddenTear*.locked, *.34xxx, *.bloccato, *.BUGSECCCC, *.Hollycrypt, *.lock, *.saeid, *.unlockit,Avast
HydraCrypt*.hyrdacrypt, *.umbrecrypt
Jigsaw / CryptoHitFUN, .KKK,  .GWS, .BTCAlternativa 1 / Alternativa 2 / Tutorial
KeRanger.encryptedDr Web
KeyBTCMirar ransom note “Decrypt_Your_Files.txt”Emsisoft
KimcilWare*.kimcilware

*.locked

Fortinet
LamerKaspersky / Tutorial
LeChiffre*.LeChiffreAlternativa
Legion*.[#s]$f_tactics@aol.com$.legionAVG
Linux.Encoder.1*.encrypted (?)Información / Tutorial
Linux.Encoder.3*.encrypted (?)Bitdefender / Tutorial
Lock ScreenTrendMicro
LockerBleeping Computer
Lortok*.crimeKaspersky / Tutorial
MarsJoke (Polyglot)Kaspersky / Tutorial
Manamecrypt (CryptoHost)Bleeping Computer
MircopLock.{Nombre_Original}AVG / Alternativa
Merry Christmas / MRCR*.PEGS1, *.MRCR1, *.RARE1, *.MERRY, *.RMCM1Emsisoft / Tutorial
NanolockerGithub
Nemucod*.cryptedTrendMicro / Alternativa
NMoreira*.maktub, *._AiraCropEncrypted!Emsisoft / Tutorial
NoobCryptZdZ8EcvP95ki6NWR2j o lsakhBVLIKAHgAvast
ODCODC*.odcodcBleeping Computer
Operation Global III*.exeBleeping Computer
OpenToYou*.-opentoyou@india.comEmsisoft
Ozozalocker *.lockedEmsisoft
PClockNo cambia; buscar “enc_files.txtEmsisoft
PetyaEncripta todo el discoAlternativa
Philadelphia*.lockedEmsisoft
PHP ransomwareCheckPoint / Tutorial
PizzaCryptsBleeping Computer
PletorKaspersky / Tutorial
Pompous / Skidlocker*.lockedBleeping Computer
PopcornEleven Paths / Tutorial
PowerWare / PoshCoder*.lockyGithub
Radamant.RDM

.RRK

.RAD

.RADAMANT

Emsisoft / Información
Rakhni ransomware*.locked, *.krakenKaspersky / Tutorial
Rannoh ransomwareSustituye nombres por “locked-<nombre_original> .<4_letras_aleatorias>”Kaspersky / Tutorial
Rector.vscrypt

.infected

.bloc

.korrektor

Kaspersky
RotorKaspersky / Tutorial
ScraperInfecta mediante Trojan-Ransom.BAT.ScatterHerramientas
Shade / Troldesh*.xtbl, *.ytbl, *.breaking_bad, *.heisenberg.Kaspersky / Alternativa
SNSLocker{Nombre_original}.RSNSLockedTrendMicro / Información
Stampado*.lockedTrendMicro / Alternativa
SZFlocker*.szfAVG / Avast
TeleCrypt{Nombre_archivo}TrendMicro /Información
TeslaCrypt v1{Nombre_archivo}.ECCTalos
Teslacrypt v2{Nombre_archivo}.VVV, CCC, ZZZ, AAA, ABC, XYZTrendMicro / Información
Teslacrypt v3.micro

.xxx


.ttt

.mp3

Tutorial / Alternativa
Teslacrypt v4.exx

.ezz

.ecc

.xxx

.ttt

.micro

.mp3

Tutorial / Alternativa
TorrentLocker*.encrypted, *.encBleeping Computer
Tycoon*.RedRumAnálisis / Emsisoft
Umbrecrypt.umbrecrypttmp_ID_[#s]

*.hydracrypt, *.umbrecrypt

Emsisoft / Información
Wildfire.wflxAlternativa / Tutorial
WannaCry / WannaCrypt*.wnry, *.wncryAnálisis / Herramientas
XORBAT{Nombre_original}.cryptedTrendMicro / Alternativa
XORIST  *.EnCiPhErEd, *.0JELvV, *.p5tkjw, *.6FKR8d, *.UslJ6m, *.n1wLp0, *.5vypSa, *.YNhlv1Emsisoft / Alternativa

Hay que señalar que no todas las herramientas para recuperación son igual de sencillas. Algunas no requieren apenas conocimientos de informática, mientras que otras herramientas / soluciones solo podrán ser puestas en marcha por usuarios avanzados.

Herramientas para descifrar ransomware según marcas

A continuación os dejo enlaces a las páginas de firmas de seguridad, siendo estás las que cuentan con más variantes soportadas, por si preferís utilizar alguna marca en concreto.

Como siempre, estoy atento a vuestros comentarios y sugerencias para ampliar o corregir la información de este artículo si es necesario 😉

Herramientas para detectar archivos infectados con ransomare

Guía para evitar ransomware

La siguiente guía de OWASP, desarrollada por hispanohablantes, te será de gran utilidad para conocer mejor a tu enemigo y aprender a protegerte y tomar medidas.

Descargar Guía para evitar ransomware

Herramientas antiransomware recomendadas

Es posible que ya lleguemos tarde (esta vez) pero te interesará saber que puedes protegerte de cara a futuros ataques por crypto-ransomware sin pagar un céntimo gracias a herramientas anti-ransomware que he analizado en esta web:

Alejandro Ver todo

Trabajo como consultor de ciberseguridad y me gusta lo que hago. Aficionado a la informática / tecnología en general, me gusta compartir con la gente lo poco que sé. También soy aficionado al deporte y los videojuegos.

202 comentarios sobre “Herramientas para recuperar archivos afectados por ransomware Deja un comentario

    • Buenas tardes Silvio, aún no tengo una herramienta para dicha operación de desencriptar los archivos que tengo de la misma forma encriptados por este ramsoware.
      En cuento tenga alguna herramienta estable para dicha operación te la comparto.

      Saludos.

      Me gusta

  1. Hola, tengo infectados los archivos con la extension .nile y el software emsisoft decryptor me dice Error: No key for New Variant online ID: Qz39V9cXbQHKmA1ehgcVoKbrBtg66S8DPx7eBpNh
    Notice: this ID appears to be an online ID, decryption is impossible
    Necesito ayuda por favor

    Me gusta

Responder a montxuCancelar Respuesta

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios .

A %d blogueros les gusta esto: