Herramientas gratuitas para deshacer el cifrado por ransomware

0
443

El ransomware es una gran amenaza que continua creciendo a lo largo del tiempo, según Cisco “domina el mercado de malware y es el tipo de malware más rentable de la historia“. El ransomware  utiliza una variedad de técnicas para bloquear el acceso al sistema o a los archivos de la víctima, y por lo general requiere el pago de un rescate para recuperar el acceso.

El cifrado es uno de sus elementos claves, todo el exito de este depende de lograr el bloqueo de archivos o sistema del usuario a traves de cifrados evitando de esta manera el acceso y posibles backup que se pudieran hacer. Pero esto no significa que el cifrado sea intrínsecamente malicioso. De hecho, es una herramienta poderosa y legítima empleada por individuos particulares, empresas y gobiernos para proteger los datos ante el acceso no autorizado.

Pero com cualquier otra herramienta, esta se puede usar con fines maliciosos, como podemos notarlo en el rasomware cifrado. Su propósito es “secuestrar” datos, y de ahí su nombre en inglés: “ransom” (rescate) y “ware” de software.

El rasomware usa el cifrado porque de esta manera solo aquellos que poseen la clave pueden acceder a los archivos cifrados, lo que es perfecto para aquellos que se encargan de secuestrar informacion a traves de este malware y logran evitar el acceso a el contenido original por parte de los dueños de la informacion.

Este es un problema latente y aqui te traemos varias herramientas para solucionar este problema sin tener que pagar rescate y los porgramas son totalmente gratis y que van de la mano con tu antivirus Avast:

Alcatraz Locker

Alcatraz es una variedad de ransomware que se detectó por primera vez a mediados de noviembre de 2016. Para cifrar los archivos del usuario, este ransomware usa el estándar AES 256 y la codificación Base64.

Cambios en los nombres de archivo:

Los archivos cifrados tienen la extensión .Alcatraz.

Mensaje de rescate:

Después de cifrar los archivos, se muestra un mensaje parecido (se encuentra en el archivo ransomed.html en el escritorio del usuario):

DESCARGA

Apocalypse

Apocalypse es una forma de ransomware que se detectó por primera vez en junio de 2016. Estos son los signos de la infección:

Cambios en los nombres de archivo:

Apocalypse agrega .encrypted.FuckYourData.locked.Encryptedfile o .SecureCrypted al final de los nombres de archivo (por ejemplo, Thesis.doc se convierte en Thesis.doc.locked).

Mensaje de rescate:

Al abrir un archivo con la extensión .How_To_Decrypt.txt.README.Txt.Contact_Here_To_Recover_Your_Files.txt.How_to_Recover_Data.txt o .Where_my_files.txt (por ejemplo, Thesis.doc.How_To_Decrypt.txt), se mostrará una variante de este mensaje:

DESCARGA

BadBlock

BadBlock es una forma de ransomware que se detectó por primera vez en mayo de 2016. Estos son los signos de la infección:

Cambios en los nombres de archivo:

BadBlock no cambia el nombre de los archivos.

Mensaje de rescate:

Después de cifrar sus archivos, BadBlock muestra uno de estos mensajes (desde un archivo llamado Help Decrypt.html):

Bart

Bart es una forma de ransomware que se detectó por primera vez a finales de junio de 2016. Estos son los signos de la infección:

Cambios en los nombres de archivo:

Bart agrega .bart.zip al final de los nombres de archivo (por ejemplo, Thesis.doc se convierte en Thesis.doc.bart.zip). Es decir, se cifran en formato ZIP con los archivos originales.

Mensaje de rescate:

Después de cifrar los archivos, Bart cambia el fondo de pantalla del escritorio por una imagen como la siguiente. El texto de esta imagen también se puede usar para ayudar a identificar a Bart y se almacena en el escritorio en archivos llamados “recover.bmp” y “recover.txt“.

DESCARGA

Crypt888

Crypt888 (también conocido como “Mircop”) es una forma de ransomware que se detectó por primera vez en junio de 2016. Estos son los signos de la infección:

Cambios en los nombres de archivo:

Crypt888 agrega Lock. al principio de los nombres de archivo (por ejemplo, Thesis.doc se convierte en Lock.Thesis.doc).

Mensaje de rescate:

Después de cifrar los archivos, Crypt888 cambia el fondo de pantalla del escritorio a uno de los siguientes:

DESCARGA

CryptoMix (sin conexión)

CrytoMix (también conocido como CryptFile2 o Zeta) es una variedad de ransomware que fue detectada por primera vez en marzo de 2016. A principios de 2017, surgió una nueva variante de CryptoMix, con el nombre de CryptoShield. Ambas variantes cifran archivos utilizando el cifrado AES256 con una clave de cifrado única descargada desde un servidor remoto. Sin embargo, si el servidor no está disponible o si el usuario no está conectado a Internet, el ransomware cifrará los archivos con una clave fija (“clave sin conexión”).

Importante: La herramienta de descifrado proporcionada sólo admite archivos cifrados con una “clave sin conexión”. En los casos en que no se haya utilizado la clave sin conexión para cifrar los archivos, nuestra herramienta no podrá restaurarlos y no se realizará ninguna modificación de los mismos.

Cambios en los nombres de archivo:

Los archivos cifrados tendrán una de las siguientes extensiones: .CRYPTOSHIELD.rdmk.lesli.scl.code.rmd o .rscl.

Mensaje de rescate:

Los siguientes archivos pueden encontrarse en el PC después del cifrado de archivos:

DESCARGA

CrySiS

CrySiS (JohnyCryptor, Virus-Encode o Aura) es una variedad de ransomware que se detectó por primera vez en septiembre de 2015. Usa AES 256 y el cifrado asimétrico RSA 1024.

Cambios en los nombres de archivo:

Los archivos cifrados pueden tener varias extensiones, como:
.johnycryptor@hackermail.com.xtbl,
.ecovector2@aol.com.xtbl,
.systemdown@india.com.xtbl,
.Vegclass@aol.com.xtbl,
.{milarepa.lotos@aol.com}.CrySiS,
.{Greg_blood@india.com}.xtbl,
.{savepanda@india.com}.xtbl,
.{arzamass7@163.com}.xtbl

Mensaje de rescate:

Después de cifrar los archivos, se muestra uno de los mensajes siguientes (ver más abajo). El mensaje se encuentra en los archivos Decryption instructions.txtDecryptions instructions.txt o *README.txt del escritorio del usuario.

DESCARGA

Globe

Globe es una variedad de ransomware que se detectó por primera vez en agosto de 2016. Según la variante, usa el método de cifrado RC4 o Blowfish. Estos son los signos de la infección:

Cambios en los nombres de archivo:

Globe agrega una las extensiones siguientes al nombre de archivo: “.ACRYPT“, “.GSupport[0-9]“, “.blackblock“, “.dll555“, “.duhust“, “.exploit“, “.frozen“, “.globe“, “.gsupport“, “.kyra“, “.purged“, “.raid[0-9]“, “.siri-down@india.com“, “.xtbl“, “.zendrz“, “.zendr[0-9]” o “.hnyear“. Además, algunas de sus versiones también cifran el nombre de archivo.

Mensaje de rescate:

Después de cifrar los archivos, se muestra un mensaje parecido (se encuentra en un archivo llamado “How to restore files.hta” o “Read Me Please.hta“):

DESCARGA

HiddenTear

HiddenTear es uno de los primeros códigos ransomware de código abierto; está alojado en GitHub y se creó en agosto de 2015. Desde entonces, los delincuentes informáticos han generado cientos de variantes de HiddenTear mediante el uso del código fuente original. HiddenTear utiliza el cifrado AES.

Cambios en los nombres de archivo:

Los archivos cifrados tendrán una de las siguientes extensiones (aunque sin limitarse a ellas): .locked.34xxx.bloccato.BUGSECCCC.Hollycrypt.lock.saeid.unlockit.razy.mecpt.monstro.lok.암호화됨.8lock8.fucked.flyper.kratos.krypted.CAZZO.doomed.

Mensaje de rescate:

Después de cifrar archivos, aparece en el escritorio del usuario un archivo de texto (READ_IT.txt MSG_FROM_SITULA.txt, DECRYPT_YOUR_FILES.HTML). Diversas variantes también pueden mostrar un mensaje de rescate:

DESCARGA

Jigsaw

Jigsaw es una variedad de ransomware que se conoce desde marzo de 2016. Su nombre proviene del personaje cinematográfico “Jigsaw”. Diversas variantes de este ransomware utilizan la imagen de este personaje en la pantalla de rescate.

Cambios en los nombres de archivo:

Los archivos cifrados tendrán una de las siguientes extensiones: .kkk.btc.gws.J.encrypted.porno.payransom.pornoransom.epic.xyz.versiegelt.encrypted.payb.pays.payms.paymds.paymts.paymst.payrms.payrmts.paymrts.paybtcs.fun.hush.uk-dealer@sigaint.org o .gefickt.

Mensaje de rescate:

Después de cifrar los archivos, aparecerá una de las siguientes pantallas:

DESCARGA

Legion

Legion es una forma de ransomware que se detectó por primera vez en junio de 2016. Estos son los signos de la infección:

Cambios en los nombres de archivo:

Legion agrega una variante de ._23-06-2016-20-27-23_$f_tactics@aol.com$.legion o .$centurion_legion@aol.com$.cbf al final de los nombres de archivo (por ejemplo, Thesis.doc se convierte en Thesis.doc._23-06-2016-20-27-23_$f_tactics@aol.com$.legion).

Mensaje de rescate:

Después de cifrar los archivos, Legion cambia el fondo de pantalla del escritorio y muestra un mensaje emergente parecido a este:

DESCARGA

NoobCrypt

NoobCrypt es una variedad de ransomware que se detectó por primera vez a finales julio de 2016. Para cifrar los archivos del usuario, este ransomware usa el estándar AES 256.

Cambios en los nombres de archivo:

NoobCrypt no cambia los nombres de archivo. Sin embargo, los archivos cifrados no se pueden abrir con la aplicación asociada.

Mensaje de rescate:

Después de cifrar los archivos, se muestra un mensaje parecido (se encuentra en el archivo ransomed.html en el escritorio del usuario):

 

DESCARGA

Stampado

Stampado es una variedad de ransomware creada mediante la herramienta de scripts AutoIt. Se conoce desde agosto de 2016. Se vende por la internet profunda, y siguen apareciendo nuevas variantes. Una de sus versiones también se denomina Philadelphia.

Cambios en los nombres de archivo:

Stampado agrega la extensión .locked a los archivos cifrados. Algunas variantes también cifran el propio nombre de archivo, por lo que el nombre del archivo cifrado puede aparecer, por ejemplo, como document.docx.locked o 85451F3CCCE348256B549378804965CD8564065FC3F8.locked.

Mensaje de rescate:

Una vez completado el cifrado, aparecerá la siguiente pantalla:

DESCARGA

ZFLocker

SZFLocker es una forma de ransomware que se detectó por primera vez en mayo de 2016. Estos son los signos de la infección:

Cambios en los nombres de archivo:

SZFLocker agrega .szf al final de los nombres de archivo (por ejemplo, Thesis.doc se convierte en Thesis.doc.szf).

Mensaje de rescate:

Al intentar abrir un archivo cifrado, SZFLocker muestra el mensaje siguiente (en polaco):

DESCARGA

TeslaCrypt

TeslaCrypt es una forma de ransomware que se detectó por primera vez en febrero de 2015. Estos son los signos de la infección:

Cambios en los nombres de archivo:

La versión más reciente de TeslaCrypt no cambia el nombre de los archivos.

Mensaje de rescate:

Después de cifrar los archivos, TeslaCrypt muestra una variante del mensaje siguiente:

DESCARGA

Estas son las herramientas que nos ofrece por el momento Avast, para lograr resolver el encriptado de nuestros archivos sin la necesidad de pagar nada por el rescate.

Dejar respuesta

Please enter your comment!
Please enter your name here

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.