Herramientas para recuperar archivos afectados por ransomware
¿Qué harías si tu equipo es infectado por ransomware? Una mayoría seguro buscaría una alternativa para poder recuperar la salud de sus archivos, aunque una minoría «grande» se plantearía -e incluso estaría dispuesta- a pagar por recuperarlos, sobre todo si se trata de pequeños negocios o gente que trabaja por su cuenta y pierde documentación valiosa.
La decisión de pagar es errónea se mire por donde se mire, para empezar porque estamos legitimando la actividad de los delincuentes y porque además nada nos garantiza la recuperación de los activos.
Antes de echarnos a los brazos de quien nos ha infectado, es mejor echar mano de alguna de estas herramientas para desencriptar archivos afectados por ransomware, además de identificar en primera instancia la amenaza a la que nos enfrentamos, porque existe un número cercano al infinito de variantes.
El ransomware crece, su calidad no
Parece mentira pero, salvo en contados casos, a pesar de la importancia que los ciberdelincuentes le dan al cifrado de archivos ajenos para ganar dinero, el código malicioso del ransomware está decreciendo paulatinamente. Esto está dando pie a que los expertos tengan mayores opciones de romper antes el código y permitir la recuperación.
A su vez, el ransomware «low cost» tiene un peligro inesperado para el usuario: al poder contener más errores de funcionamiento, también es más elevado el riesgo de que nuestros datos se echen a perder para siempre.
Deberías haber tenido un plan anti-ransomware en marcha -empezando este por una política de copias de seguridad- pero es posible que si has llegado aquí ya sea tarde.
Identificar el ransomware que nos ha infectado
Cuando tenemos que identificar qué variante de ransomware nos ha infectado, suelen aparecer dos problemas. El primero es que, mientras algunas muestras dejan claros signos de su nombre en forma de «ransom notes» no todos ofrecen esta información, así que nos tocará buscar otra vía. El segundo problema que puede darse es que la información de la nota no sea fiable, pretendiendo este cryptoware ser otro diferente para confundirnos.
Como norma, os recomiendo que SIEMPRE realicéis un escaneo con una de las siguientes dos herramientas, remitiendo una muestra de un archivo afectado para su identificación:
Además de la lista que encontraréis a continuación (la iré actualizando si encuentro nuevas herramientas relevantes) os aconsejo siempre investigar un poco acerca de los detalles de vuestro caso en páginas especializadas en desinfección de ransomware, como Bleeping Computer o Wilders Security Forums.
Herramientas para recuperar archivos afectados por ransomware
Como pronto comprobaréis, algunas de estas herramientas son válidas para desencriptar múltiples familias de ransomware, aunque no es lo habitual. Son los casos de RakhniDecryptor y RanohDecryptor principalmente, acompañados de otras como TM Ransomware Decryptor de TrendMicro, válido para más de 20 familias.
| NOMBRE AMENAZA | EXTENSIONES | INFORMACIÓN / FUENTE |
| .777 | *.777 | Emsisoft |
| .8lock8 | .8block8 | Explicaciones del foro |
| 7ev3n | .R4A
.R5A | Github (Hasherezade) |
| 7even-HONE$T | (Nº secuencial).R4A o R5A | Análisis del ransomware |
| Agent.iih | Kaspersky / Tutorial | |
| Alcatraz | *.Alcatraz | Avast |
| Alma | Añade 5 caracteres aleatorios al final del archivo y un ID de víctima único de 8 | PhishLabs / Tutorial |
| Al-Namrood | *.unavailable, *.disappeared | Emsisoft |
| Alpha | *.bin | Bleeping Computer |
| AlphaLocker | *.encrypt | Bleeping Computer |
| Apocalypse | *.encrypted, *.FuckYourData, *.Encryptedfile, *.SecureCrypted | AVG / Avast |
| ApocalypseVM | *.encrypted, *.FuckYourData, *.Encryptedfile, *.SecureCrypted *.locked | Herramienta alternativa |
| Aura | Kaspersky / Tutorial | |
| AutoIt | {Nombre_original}@<mail server>_.<caracteres_aleatorios>. | Kaspersky / Tutorial |
| Autolocky | *.locky | Emsisoft / TrendMicro |
| AutoLT | «<nombre_original>@<mail server>_.<caracteres_aleatorios>» | Kaspersky / Tutorial |
| Aw3s0m3Sc0t7 | .enc | |
| Badblock | No cambia (mirar la “ransom note”) | Herramienta alternativa |
| BarRax | Tutorial | |
| Bart | *.bart.zip | Herramienta alternativa |
| BitCryptor (Coinvault) | *.clf | Bleeping Computer (Demonslay) |
| BitStak | *.bitstak | Bleeping Computer (Demonslay) |
| Cerber | {10 caract. aleatorios}.cerber | Kaspersky / Tutorial |
| Cerber v1 | {10 caract. aleatorios}.cerber | TrendMicro / Tutorial |
| Cerber v2/v3 | .cerber2 / .cerber3 / aleatorio | |
| Chimera | {Nombre_original}.crypt | Alternativa 1 / Alternativa 2 / Tutorial |
| CoinVault | Trojan-Ransom.Win32.Crypmodadv.cj | Kaspersky / Tutorial |
| Cryaki | .{CRYPTENDBLACKDC}
Infectado con Trojan-Ransom.Win32.Crybola | Kaspersky / Tutorial |
| Crybola | Infectado con Trojan-Ransom.Win32.Crybola | Kaspersky / Tutorial |
| CrypBoss | *.crypt, *.R16M01D0 | Emsisoft |
| Crypren | .ENCRYPTED | Github |
| Crypt38 | .crypt38 | Fortinet |
| Crypt888 (Mirkop) | Añade “Lock.” al comienzo | Herramienta alternativa |
| CryptInfinite | *.CRINF | Emsisoft |
| CryptON | añade _crypt al nombre,
.id-_locked_by_krec .id-_locked_by_perfect .id-_x3m .id-_r9oj .id-_garryweber@protonmail.ch .id-_steaveiwalker@india.com_ .id-_julia.crown@india.com_ .id-_tom.cruz@india.com_ .id-_CarlosBoltehero@india.com_ .id-_maria.lopez1@india.com_ | Emsisoft / Tutorial |
| CryptoDefense | Se auto-identifica y deja nota “HOW_DECRYPT.txt” | Emsisoft |
| Cryptolocker (inactivo) | *.encrypted, *.cryptolocker | FireEye y FoxIT |
| CryptoHost | Información | |
| Cryptokluchen | Kaspersky / Tutorial | |
| CryptoMix / CryptoShield | *.CRYPTOSHIELD, *.rdmk, *.lesli, *.scl, *.code, *.rmd *.rscl | Desencriptado mediante clave offline |
| CryptoTorLocker | .CryptoTorLocker2015! | Información |
| CryptXXX v1-v3 | {nombre_original}.crypt, cryp1, crypz o 5 caract. hexadecimales
Infectado por Trojan-Ransom.Win32.CryptXXX | TrendMicro / Información |
| CryptXXX v4-v5 | {MD5 Hash}.5 caracteres hexadecimales | TrendMicro |
| CrySIS | .johnycryptor@hackermail.com.xtbl
.ecovector2@aol.com.xtbl .systemdown@india.com.xtbl .Vegclass@aol.com.xtbl ..{milarepa.lotos@aol.com}.CrySiS .{Greg_blood@india.com}.xtbl .{savepanda@india.com}.xtbl .{arzamass7@163.com}.xtbl | Kaspersky / Información |
| CTB-Locker | .ctbl | |
| CuteRansomware | .encrypted | Github |
| Damage | Emsisoft / Tutorial | |
| Dharma | .dharma
.wallet .zzzzz | Kaspersky / Tutorial |
| DeCrypt Protect | .html | Información |
| DeriaLock | CheckPoint / Tutorial | |
| Democry | *._fecha_hora _$address@domain$.777 o *._fecha_hora _$address@domain$.legion | Kaspersky / Tutorial |
| DMA Locker | El ID es DMALOCK 41:55:16:13:51:76:67:99 | Emsisoft |
| DMA2 Locker | El ID es DMALOCK 43:41:90:35:25:13:61:92 | Emsisoft |
| DynACrypt | .crypt | Bleeping Computer |
| Fabiansomware | *.encrypted | Emsisoft |
| FenixLocker | *.centrumfr@india.com!! | Emsisoft / Tutorial |
| Fury | Infectado con Trojan-Ransom.Win32.Fury | Kaspersky / Tutorial |
| GhostCrypt | .Z81928819 | Bleeping Computer |
| Globe v1 | *.ACRYPT, *.GSupport[0-9], *.blackblock, *.dll555, *.duhust, *.exploit, *.frozen, *.globe, *.gsupport, | Emsisoft / Tutorial / Alternativa |
| Globe2 / Globe v2 | *.raid10, *.blt, *.globe, *.encrypted,*[mia.kokers@aol.com] / {Original file name}.{email address + random characters} | Tutorial |
| Globe3 / Globe v3 | *.decrypt2017, *.hnumkhotep / sin extensión determinada o nombre cifrado | Emsisoft / Tutorial |
| GlobeImposter | *.crypt | Tutorial |
| Gomasom | *.crypt | Emsisoft / Tutorial |
| Harasom | *.html and note from Spamhaus or US Department of Justice | Emsisoft |
| HiddenTear | *.locked, *.34xxx, *.bloccato, *.BUGSECCCC, *.Hollycrypt, *.lock, *.saeid, *.unlockit, | Avast |
| HydraCrypt | *.hyrdacrypt, *.umbrecrypt | |
| Jigsaw / CryptoHit | FUN, .KKK, .GWS, .BTC | Alternativa 1 / Alternativa 2 / Tutorial |
| KeRanger | .encrypted | Dr Web |
| KeyBTC | Mirar ransom note «Decrypt_Your_Files.txt” | Emsisoft |
| KimcilWare | *.kimcilware
*.locked | Fortinet |
| Lamer | Kaspersky / Tutorial | |
| LeChiffre | *.LeChiffre | Alternativa |
| Legion | *.[#s]$f_tactics@aol.com$.legion | AVG |
| Linux.Encoder.1 | *.encrypted (?) | Información / Tutorial |
| Linux.Encoder.3 | *.encrypted (?) | Bitdefender / Tutorial |
| Lock Screen | TrendMicro | |
| Locker | Bleeping Computer | |
| Lortok | *.crime | Kaspersky / Tutorial |
| MarsJoke (Polyglot) | Kaspersky / Tutorial | |
| Manamecrypt (CryptoHost) | Bleeping Computer | |
| Mircop | Lock.{Nombre_Original} | AVG / Alternativa |
| Merry Christmas / MRCR | *.PEGS1, *.MRCR1, *.RARE1, *.MERRY, *.RMCM1 | Emsisoft / Tutorial |
| Nanolocker | Github | |
| Nemucod | *.crypted | TrendMicro / Alternativa |
| NMoreira | *.maktub, *._AiraCropEncrypted! | Emsisoft / Tutorial |
| NoobCrypt | ZdZ8EcvP95ki6NWR2j o lsakhBVLIKAHg | Avast |
| ODCODC | *.odcodc | Bleeping Computer |
| Operation Global III | *.exe | Bleeping Computer |
| OpenToYou | *.-opentoyou@india.com | Emsisoft |
| Ozozalocker | *.locked | Emsisoft |
| PClock | No cambia; buscar “enc_files.txt” | Emsisoft |
| Petya | Encripta todo el disco | Alternativa |
| Philadelphia | *.locked | Emsisoft |
| PHP ransomware | CheckPoint / Tutorial | |
| PizzaCrypts | Bleeping Computer | |
| Pletor | Kaspersky / Tutorial | |
| Pompous / Skidlocker | *.locked | Bleeping Computer |
| Popcorn | Eleven Paths / Tutorial | |
| PowerWare / PoshCoder | *.locky | Github |
| Radamant | .RDM
.RRK .RAD .RADAMANT | Emsisoft / Información |
| Rakhni ransomware | *.locked, *.kraken | Kaspersky / Tutorial |
| Rannoh ransomware | Sustituye nombres por «locked-<nombre_original> .<4_letras_aleatorias>» | Kaspersky / Tutorial |
| Rector | .vscrypt
.infected .bloc .korrektor | Kaspersky |
| Rotor | Kaspersky / Tutorial | |
| Scraper | Infecta mediante Trojan-Ransom.BAT.Scatter | Herramientas |
| Shade / Troldesh | *.xtbl, *.ytbl, *.breaking_bad, *.heisenberg. | Kaspersky / Alternativa |
| SNSLocker | {Nombre_original}.RSNSLocked | TrendMicro / Información |
| Stampado | *.locked | TrendMicro / Alternativa |
| SZFlocker | *.szf | AVG / Avast |
| TeleCrypt | {Nombre_archivo} | TrendMicro /Información |
| TeslaCrypt v1 | {Nombre_archivo}.ECC | Talos |
| Teslacrypt v2 | {Nombre_archivo}.VVV, CCC, ZZZ, AAA, ABC, XYZ | TrendMicro / Información |
| Teslacrypt v3 | .micro .xxx .ttt .mp3 | Tutorial / Alternativa |
| Teslacrypt v4 | .exx
.ezz .ecc .xxx .ttt .micro .mp3 | Tutorial / Alternativa |
| TorrentLocker | *.encrypted, *.enc | Bleeping Computer |
| Tycoon | *.RedRum | Análisis / Emsisoft |
| Umbrecrypt | .umbrecrypttmp_ID_[#s]
*.hydracrypt, *.umbrecrypt | Emsisoft / Información |
| Wildfire | .wflx | Alternativa / Tutorial |
| WannaCry / WannaCrypt | *.wnry, *.wncry | Análisis / Herramientas |
| XORBAT | {Nombre_original}.crypted | TrendMicro / Alternativa |
| XORIST | *.EnCiPhErEd, *.0JELvV, *.p5tkjw, *.6FKR8d, *.UslJ6m, *.n1wLp0, *.5vypSa, *.YNhlv1 | Emsisoft / Alternativa |
Hay que señalar que no todas las herramientas para recuperación son igual de sencillas. Algunas no requieren apenas conocimientos de informática, mientras que otras herramientas / soluciones solo podrán ser puestas en marcha por usuarios avanzados.
Herramientas para descifrar ransomware según marcas
A continuación os dejo enlaces a las páginas de firmas de seguridad, siendo estás las que cuentan con más variantes soportadas, por si preferís utilizar alguna marca en concreto.
- Avast: 16 variantes soportadas
- AVG: 7 variantes soportadas
- Emsisoft: 36 variantes soportadas
- Kaspersky: 28 variantes soportadas
Como siempre, estoy atento a vuestros comentarios y sugerencias para ampliar o corregir la información de este artículo si es necesario 😉
Herramientas para detectar archivos infectados con ransomare
Guía para evitar ransomware
La siguiente guía de OWASP, desarrollada por hispanohablantes, te será de gran utilidad para conocer mejor a tu enemigo y aprender a protegerte y tomar medidas.
Herramientas antiransomware recomendadas
Es posible que ya lleguemos tarde (esta vez) pero te interesará saber que puedes protegerte de cara a futuros ataques por crypto-ransomware sin pagar un céntimo gracias a herramientas anti-ransomware que he analizado en esta web:
Categories
deweloper View All
Trabajo como consultor de ciberseguridad y me gusta lo que hago. Aficionado a la informática / tecnología en general, me gusta compartir con la gente lo poco que sé. También soy aficionado al deporte y los videojuegos.
muy interesante y un buena buena recopilacion de soluciones, gracias por el post pero es una pena no encontrar como desencriptar los archivos con extensión happydayzzz, hace 1 mes me trajeron una laptop con un rason ware que encriptaba con esa extensión
Buenas y gracias por venir. Verás, parece ser que la extensión happydayz pertenece a la misma familia que Globe3, prueba con esa herramienta.
También puedes descargar esta alternativa de QuickHeal: http://www.quickheal.com/free-ransomware-decryption-tool/
Un saludo
Estimado Alejandro sabes cual me pueda servir para email-BM-2cSz97HV6KCdk8k41bGGmabXF1yBXUZmji@bitmessage.ch.ver-CL 1.3.1.0.id-VWWXYZABBCDEFFGGHIJKKLMNOOPQQRSTTUVW-5@26@2017 2@11@47 AM2698929@@@@@B686-6815.randomname-DEFGHIJKKMNOPPQRSTTUWXXYZABCCD.FGG
Hola Samuel. Cuando tenga un rato intento averiguar algo porque parece desconocido. Saludos
yo lo tengo infectado con la extension *.jpg.oyocvnf tengo solución???
Hola Manuel, te aconsejo que sigas el primer paso de la guía. Accede a Cryptosheriff o IDRansomware y proporciona la información necesaria: uno o varios archivos afectados y/o ransom notes. Saludos.
pues nada de momento sin solución, juasss
Hola. Sabes si tenías habilitadas las shadow copies?
No no estaba habilitada
Por lo que veo hay variantes de ransomware que añande simplemente varios caracteres aleatorios al final de un archivo, sin incorporar otros identificadores:
SamSam (sin remedio por el momento)
Vandev / Xorist: https://success.trendmicro.com/solution/1114221
Es posible que se trate de alguno de ellos. Te recomiendo, en caso de no tenerlo claro, abrir un hilo en Bleepingcomputer.com para que te ayuden.
Saludos!
Hola a todos tengo mis archivos con la extension .94f0 que alternativas de solucion me dan por favor
Buenos días, Espero que estén bien, saben si Cerber Error! es igual o perteneciente a la familia de Cerber o Cerber V2/V3?? por otro lado, tenia habilitado shadow copies en toda mi data, el problema es que el impacto fue tal que me ha encriptado incluso archivos del sistema y ante una falla mi server no iniciapor su sistema operativo, aun cuando estaba activo no tenia acceso con las credenciales de administrador (es windows server 2008). Sin embargo, he logrado tener acceso booteando con Kali linux y puedo ver tanto la info del disco de datos como eld e sistema operativo.
Alguna idea?
Muchas gracias
Hola Jonas, parece que me perdí tu mensaje y no te respondí a tiempo, disculpa. Con ShadowExplorer por ejemplo es posible recuperar las shadow copies sin mucho esfuerzo. Espero que todo saliera bien. Saludos.
hola amigo yo tengo problema con archivos de videos musica y documentos con ransomed@india.com y no me deja abrirlos para ver como recuperar los archivos gracias
buenos días Mario, ¿has puesto en práctica los pasos para reconocer el tipo de rnasomware que te afecta?
Saludos.
No lo he hecho es que archivos de musica esta mp3.ransomed@india.com
Hola a todos
Tengo con extenciones «.id-C4B7EA68.[recfile@protonmail.com].cobra» todo mi servidor, no se si alguien sepa como poder desencriptar, espero sus comentarios, saludos!
Hola Emmanuel
Existe un ransomware denominado cobra que podría haber afectado tu equipo en este caso, sin embargo para estar más seguros lo que te recomiendo es leer los siguientes artículos y usar una de las herramientas (o las dos) para determinar si es un tipo conocido y cual. Ten a mano la «ransom note» o aviso que dejan en el equipo, o bien dos copias de un archivo, una sin afectar y la otra encriptada.
https://protegermipc.net/2017/05/01/identificar-ransomware-crypto-sheriff/
https://protegermipc.net/2016/04/15/como-saber-con-que-ransomware-estoy-infectado-id-ransomware/
Saludos.
Buenos dias tengo archivos con este nombre , podre tener solucion? GES076.jpg.crypted_yoshikada@cock_lu
su ayuda por favor
Buenas,
¿Has probado alguna de las herramientas de diagnóstico como ID Ransomware o Cryptosheriff? Intenta primero identificar ahi la muestra.
Saludos
Hola para ver quien me puede apoyar tengo todo el servidor encriptado no deja abrir nada de programas ni explorador de archivos, despues de varias checadas logra que dejara ver el explorador de archivos nada mas, todos los archivos estan con esta terminacion .id-44583812.[support0n@cock.li].java si alguien me puede apoyar parece ser de dharma .cezar pero las herramientas que consegui que tratan eso no hacen nada, esta raro porque no hay avisos no hay programas sospechosos. si alguien me puede sabe algo o alguna herramienta
Buenas, lo primero, ¿has realizado una prueba con las ransom notes o archivos en:
Crypto Sheriff:
https://protegermipc.net/2017/05/01/identificar-ransomware-crypto-sheriff/
O bien:
ID Ransomware:
https://protegermipc.net/2016/04/15/como-saber-con-que-ransomware-estoy-infectado-id-ransomware/
Dime qué resultado has obtenido con las mismas.
Saludos
Hola si ya realize las pruebas en ambos solo en el id ransomware me sale la infor que esta basado en dharma .cezar pero no hay herramientas para desencriptar solo realize respaldo de la informacion y que tenga esparanza en el futuru que salga algo, tengo copia de toda la informacion. haber si sale algo que pueda ayudar, encontre un programa el redimage que se supone que ayuda a elimar el virus y quitar a los archivos el .java para despues usar el desencriptador. la maquina es windows server 2008 no funciona el programa, entonces para hacer la prueba pase varios archivos a otra computadora y corri el programa pero detecta esos archvos que estan bien, entonces no funciona nada hasta ahorita probe varios progrmas en la maquina dice que esta bien los archivos. probe el zamora, malware anti, superantispayware, lo que proporciona kaspersky para desencriptar el dharma nada de nada hasta el momento. tengo los archivos si quieren hacer pruebas o ayuden como desencriptar me avisan
Hola Hector, lamento oir eso 🙁
Pásame algún archivo y ransom notes en distintos formatos e intento mirarlo.
Saludos.
A mí me pasó lo mismo que Héctor y no logro nada! Si encuentran solución…
Mismos síntomas?
Si, lo mismo! Creo que hasta mismo día!
Saludos, Tengo el mismo ramsonware de Hector y Dolores. En el caso mio el email del Hacker es varvar2018@aol.com todos los archivos estan encriptados en *.java y ningun desencriptador me ha funcionado. El spyhunter me removio el virus ramson y decia que era el Crysis, pero los archivo siguen encriptados. Algunos programas decian que es el Glove. Tambien pudo entrar a los backups del servidor y los encripto.
Hola Jonathan, he visto referencias al ransomware Dharma para esta extensión, prueba a utilizar la herramienta Rakhni de Kaspersky. Más información en https://www.nomoreransom.org/uploads/RakhniDecryptor_how-to_guide.pdf
Alejandro nada me ha funcionado. Como te puedo enviar un archivo para que lo verifiques?
Buenas Jonathan,
Envíame a 267a462e@opayq.com los archivos.
Saludos.
Alejandro te envie el archivo.
Hola Jonathan, lo tengo. En cuanto pueda te digo. Saludos
Hola, tengo el mismo problema de Hector, dolores y Jonathan, la herramienta Rakhni de Kaspersky tampoco funciona… absolutamente nada ha funcionado. aplioquè una herramienta que se llama spyHunter pero solo eliminó el virus, las carpetas y archivos aun están encriptados de modo que hasta los servicios de windows y muchos preogramas se vieron afectados… ojalá alguien tenga una solucion. Dios les bendiga.
Hola Moisés. Es una lastima, la verdad es que no te puedo decir mucho más salvo que me envíes las ransom notes o archivos afectados. Saludos.
me podrias facilitar el correo donde quieres que te mande un archivo encriptado ?
Hola Alejandro, mi pregunta es la siguiente, tu todavia estas ayudando a tratar de recuperar archivos que están encriptados con cerber 3? des de ya agradeceré tu respuesta. te dejo mi mail por si me quieres responder saludos!!
Buenas Luis,
Hasta donde yo se no existe un una herramienta expresamente diseñada para recuperar archivos cifrados por Cerber v3.
La única forma de hacerlo es mediante las Shadow Copies de Windows (por ejemplo con Shadow Explorer) o bien haciendo un análisis Forense del disco: FTKImager, photorec, Minitool PDR, Forensic Explorer, etcétera.
Esto, aparte de los backups que entiendo que no tienes.
Me temo que no pueda ser de ayuda si se trata de Cerber v3, a no ser que quieras que te explique en relación a los pasos anterires.
De todas formas, ¿estás seguro de que es Cerver v3? Usa Cryptosheriff o ID Ransomware para verificarlo.
P.D: no deberías poner tu email públicamente en ninguna web. Te recomiendo usar en todo caso una herramienta de enmascarado como Abine Blur
Saludos!
P.D: he eliminado tu email del comentario.
Hola Alejandro
Tengo archivos con .locky y no consigo recuperarlos , podre tener solución?
Gracias
Un saludo
para .id-5c2dcd46.[return.data@qq.com].ARROW
Hola Claudia. Se trata del ransomware Arrow de la familia Dharma. Puedes intentar recuperar los archivos del ransomware con Rakhni Decryptor de Kaspersky: http://media.kaspersky.com/utilities/VirusUtilities/EN/RakhniDecryptor.zip
Saludos.
Buenas Alejandro, para la extensión .CRAB existe alguna solución?
Hola. Se trata de Gandcrab y podría ser la versión 2 o la versión 3 ya que ambas usan está extensión. Herramienta de desencriptacion: http://download.bitdefender.com/am/malware_removal/BDGandCrabDecryptTool.exe. También puedes intentarlo usando Shadow Explorer para buscar Shadow copies de tus archivos, o bien photorec o una herramienta similar para hacer un escaneo y recuperar los archivos huérfanos del disco.
Actualizare el listado tan pronto pueda para reflejar está muestra.
Saludos
hola alejandro me podrias ayudar con peekabooo@qq.com te agradeceria el concejo gracias
HOLA AMIGO POR FAVOR ME PUEDES AYUDAR TENGOS ARCHIVOS ENCRIPTADOS CON
ESTA EXTENSION ransomed@india
Hola Frank,
Es posible que se trate de alguno de estos 3 ransomware (en orden de probabilidad):
CryptON
Cry36
Damoclis Gladius
Utiliza la herramienta Everything que puedes descargar en: https://www.voidtools.com/es-es/descargas/ y busca el nombre de la ransom note «HOWTODECRYPTFILES». En el caso de CryptON (al menos) se crea una de estas notas en cada directorio del disco afectado.
No se en qué punto de la infección quedó tu equipo -si lo apagaste rápidamente o no- y por tanto si has perdido pocos, muchos o todos los archivos, pero lamento decirte que por el momento no hay ninguna manera de descifrar dicho ransomware. Aún así, te recomiendo utilizar alguno de los servicios para identificar ransomare que he citado al comienzo del artículo: ID-ransomware o CryptoSheriff. Envía tus archivos afectados o ransom notes para ver si te dan un diagnóstico diferente y así verificar que estamos hablando de la misma muestra.
P.D: usuarios afectados por CryptON reportaron en Bleeping Computer que al apagar el equipo (y por tanto detener la infección) antes de que el escritorio fuera bloqueado por el malware, era posible recuperar archivos escribiendo de nuevo la extensión original de los mismos (quitando el ransomed@india.com).
Saludos
hola tengo unos archivos encriptados que no puedo desencriptar con ninguna herramienta, ya que no tengo los archivos originales y la pc ya esta formateada, no puedo recuperarlos ya?
Hola Ignacio. Dependiendo del método utilizado para formatear podrás recuperar más o menos archivos. Seguro que puedes recuperar cosas, aunque los enlaces a nombres de archivo se habrán perdido y la tarea de identificación será ardua. Puedes utilizar Photorec, Minitool Data Recovery o alguna herramienta forense como Sleuthkit + Autopsy o SANS SIFT.
Saludos.
gracias por responder pero por ejemplo encontre una foto en internet que es la misma que esta en la pc y no puedo ya que encriptado el archivo pesa mas
Hola, la solución que te di es solamente para intentar recuperar los archivos en su estado actual, a la espera de quizá en un futuro encontrar una solución y poder recuperarlos, algo que no es seguro desde luego. ¿Sabes qué tipo de ransomware te afectó? Saludos.
hola en las paginas 2 paginas de identificacion me da distinta informacion, una me dice gomasom y la otra cryptoxxx
saludos
Según parece comparten la misma extensión. Si tienes ransom notes (archivos con instrucciones dejadas por el ransomware) te recomiendo que intentes subirlas a alguna de las páginas de identificación para averiguar el correcto. Saludos.
buenas Ale.. tengo un virus en un servidor.. que tiene el siguiente nombre y afecto recientemente y no encuentro alguna herramienta para desencriptar la informacion no se si me podrian ayudar !!
IASA2015_Data.mdf.id-5E48927C.[muracami@cock.li].arrow
Buenas Marcelo. Se trata del ransomware Arrow de la familia Dharma. Puedes intentar recuperar los archivos del ransomware con Rakhni Decryptor de Kaspersky: http://media.kaspersky.com/utilities/VirusUtilities/EN/RakhniDecryptor.zip
Saludos.
Hola: he sido infectado con el mismo virus. Tuvo solución en su caso?
Gracias
Hola yo conseguí una empresa que los descifran peroe querían cobrar más de 2.500 € por ello si lo necesitáis Diogo la empresa pero me parecía un robo
Un saludo
¿2500 € con alguna garantía o devolución si no recuperan los archivos? De todas formas me parece un poco abusivo. Saludos.
Perdieron entonces los datos? Cual era la empresa?
Buenas tardes.
Alejandro para la extencion KRAB existe alguna solucion para recuperar los archivos encriptados?
Gracias
Se trata de gandcrab v4. Dentro de la v4 hay varias versiones. Para la 4.2.1 han sacado un remedio: https://www.bleepingcomputer.com/news/security/vaccine-available-for-gandcrab-ransomware-v412/ además bitdefender publicó otro este año para otra versión anterior. Suerte 😉
Hola Alejandro, tenemos un virus en el ordenador que nos ha encriptado todos los ficheros. Nos podrías ayudar?
gracias,
Un saludo 🙂
Reviso y os cuento ya vi vuestro email. Saludos
Hola,
Intentaré explicarme lo mejor que pueda, porque mi nivel de informática es muy básico.
Hace unos años mi ordenador fue infectado por globe y globe3. Cuando ocurrió todavía no había ninguna herramienta para desencriptarlos, y guardé todos los archivos encriptados en un pen con la esperanza de que en el futuro se encontrase solución. Lo malo es que formateamos el ordenador reinstalando el sistema operativo ( y por supuesto no hicimos copia de seguridad), para eliminar todo rastro de virus.
Ahora veo que se necesitan los archivos sin encriptar (¿?) para poder solucionarlo, pero esos archivos ya no los tengo…
¿tengo que dar por perdidas todos los archivos?
Gracias
aun formateado el disco puedes recuperar los archivos que tenias en el.
con programas como recuva o stellar phenix , easus data recovery, etc
Lo intentaré a ver si lo consigo, muchas gracias! 😉
buen dia, tengo un problema grande ya que se consumió la gran mayoría de mis archivos y los encripto en un formato .KRAB, el problema es que no encuentro una buena aplicación que me ayude a recuperar los archivos infectados, por favor ayuda
Hola. Se trata de gandcrab v4. Dentro de la v4 hay varias versiones. Para la 4.2.1 han sacado un remedio: bleepingcomputer.com/news/security/vaccine-available-for-gandcrab-ransomware-v412/ además bitdefender publicó otro este año para otra versión anterior
Hola necesito ayuda como puedo Cómo eliminar GandCrab 3 ransomware y descifrar archivos .CRAB que quiero recuperar por fabor ayuda urgente gracias.
Buenas,
Hola. Se trata de Gandcrab y podría ser la versión 2 o la versión 3 (la v4 usa en principio .KRAB) ya que ambas usan está extensión. Herramienta de desencriptacion: BDGandCrabDecryptTool.exe (disponible a través de la empresa Bitdefender). También puedes intentarlo usando Shadow Explorer para buscar Shadow copies de tus archivos, o bien photorec o una herramienta similar para hacer un escaneo y recuperar los archivos huérfanos del disco. Saludos.
https://www.youtube.com/watch?v=Jnb7buHFZpI
video en ingles….todos los pasos…mucha suerte con ese hp.
Gracias por la sugerencia 🙂
karpesky y trendmicro es basura, no sirven para desencriptar solo lo hacen para q los descargues y te hacen perder el tiempo llevo meses tratando de desesncriptar archivos buyftfybi.cerber
Hola Alejandro, tengo un rasamware con esta extencion (.ID-F2A604B9.bmrich.fan@aol.com.COMBO
Tenes alguna idea de esto ?
Gracias
Como puedes ver en este hilo de Bleeping computer, se trata de Dharma (CrySiS), un ransomware que emplea multitud de extensiones diferentes para cifrar. Saludos.
https://www.bleepingcomputer.com/forums/t/632389/dharma-ransomware-filenameemailwalletcesararena-support-topic/
Olvidé comentarm, como ya he dicho a otros usuarios, que no es posible descifrar los archivos a día de hoy. Puedes intentar restaurr Shadow Copies con Shadow Explorer o bien utilizar un software de recuperación como Recuva, aunque en principio no auguro suerte. Lo mejor es disponer de una copia de seguridad desde la que restaurar. Saludos.
hola, tengo el mismo problema he sido infectado por un virus y me ha dejado todos los ficheros en .java encriptados (conoceis alguna empresa que me pueda recuperar los ficheros)
gracuas
Buenas, El ransomware en cuestión parece ser Dharma (CrySiS). Los archivos en una de las últimas variantes se cifran con extensión .java.
En principio no existe un método para desencriptar los ficheros, salvo que tengas un backup a mano o bien utilices alguna herramienta forense de recuperación, así como ShadowExplorer para buscar versiones anteriores de tus archivos que pudieran permanecer intactas. Saludos.
Hola,
Necesitamos desencriptar archivos .GAMMA y no sabemos como y se ha comido una empresa entera… los informáticos de la empresa no me dan solución y tengo miles de archivos encriptados… Ayuda!
¿Habeis podido desencriptar archivos .GAMMA?
Gracias.
Nada, aún no hemos encontrado herramienta para poder desencriptar estos archivos… Por favor, si alguien sabe alguna que contacte conmigo, gracias!!
Hola existe alguna solucion para los CryptXXX v4? muchas gracias
Hola Esteban, parece ser que hace poco han publicado una herramienta de TrendMicro que permite recuperar archivos cifrados por CryptXXX v4. Merece la pena que lo intentes: https://success.trendmicro.com/solution/1114221-downloading-and-using-the-trend-micro-ransomware-file-decryptor
Buenas Alejandro:
Sabes si hay alguna forma de desencriptar ramsonware dharma en la actualidad? Llevo desde mayo queriendo recuperar datos y no hay forma.
Si, busca Rakhni Decryptor en la página NoRansom de Kaspersky. También hay una alternativa de TrendMicro: https://success.trendmicro.com/solution/1114221-downloading-and-using-the-trend-micro-ransomware-file-decryptor
Existe algo para los .GAMMA ??
Hola, de antemano gracias por su atencion y tiempo.
Indisciplinadamente me puse a navegar sin antivirus y me cojio un virus que esta bastante complejo. A todos los archivos ( fotos, videos, iso, rar, exe) les pone una extencion .UVHMDXSON y no me deja abrirlos, que hago por favor…
Buenas, utiliza alguno de los servicios indicados al comienzo del artículo para intentar en primer lugar identificar la muestra de ransowmare.
Hola Alejandro, me alegro mucho de ver a alguien que está ayudando a las personas en esta situación. En mi caso mi pc se infectó con el GandCrab V5.0.4, los archivos encriptados tienen extensión .faxbdgcveq. Estoy al tanto de la herramienta de BitDefender pero creo que sólo abarca hasta la versión V.5.0.3. Además, especifican no ejecutar una limpieza de la pc antes de usar el Decriptool porque necesitan al menos un archivo Ransom-note para extraer de ahí la clave para desencriptar mis archivos. Tampoco puedo hacer una restauración porque aparentemente el gandcrab elimino mis puntos de restauración. He probado muchas cosas y estoy bastante desesperado porque tengo muchas fotos y recuerdos familiares en la pc. Agradecería mucho tu ayuda
Buenos días. Se me ha encriptado un equipo y como no, también las copias de seguridad , ya que las hacía en un disco usb y ese día estaba insertado. Los ficheros tienen la terminación: 010001. ¿Hay alguna manera de poder recuperarlos? GRACIAS.
Hola, para empezar es necesario que remitas las ransom notes o archivos a uno de los servicios de identificación propuestos. Comenta resultados cuando lo hagas. Saludos.
Conoces algo sobre el de la extensión .infowait
Buenas me encontre asi con mi servidor con todos los archivos con esta extencion
SonnyFact_log.ldf.id-A23BF57F.[gumppp@protonmail.com]
y no se que hace
Hola, pues la verdad es que no he encontrado nada, será una extensión dinámica. Deberías empezar por seguir los pasos propuestos y enviar las ransom notes o archivos sanos/infectados a uno de los servicios propuestos: ID Ransomware, etc. Saludos.
Buenas tardes Alejandro, gracias por tu interés en apoyar a las victimas de este tipo de amenazas y hacer mas entendible la posibilidad de resolverse sin pagar. Me podrias apoyar indicándome si existe un descifrador para buydecrypt@qq.com o a que clasificación pertenece. Gracias de antemano.
Buenas,.. me han encriptado los archivos de datos con la extensión .sijdmv
¿Se conoce alguna solución para este tipo?
Buen dia Alejandro!! Me alegra saber que existes!! En mi caso es un:
Qweuirtksd Ransomware Support Topic (!!!ReadMeToDecrypt.txt)
He visto tu lista pero no se de que familia es este virus.
Me podras ayudar?? Mil gracias de antemano…
Hola. Mis archivos tiene la extensión .wlkdzyvj (ejemplo clasico documento.docx.wlkdzyvj)
Hay alguna solución para desencriptar??Gracias.
Existen varias familias de ransomware que utilizan extensiones generadas aleatoriamente para dificultar su identificación. Prueba los servicios ID ransomware o Cryptosheriff (mencionados al comienzo del artículo) para ver si consigues identificarlo. Si consigues cualquier dato de interés que haya quedado sobre el ransomware compártelo aquí. Gracias.
Saludos.
Lo identifico como GandCrab v4/v5. Use BDGandCrabDecryptTool pero no me funciono.
Hola Alejandro… hoy se infecto mi computadora todos los
Archivos con Extension kkhbukse y edxjayt.
Existe solución…. muchas gracias
hola algun decrypter para djvu me encripto todo y no puedo recuperar los archivos!!! 😦
se agardece.
Buenas noches;
Acabo de intentar recuperar fotos de un portátil antiguo q abandone por un virus de este tipo. A mí me los ha convertido en extensión jpg.tpdgmzm, me podéis orientar si puedo y como recuperarlos?
Muchas gracias.
Alejandro , me puedes ayudar , llevo 2 años buscando reparar unos archivos que se dañaron por spora ransomware, me puedes ayudar? son fotos de mi luna de miel.
Saludos algun decrypter para djvur me encripto y no puedo recuperar los archivos, espero puedan ayudarme.
se les agardece.
Hola si tuvieras alguna noticia de lo mismo tambien por favor escribeme… me pasó lo mismo. pervera7@hotmail.com
Hola Jorge, siento la demora en responderte. Se trata de STOP-Djvu. Es una extensión añadida recientemente al ransomware STOP. Actualmente no hay método de recuperación, pero guarda los datos en lugar seguro por si en el futuro hubiera buenas noticias, suponiendo que sean de gran valor para tí.
Asegúrate de eliminar el malware antes de continuar usando el equipo (o tanto mejor, formatea a bajo nivel y reinstala el sistema).
Ubicaciones típicas de archivos infectados y DLLs:
%SystemDrive%\ (C:\)
%SystemRoot%\ (C:\Windows, %WinDir%\)
%UserProfile%\
%UserProfile%\AppData\Roaming\
%AppData%\
%LocalAppData%\
%ProgramData%\ / %AllUserProfile%\
%Temp%\ / %AppData%\Local\Temp\
Comprueba además los registros del antivirus para saber si detectó o bloqueó algo.
No olvides buscar en este artículo o en la web acerca de los mejores antiransomware.
Saludos.
Aquí encontré una para la extensión djvur… decrypt_tools_ro:eH2en9TUOI@data14.kaspersky-labs.com/RakhniDecryptor/1.21.27.0/RakhniDecryptor.zip Pero no funciona para todas las extensiones, si encuentras alguno escribeme por favor: pervera7@hotmail.com
El enlace está caído Iván. De todas formas gracias por colaborar.
Actualmente no existe ningún método demostrado para recuperar los archivos, pero hay que mantener la esperanza de que los buenos ganen, pues sigue en estudio. Te dejo un enlace de Bleeping Computer (los mejores referentes de la red para estos temas) donde puedes mantenerte al día de los progresos: https://www.bleepingcomputer.com/forums/t/688201/djvu-ransomware/
Saludos!
Hola Alejandro y Feliz año nuevo para todos!!! Estoy en busca de solución para ficheros .adobe. Ayuda por favor!
Aun no me podido descifrar el Qweuirtksd Ransomware Support Topic (!!!ReadMeToDecrypt.txt)
😦
Hola Sol.
No hay por desgracia ninguna novedad referente a este ransomware. De momento habrá que esperar por si se consigue la clave privada para descifrar los archivos.
¿Te han afectado solo unidades de disco locales o también unidades de red?
De cara al futuro recuerda que es muy importante contar con backups y protección específica antiransom a ser posible.
Saludos.
hola sabes como poder recuperar la información o si es posible poderla recuperar de los archivos con esta extension? qweuirtksd me gustaría que alguno pudiera darme una solución factible, muchas gracias
Hola Xavier, disculpa la demora.
¿Se parece la ransom note a esta? https://2.bp.blogspot.com/-jjbDN-wF5OQ/W70B2BppoqI/AAAAAAAAMNA/UtppFXdw3L0yEa65vV1D9CjO0jsRpbRiwCLcBGAs/s1600/note-3-10-18.png
En cualquier caso, intenta reconocer el ransomware a través de uno de estos programas web:
https://id-ransomware.malwarehunterteam.com/index.php?lang=es_ES
https://www.nomoreransom.org/crypto-sheriff.php?lang=es
Dichas herramientas aparecen listadas en el artículo y siempre es el punto de partida para trabajar sobre el ransomware.
Buenos días, me alegra que aca puedan ayudar a las personas con problemas de ransomware, en diciembre de 2018 mis archivos se infectaron con ramsomware writeme, alguna solución o alguna variante a la que pertenezca, para probar. Ayuda porfavor.
ha salido algo para los archivos infectados con la extesion djvar
Hola Pablo, siento la demora en responderte. Se trata de STOP-Djvu. Es una extensión añadida recientemente al ransomware STOP. Actualmente no hay método de recuperación, pero guarda los datos en lugar seguro por si en el futuro hubiera buenas noticias, suponiendo que sean de gran valor para tí.
Asegúrate de eliminar el malware antes de continuar usando el equipo (o tanto mejor, formatea a bajo nivel y reinstala el sistema).
Ubicaciones típicas de archivos infectados y DLLs:
%SystemDrive%\ (C:\)
%SystemRoot%\ (C:\Windows, %WinDir%\)
%UserProfile%\
%UserProfile%\AppData\Roaming\
%AppData%\
%LocalAppData%\
%ProgramData%\ / %AllUserProfile%\
%Temp%\ / %AppData%\Local\Temp\
Comprueba además los registros del antivirus para saber si detectó o bloqueó algo.
No olvides buscar en este artículo o en la web acerca de los mejores antiransomware.
Saludos.
hola que tal? recientemente he sido infectado por un ransomeware ue me ha cifrado los archivos con la extension .pdff lo primero que hice por ignorancia fue reinstalar windows con eliminacion completa de archivos, pero despues me he dado cuenta qu incluso los archivos almacenados en mi OneDrive en la nube han sido infectados y no se como recuperarlos. NECESITO AYUDA PORFAVOR
PD: segun lo que he podido ver en la red parece ser que es un nuevo tipo de ransomeware
Hola Damon, se trata de una variante reciente del ransomware STOP, para el que no hay todavía una cura que permita recuperar los archivos.
Los archivos de tu nube se han infectado porque tienes habilitada la sincronización en tiempo real con el pc mediante una carpeta compartida con la nube a tal efecto.
Lo primero que deberías hacer es encontrar todos los archivos cifrados por este ransomware utilizando la herramienta descrita en: https://protegermipc.net/2018/08/08/cryptosearch-permite-encontrar-archivos-secuestrados-por-ransomware/
Después, intenta encontrar Shadow Copies de archivos anteriores en tu equipo (versiones anteriores de archivos), algo que puedes hacer fácilmente usando Shadow Explorer. Saludos.
hola y gracias por las intrucciones, he intentado descargar el Shadow Explorer pero al parecer cuando se infecto el PC hizo mas que encriptar los archivos, a menos de que lo que ahora voy a explicarte ahora sea cosa de otro virus, a lo que iba, no me deja instalar el Shadow porque al parecer no tengo instalado el .NETFRAMEWORK, cuando intento instalarlo de la pafina de microsoft me pone que ya esta integrado en el PC, el windows update no funciona y por ende tampoco las descargas desde el Store y la ventana del Defender aparece vacia. el codigo de error que me aparece es: 0x80070424
y todo eso incluso con una reinstalacion de windows desde 0
Lo más cómodo y recomendable en estos casos es extraer el disco del equipo afectado y conectarlo por USB en un portátil o en una ranura libre de un sobremesa, o si tienes un puerto de conexión está externo tanto mejor. Si no es así y solo tienes un disco particionado con el sistema operativo y los datos afectados aparte deberías formatear a bajo nivel (DoD, Gutmann o simplemente escribirlo con ceros o unos) para garantizar que está desinfectado al 100%. Para esto puedes utilizar un USB booteable con gparted por ejemplo o bien hacer un formateo lento desde Windows con su propia utilidad o con lowleveldiskformat. A partir de ahie vas contando. Saludos.