Decrypters de ransomware publicados en 2019: Hacked, BigBobRoss, PewCrypt y más
El ransomware es actualmente el «enemigo público número uno» de los usuarios y de muchas empresas y por tanto del analista de ciberseguridad. Sus bazas son la facilidad de uso (muchos no requieren de conocimientos específicos en hacking para usarse) y la tendencia de muchos a pagar, junto a una falta común de preparación.
Recibo muchos mensajes de ayuda de usuarios desesperados por recuperar sus archivos afectados por ransomware, pero me falta tiempo para mantener dicha lista actualizada porque aparecen nuevas variantes y nuevas familias de ransomware constantemente.
Por este motivo me he propuesto el objetivo de publicar periódicamente un listado con las herramientas (decrypters) para ransomware lanzadas. De esta manera mis suscriptores al menos podrán saber si deben seguir esperando o pueden por fin recuperar sus archivos.
7 remedios contra el ransomware publicados en 2019
Dado que ya hemos andado parte de este 2019 vamos a ponernos al día con los decrypters que se han lanzado durante estos 4 primeros meses del año. Este año ha comenzado siendo bastante más productivo que otros anteriores.
Solución al ransomware Aurora
En enero de este año se publicó un remedio para recuperar los archivos cuyo nombre es Aurora Decrypter, le debemos el favor al investigador Michael Gillespie. Soporta las siguientes extensiones cifradas por Aurora:
.Nano .animus .Aurora .desu .ONI .aurora
Más información en BleepingComputer.
Solución al ransomwre GandCrab 5.1
En febrero Bitdefender lanzó el software de recuperación para Gandcrab hasta la versión 5.1. Eso sí, los delincuentes se han apresurado a renovar su ransomware lanzando la versión 5.2. Si tus archivos han sido afectados por extensiones aleatorias (versión 5 en adelante) o por alguna de las siguientes te recomiendo probarlo:
.KRAB .GDCB .CRAB
Solución al ransomware Pewcrypt
Pewcrypt es una ransomware construido con Java que emplea AES y RSA para cifrar los archivos de los usuarios, añadiendo la extensión:
.Pewcrypt
El autor publicó este ransomware en forma de broma, ya que obligaba a los afectados a suscribirse al canal de Youtube de Pewdewpie. En cualquier caso, Emsisoft tiene disponible un decrypter en el siguiente enlace:
Solución al ransomware Hacked o HKCrypt
HKCrypt o Hacked ransomware apareció a finales de 2017 y utiliza el algoritmo RC4 para realizar el cifrado (es un algoritmo débil por antiguo). Después añade a los archivos de la víctima la extensión:
.hacked
El ransomware llega mediante un troyano que aparenta ser Windows Update, para después bloquear la pantalla con la imagen que aparece arriba y demandar un pago a la dirección: payment.hkdecrypt@mail.ru. Las ransom notes aparecen en varios idiomas, incluyendo español.
Solución al ransomware BigBobRoss
Publicado en Marzo, el decrypter de este malware ha sido obtenido mediante la colaboración entre Emsisoft y Avast.
Este ransomware deja los archivos inutilizables con la extensión:
.obfuscated
Puedes descargar el remedio en el siguiente enlace.
Solución al ransomware Planetary
Como os comenté en mi artículo reciente, existe una herramienta gratuita para recuperar los archivos, desarrollada por Emsisoft. Este programa ha sido lanzado durante el mes de Abril y permite recuperar ficheros con extensión:
.mira .yum .Pluto .Neptune
Solución al ransomware FilesLocker
Publicado en Enero, el programa de recuperación para esta variante de cryptoware puede ser descargada gracias a Michael Gillespie, a través de BleepingComputer. El programa funciona con los archivos afectados por FilesLocker que tienen esta extensión:
.[fileslocker@pm.me]
Descarga el remedio con instrucciones en el siguiente enlace:
Conclusiones
Hasta aquí el artículo de hoy, que espero que ayude a algunos de vosotros a recuperar vuestra preciada información.
Recordad que para combatir el ransomware el primer y más efectivo paso es realizar copias de seguridad. Además, os dejo algunos enlaces de interés:
- Herramientas para recuperar archivos afectados por ransomware
- Identificar tipos de ransomware con ID Ransomware o CryptoSheriff
- Herramienta para detectar ahchivos infectados por ransomware: Cryptosearch
- Algunas herramientas antiransomware: AppCheck, Cybersight ransomstopper
Categories
deweloper View All
Trabajo como consultor de ciberseguridad y me gusta lo que hago. Aficionado a la informática / tecnología en general, me gusta compartir con la gente lo poco que sé. También soy aficionado al deporte y los videojuegos.
Hola, como estan ? Para el ransomware .phoenix hay algo ?!
Hola, se trataría de Phobos ransomware. Fíjate si en el nombre de alguno de los archivos infectados aparece alguna de estas cadenas de caracteres (corresponden a 5 claves de cifrado privadas capturadas por los investigadores):
900FB6EC
A8ED1E37
66859FC2
6C50FD47
C0250D00
En ese caso puedes descargar una herramienta (en fase de pruebas) para intentar recuperar los archivos. Enlace: https://github.com/simbazad/Phobos_Analysis
También podrías dar una pasada con algún programa de examen de Shadow Copies (aunque normalmente el ransomware las suele eliminar, pero podría fallar: ShadowExplorer / ShadowCopyView
Si necesitas recuperar archivos una vez el sistema queda inutilizable puedes utilizar alguna de estas herramientas:
https://www.forensicswiki.org/index.php?title=Tools:Data_Recovery
Hola Alejandro, mil gracias por contestarme. La variante contiene la siguiente cadena «.id[CC3A8E5C-0001].[autrey.b@aol.com] «. Cualquier otro dato de como poder solucionarlo me vendria barbaro.
Saludos y gracias.
Hola estoy mirando y para el .MOKA aun no hay nada verdad mil gracias
Hola Alejandro. Consulta, tenes algo para el RANSOMWARE KUUB?
Buenas noches alguien me puede ayudar necesito recuperar unos archivos con extension .Nlah desde el 01 de junio bloqueo mis archivos formatee la pc e igual sigue
Buenos dias, muy buena tu página, muy buenos aportes, mi caso es que mis archivos se infectaron con la extensión .moba , el dilema es que se me infecto hasta un disco duro externo y tengo entendido que todavia no hay herramienta para recuperar esos archivos, solo que debo tenerlos ahi guardados tal cual hasta que resulte la herramienta para recuperarlos.
Gracias José,de momento no hay decrypter desgraciadamente. Saludos.
HOLA DISCULPEN ALGUIEN SABE COMO ELIMINAR EL .VARI DE MIS ARCHIVOS LES AGRADECERE MUCHO POR SU AYUDA GRACIAS
Hola Brandon, es una nueva muestra (de hace escasos días creo) y de momento poco puedo decirte, creo que es Djvu. Prueba con esta herramienta: https://protegermipc.net/2016/04/15/como-saber-con-que-ransomware-estoy-infectado-id-ransomware/
QUISIERA SABER COMO SE PODRIA DESENCRIPTAR ARCHIVOS AFECTADOS POR NPPH rasomware?
alguien que me de una pista ,pagina o si se esta estudiando el antidoto todavia .Al pararecer no he visto que nadie le salga al cruze de una forma efectiva. GRACIAS
Buena quisiera saber si hay solución para DMAY Ransomware necesito ayuda urgente porfavor