lunes, 27 de junio de 2016

Herramientas para desencriptar ransomware

El ransomware se ha puesto ultimamente de moda como medio de extorsión por internet, superando a otro tipo de medios como la obtención de los datos bancarios a través del falso mail, o de otros timos como el del nigeriano o la novia rusa. Por este motivo, la empresa de seguridad Kaspersky pone a nuestra disposición 3 herramientas para recuperar nuestros archivos en caso de haber sido infectados por alguno de estos virus. Empezamos con el repaso:


Destroy Coinvault.

Esta herramienta está diseñada específicamente para desencriptar archivos afectados por los virus CoinVault y Bitcryptor. Si has sido infectado ocn este virus, verás una imagen como esta en tu equipo:


Los primero que se recomienda es ir a la web de Kasspersky y descargar una version free para una limpieza del malware. Puedes ocnseguir la herramienta AQUI. Seguidamente, descarga Destroy Coinvault. Ejecutalo. Te pedirá que localices el fichero "filelist.cvlst". Si no lo encuentras, pon todos los archivos encriptados en una misma carpeta. Para ello ,tendras que pulsar sobre el boton "change parameters" de la app, y darle la ruta de la carpeta.


Si tienes el fichero, la cosa es más facil. SImplemente va desencriptando. Lo unico, que va duplicando los archivos, de forma que si tienes un archivos que se llame por ejemplo "archivo.doc", al verse desencriptado pasa a ser archivo.descryptedKLR.doc. Tienes una opcion apra que reemplace los encriptados por los archivos con su nombre original, pero de esta manera, tienes una copia de seguridad, por si acaso. Y AQUI, las instrucciones de uso en inglés

Rannoh Decryptor.

Esta herramienta  limpia una buena cantidad de ransomware como Rannoh, Autolt, Fury, Crybola, Cryakl, CrypXXX versiones 1 y 2. Versiones más avanzadas las detecta, pero no las desencripta.
Su funcionamiento es fácil, pero varía con el anterior programa. Aqui descargamos el programa, y lo ejecutamos sobre el equipo infectado. Pulsamos sobre el botón Start, y seguidamente tenemos que indicarle la ruta de un archivo encriptado y de otro no encriptado (preferiblemente, el mismo archivo).


Llevará un largo tiempo, pero la aplicación comenzará a localizar y desencriptar los archivos. Tienes una opcion tambien para eliminar los archivos encriptados una vez finaliza el desencriptado. Tienes las instrucciones en ingles AQUI.

RakhniDecryptor.

RakhniDecryptor está pensado para desencriptar archivos afectados por Rakhni, Agent.iih, Aura, Autoit, Pletor, Rotor, Lamer, Lortok, Cryptokluchen, Democry y Bitman (Teslacrypt) versiones 3 y 4.

Este tipo de ransomware crea un archivo, exit.hhr.oshit que contiene el password de encriptación de los archivos. Si lo encontramos, tendremos el desencriptado rapidamente. Si no, lo suyo seria utilizar herramientas de recuperacion de archivos borrados. En cualquier caso, una vez recuperado, debemos poner el archivo en %appdata% y lanzar la aplicación. El archivo exit.hhr.oshit suele encontrarse en estas rutas:
Windows XP: C:\Documents and Settings\\Application Data
Windows 7/8: C:\Users\\AppData\Roaming
 El funcionamiento, el de siempre:


Lanzas la app, despues de todos los pasos previos antes indicados y de haber limpiado el equipo del malware, pulsamos change parameters para indicarle los discos a limpiar y si queremos que elimine los archivos encriptados despues de desencriptar. Instrucciones de uso en inglés, AQUI.

En todos los casos, el desencriptado puede llevar muchas horas. ¡Paciencia, y suerte!

No hay comentarios:

Publicar un comentario

¡Gracias por colaborar en este blog con tus comentarios! :)