Cifrados e infecciones ransomware han creado estragos valor de alrededor de 18 millones de USD. Este tipo de ataques provienen de los caballos de Troya con scripts preprogramados que encriptan los archivos de usuario en su mayoría algoritmos de cifrado AES y RSA. Infecciones ransomware se han convertido en un grave peligro para los usuarios inexpertos que suelen abrir adjuntos de correo electrónico sin cuidado pensando en su legitimidad. La amenaza en sí se puede quitar con un programa anti-malware en particular, sin embargo, los archivos cifrados permanecen. Este es un tutorial para ayudar a los usuarios en el descifrado RSA datos cifrados. Los métodos de abajo fueron recomendados por los expertos y se intentaron varias veces por los usuarios con un buen resultado. Sin embargo esto no es una garantía de que va a trabajar para usted.
¿Qué es la encriptación RSA Algorhytm?
Algoritmo de cifrado RSA es un tipo de lenguaje que, en este caso, cambia el código normal del archivo con una clave única. Esta tecla puede ser descifrado a través de un software especial, pero requiere una máquina potente ya que es un proceso en tiempo costosa. Algoritmo RSA ha sido empleado por los virus ransomware más tradicionales que han causado devastaciones masivas a escala mundial - El CryptoWall Variantes(2.0, 3.0), BitCrypt y otros. En este tutorial, nos mostrará un posible método para descifrar los archivos y restaurarlos a su estado de trabajo anterior en caso de que usted no tiene ninguna copia de seguridad de su sistema operativo (OS). Tras el tutorial, hemos proporcionado instrucciones sobre cómo habilitar la historia de archivos de Windows para que sus archivos se pueden copiar para que pueda protegerse de futuros ataques. Asegúrese de tomar su tiempo y hacer de todo, desde los pasos siguientes y las cosas debe estar bien para usted.
Ransomware Manual de Remoción
Antes de hacer esto, asegúrese de que la copia de seguridad de su información en una memoria USB o cualquier cosa de esta similitud. Después de esto, asegúrese de descargar un software anti-malware de renombre que detectará cualquier cosa fuera de lo común y le ayudará con la eliminación de la amenaza. Descarga a un PC seguro y lo puso en la suya y arrancar el ordenador en línea de Windows en modo seguro utilizando el siguiente manual:
1. Inicie su PC en modo seguro quitar ransomware.
Para Windows XP, Vista, 7 sistemas:
1. Retire todos los CDs y DVDs, y reinicie el PC desde el “Comienzo” menú.
2. Seleccione una de las dos opciones que aparecen a continuación:
– En PC con un solo sistema operativo: Prensa “F8” en varias ocasiones después de la primera pantalla de arranque aparece durante el reinicio del ordenador. En caso de que el Logotipo de Windows aparece en la pantalla, usted tiene que repetir la misma tarea de nuevo.
– Para PC con múltiples sistemas operativos: Тhe teclas de flecha le ayudarán a seleccionar el sistema operativo prefiere empezar en Modo seguro. Prensa “F8” tal como se ha descrito para un solo sistema operativo.
3. Como el “Opciones avanzadas de inicio” Aparece la pantalla, seleccionar el Modo seguro opción que desee mediante las teclas de flecha. Como usted hace su selección, prensa “Entrar“.
4. Inicie sesión en el ordenador utilizando la cuenta de administrador
Mientras el ordenador está en modo seguro, las palabras “Modo seguro” aparecerá en las cuatro esquinas de la pantalla.
Para Windows 8, 8.1 y 10 sistemas:
Paso 1: Abre el Menu de inicio
Paso 2: Mientras que manteniendo pulsado Shift botón, haga clic en Poder y luego haga clic en Reanudar.
Paso 3: Después de reiniciar el sistema, aparecerá el menú aftermentioned. Desde allí se debe elegir Solucionar problemas.
Paso 4: Verá el Solucionar problemas menú. Desde este menú se puede elegir Opciones avanzadas.
Paso 5: Después de la Opciones avanzadas Aparece el menú, haga clic en Configuración de inicio.
Paso 6: Haga clic en Reanudar.
Paso 7: Aparecerá un menú al reiniciar. Usted debe elegir Modo seguro pulsando su número correspondiente y la máquina se reiniciará.
2. Retire ransomware automáticamente con Spy Hunter Malware – Herramienta de eliminación.
Para limpiar el equipo con el galardonado software Spy Hunter – 
Es muy recomendable para realizar un análisis del sistema antes de comprar la versión completa del software para asegurarse de que la versión actual del malware puede ser detectado por SpyHunter.
Restauración ransomware Archivos
Para este tutorial en particular, hemos utilizado los archivos de extensión .bitcrypt, cifrada por ransomware, llamada BitCrypt. También hemos utilizado la versión de Ubuntu 14.04 que nos ayudó en el uso de un software especial apropiado para esta distribución. Usted puede obtener de la página de descargas de su sitio web y usted puede:
-Instalar junto con su sistema operativo iniciando una unidad USB en vivo.
-Instalar en una unidad virtual (Recomendado).
Aquí tenemos breves tutoriales para tanto:
La instalación de Ubuntu en su máquina:
Paso 1: Obtener una unidad flash USB que tiene por encima de 2 GB de espacio.
Paso 2: Descarga el software gratuito, llamado Rufus e instálalo en tus ventanas.
Paso 3: Configure Rufus eligiendo NTFS como sistema y seleccionar la unidad USB como el que se creará como un USB de arranque. Después de que arranque la imagen de Linux desde el siguiente botón:
Asegúrese de localizarlo y seleccionarlo desde donde se descargó.
Etapa 4: Después de la unidad flash está listo, reinicia tu computadora, y se debe ejecutar la instalación de Ubuntu. Si no lo hace, hay que ir al menú de la BIOS pulsando la tecla de acceso directo de la BIOS en el arranque de su PC (Por lo general, es la F1) y de allí seleccionar la primera opción de arranque para ser la unidad de arranque USB o CD / DVD en caso de que haya quemado Ubuntu en tales.
Instalación de Ubuntu en tu unidad virtual
Para esta instalación, es necesario descargar VMware Workstation de su página de descarga o cualquier otro programa de Gestión Virtual Drive. Después de instalado debe:
Paso 1: Crear una nueva unidad virtual.
Paso 2: Ajuste el tamaño de la unidad. Asegúrese de tener un mínimo de 20 gigabytes de espacio libre fro Ubuntu en su ordenador. Además, puede seleccionar "Ejecutar como una sola unidad".
Paso 3: Seleccione la imagen ISO. Para esta opción, usted debe saber dónde está.
Paso 4: Después de eso jugar la máquina virtual y se instalará de forma automática.
Descifrado del archivo
Una vez que tienes Ubuntu o cualquier otra distribución de Linux en su computadora abra el terminal haciendo lo siguiente:
Entonces Actualiza tu Linux e instalar la versión mayor de Python 3.2 escribiendo lo siguiente en el terminal:
→sudo update apt-get
sudo apt-get install python3.2
También, si su Linux no tiene sqlite3 módulo, instalarlo escribiendo:
→sudo apt-get install sqlite3 libsqlite3-dev
sudo gem install sqlite3-ruby
Ahora, después de que hemos instalado Python, tenemos que descargar un script creado por 2014 Airbus Defence & Space Ciberseguridad. Para ello haga clic en este enlace. Descargue el archivo en su 'Home’ carpeta después de que se le pide dónde guardarlo. Mantenga esto como decrypt.py en caso de que no se guarda en este formato.
Ahora que tenemos Python y el guión, es el momento de encontrar la clave del archivo cifrado .bytrcypt. Para hacer este movimiento sus archivos cifrados ot la carpeta de inicio utilizando el administrador de archivos:
Después de buscar todos los archivos cifrados allí junto con el archivo "decrypt.py" escriba lo siguiente en el terminal para iniciar la secuencia de comandos:
→python ./decrypt.py "Your_Encrypted_Document_Name_and_Format"
Se mostrará un error, y esto es completamente normal, siempre y cuando usted ve este código:
Este es el código RSA para este archivo. Ahora, tenemos que descifrarla, y estamos a mitad de camino. Para ello descarga un programa llamado cado-nfs2.0.tar.gz de su página de descarga aqui. Recomendamos el 2.0 versión. Sin embargo, la nueva versión también está en un buen nivel.
Se descargará un fichero de archivo .tar (.archivos tar son muy similares a .rar o .zip). Basta con abrir y haga clic en el botón Extraer en la parte superior y elegir la 'Home’ carpeta. Debe tener un aspecto como este:
Después de la que tenemos todos los archivos extraídos en el 'Home’ carpeta, tenemos que compilar cado-nfs. Hacer esto, abrir otro terminal y escriba:
→cd cado-nfs-2.0
hacer
Después de esto se establece, es el momento de ejecutar el cracker clave. Importante - este proceso puede tomar desde varias horas hasta días para ser terminado. Para comenzar el tipo de proceso en su terminal-cado nfs cd:
→./factor.sh YOUR_UNIQUE_KEY_WHICH_IS_LETTERS_OR_NUMBERS_HERE -s 4 -t 6
Después de que el proceso se complete, debería ver el siguiente:
→Info:Factorización completa: Cpu Total / en tiempo real para todo: hhhh / dddd
LongNumber1 LongNumber2
Después tenemos la clave de descifrado, tenemos que insertar en el script "decrypt.py". Para ello, abrir decrypt.py en un editor de texto y la búsqueda de esta parte de la misma:
→known_keys = { muchos números largos }
Tenemos que añadir antes de que el segundo soporte ("}") estas líneas:
La clave anterior, una columna, paréntesis abierto, LongNumber1, Coma, LongNumber2, paréntesis cerrado. Debe tener un aspecto como este:
→La clave anterior:(LongNumber1, LongNumber2)
Tenga en cuenta que usted debe hacer esto solamente una vez. Después de esto es el momento de decodificar los archivos. Para hacer este tipo:
→./decrypt.py python “Your_Encrypted_Document.docx.bitcrypt”
La ejecución de este comando hará que un archivo que se llama “Your_Encrypted_Document.docx.bitcrypt.CLEAR”
Apenas cambie el nombre del archivo mediante la eliminación de la extensión .clear y usted debe estar todo listo. Repita el proceso para los otros archivos, así. Pero recuerde que primero debe conocer sus claves iniciales para descifrarlos. Usted debe ser capaz de abrir ahora. Esperamos que esto funcione para usted.
Conclusión
La mejor defensa contra las amenazas ransomware es siempre el propio usuario. Es crucial saber qué archivos se abre y si la ubicación de los archivos son seguros o no. Sin embargo, si usted está en una organización o en algún lugar donde se encuentra el equipo en un entorno público o el trabajo, siempre abre a un ataque directo que es aún más peligroso. Un verdadero experto dirá que el mejor equipo es el que se apaga, porque puede tener las mejores defensas, pero el que hace que los errores no es la máquina, es el hombre. Es por eso que siempre se debe tener suficiente conocimiento y construir el comportamiento de uso de PC que se orienta la seguridad.
Escáner Spy Hunter sólo detectará la amenaza. Si desea que la amenaza se elimine de forma automática, usted necesita comprar la versión completa de la herramienta anti-malware.Obtenga más información sobre la herramienta de SpyHunter Anti-Malware / Cómo desinstalar SpyHunter
Buena tarde,
Me sale el error : “[-] Error archivo de análisis de pie de página” cuando ejecuto decrypt.py en mi archivo cifrado …
Hola Lucas,
Esto puede ser debido a una de las siguientes razones:
1) Antigua versión de python.
sudo apt-get update python
2) Error en el nombre de archivo o comando.
Compruebe el comando introducido con cuidado. ¿Puedes decirme cuál es el que? Si es éste:
./decrypt.py python “MI ARCHIVO CIFRADO.jpg.bitcrypt”
que debe ser escrito con los soportes exactamente como se ve arriba.
3)¿Problemas con la 'decrypt.py’ expediente
En caso de que no funciona usted no debe tratar de buscar el tema, ya que puede perder mucho de su tiempo en hacerlo.
Su mejor apuesta es tratar DecrypterFixer. Puedes descargarlo desde aquí:
bitbucket.org/ DecrypterFixer / malware_tools-1 / get / fa4ec9df293b.zip
Tiene un 'decrypt.py bien hecho’ presentar y debe trabajar para usted.
En caso de que se rompe el primer enlace web, prueba este:
bitbucket.org/ DecrypterFixer / malware_tools-1 / get / fa4ec9df293b.zip
¡Hola, le da las gracias por su respuesta.
Mi archivo no está en la extensión .bitcrypt porque estaba infectado por CryptoWall 3.0
Voy a tratar sus soluciones, gracias.
Vendré a darle una retroalimentación
Hola ,, usted tiene algún aspecto en este,, a recuperar sus archivos? puedo intentar ,, Gracias
Hola,
Tengo el mismo problema. Mis archivos también están infectadas por el Cryptowall 3.0. Y la extensión es ccc. ¿Puedo usar este script en Python para descifrar ? ¿Hay otras soluciones posibles ?
muchas gracias
Patricio
Hola Patrick,
Lo sentimos escuchar sus archivos han sido cifrados por ransomware. La extensión .ccc no puede pertenecer a la amenaza CryptoWall. Hay variantes de otra ransomware que pretenden ser Cryptowall 3.0, posiblemente porque es el más cruel de todos ellos hasta ahora. Hay una herramienta que puede ayudarle a, conocido como Tesla descifrador. Más información en el siguiente enlace:.
Hemos empezado un nuevo tema en nuestro foro de seguridad, con la intención de ayudar al mayor número posible de usuarios. Ahí está: sensorstechforum.com/ forums / malware-remove-questions-and-guides / my-files-are-encrypted-with-the-ccc-extension-help!/
Hi! All my files were encrypted by rsa4096, all has the extension .mp3. What should i do? Thks
Tengo un equipo de mi VP en mi escritorio en este momento que tiene el ransomware DecryptorMax. He quitado el troyano y el malware en modo seguro, pero estoy buscando una manera de descifrar los archivos. Esto tiene fotos del bebé primero de la niña de mi VP de los primeros dos meses de su vida, por lo que estos archivos son muy importantes para ella. No me están proporcionando el tiempo para hacer el descifrar Linux, así que buscar una herramienta. Con la esperanza de Kaspersky sale con una herramienta para descifrar estos. Ellos tienen la extensión crinf. Cualquier ayuda se agradece.
Hola Brently, estamos a punto de iniciar un tema en nuestro foro sobre DecryptorMax, y también vamos a investigar a fondo. ¿Puedes por favor aclarar lo que entiende por decir "No me están dando el tiempo para hacer el descifrar Linux '?
Gracias,
el equipo STF
Saludos,
Estoy recibiendo el siguiente error al ejecutar decrypt.py
python3.4 ./decrypt.py test.bitcrypt
Archivo “./decrypt.py”, línea 99
impresión “uso: %s ” % sys.argv[0]
^
SyntaxError: Faltan paréntesis en llamada a 'print’
Cualquier ayuda sería grande.
Gracias,
Gil
Hola Gil,
Qué ransomware estás tratando con?
Por favor únase a nuestro foro y seguir el tema sobre SyntaxError: Faltan paréntesis en la llamada a "imprimir":
sensorstechforum.com/ forums / malware-remove-questions-and-guides / how-to-fix-decrypt-py-‘syntaxerror-missing-parentheses-in-call-to-print /
de forma… sólo para corroborar si hay ninguna es punto y ninguna instantánea restauración, no hay manera de obtener los archivos de vuelta de cryptowall 3.0 correcto?
Saludos
¿tienes un método para descifrar los archivos que se cifran utilizando cryptowall 4
Hola yohji,
¿Está tratando con CryptoWall 4.0?
¿Me ayudará con cryptowall 3.0 Por favor.
Saludos
Hola Gab,
¿Puedes por favor iniciar un tema aquí: sensorestechforum.com/ foros / malware-remove-questions-and-guides /
gracias de antemano :)
Hola,
Mis archivos fueron infectados por cryptowall 4.0 con 'help_your_files'.
Quité el cryptowall 4.0 utilizando software anti-malware.
¿Puedo usar el “decrypt.py” script para averiguar la clave de los archivos cifrados por cryptowall 4.0?
¿Podría decirme si tiene otras soluciones posibles para la restauración de los archivos cifrados?
Saludos
¡Hola,
También tengo el problema en sí con el virus de la pared de cifrado, pero no sé exactamente,que es la versión.
Hay en cada carpeta de una imagen con HELP_YOUR_FILES
y los siguientes formatos de archivos ; .DZ7 .O1R .7FT .1Q .7429D .0PQGL .BR4 .7UV .2PF Etc.…
¿Me podría ayudar?
Tengo muy wichige fotos y documentos de texto.
MFG Mehmet
Hola Mehmet, has conseguido arreglar los archivos? Mi virus tenia el mismo archivo que el tuyo.
Buenos días, mi problema es el mismo de su puesto 05/01/2016!
¡Hola, KJ como lo que sabemos hasta el momento la mayoría de los métodos para descifrar los archivos cifrados por cryptowall 4.0 han demostrado ser infructuosos, incluso por la policía. Sin embargo lo que usted puede intentar es hacer una pregunta en el Cryptowall 4.0 tema en nuestro foro y esperar a ver si te dan ninguna ayuda de otros usuarios y expertos afectadas en este tema. Aquí está el enlace tema, también hay algunas instrucciones que se incluyen:
sensorestechforum.com/ foros / malware-eliminación-preguntas-y-guías / cómo-eliminar-cryptowall-4-0-y-restaurar-sus-datos /
¿Alguien ha sido capaz de descifrar CryptoWall 3.0 archivos cifrados (2048 bit de encriptación) usando este método?
¡Hola,
Después de haber sido infectados con uno de estos virus, Me pregunto que porque tiene un gran número de archivos cifrados mediante la adición de una extensión cada vez vvv, por lo que es invisible y poniendo en cada subdirectorio varios archivos llamados “how_recover” ? Entonces, ¿qué es este virus y qué método para encontrar sus archivos crypés existe ?
muchas gracias.
Con cordialidad
Yannick
Hola Yannick,
Desafortunadamente, usted ha sido atacado por TeslaCrypt. Más información sobre el ransomware aquí: sensorstechforum.com/remove-teslacrypt-and-restore-vvv-encrypted-files/.
¡Hola,
muchas gracias. Sí, así que no hay nada que hacer para recuperar archivos….
Hola! También tengo algunos archivos cifrados que me gustaría para descifrar. Tengo 2 archivos “5k5m3y.1mm” y “8co7o3co.ze4ha” y se ven así si trato de editar con el bloc de notas: i.imgur.com/NIJozDk.png
Primero lo primero, ¿cómo sé lo que causó este virus?
Hola @Corel Goran
Esto es típico para las infecciones ransomware tales como CTB Locker y CryptoWall 4.0. Con el fin de que sea capaz de proporcionar de manera adecuada con la ayuda me gustaría que me envíe un recorte o una captura de pantalla de cualquier mensaje de rescate que se puede ver. Puede ser un archivo .txt en su escritorio o una imagen, nombrado como esto, por ejemplo:
Fije las capturas de pantalla en su respuesta a este tema en nuestro foro para que nuestros expertos pueden ser capaces de ayudarle de forma relevante la mejor manera posible:
sensorestechforum.com/forums/malware-removal-questions-and-guides/files-encrypted-with-random-file-extensions/
Hola.
¿Tienes el mismo problema desde el jueves de esta semana. Los archivos cifrados tienen extensión .micro. Kaspersky disco de rescate informaron troyano-ransom.win32.bitman.fay sea la amenaza.
Funciona el procedimiento descrito anteriormente para .micro archivos, así?
Muchas gracias por cualquier ayuda.
Adición:
He encontrado algunos archivos en la carpeta Mis documentos nombrados recover_file _ *** *** random_text. Txt que parecen contener claves. Éstos pueden posiblemente ser las claves para ser recuperados mediante el uso de Phyton como se describió anteriormente?
como Carsten, Tengo mismo problema con “.micro” expediente.
Y como él, Tengo un poco de archivo con el nombre “recover_file….txt”. Cualquier idea sobre cómo utilizarlos y si esta solución funciona con el archivo .micro?
Gracias
El mismo problema con el archivo * .micro
misma recuperarse…txt
Hay noticias?
Gracias
¡Hola, También tengo el problema con la extensión * .micro.
Mis archivos han quedado encintados con extension .locky, que virus me ataco? y que guía para recuperarlos me recomiendan
Atte
William
¡Hola, Tengo el archivo .html * HELP_FILE y PNG
Mis archivos ahora tienen nombres y extensiones aelatoires.
La limpieza se realiza sin problema.
En su página web, donde usted tiene que pagar, Acabo de hacer una descodificación de archivos 512 ko max gratis, Así que ahora tengo el antiguo archivo cifrado 0sqn1xx.dh1w y el mismo archivo descifrado : archivo-descifrado.jpg
¿No sería después de que éstos 2 archivos, reconstruir la clave RSA de ?? para que todos los demás archivos.
muchas gracias, Me encanta su trabajo.
Stef
¡Hola, Esto parece ser CryptoWall 4.0. Tiene un cifrado muy fuerte, así que sin la llave que va a ser muy difícil de descifrar sus archivos. Los dos archivos no tienen una clave de descifrado en sí mismos, pero podría ayudar a un programa descifrador para ver una similitud en su base de datos y encontrar una contraseña.
Pruebe support.kaspersky.com/viruses/disinfection/10556 de Kaspersky – es una herramienta gratuita y con la ayuda de los dos archivos que puede encontrar un archivo de clave en el equipo si no se elimina. También, eche un vistazo a sensorstechforum.com/forums/malware-removal-questions-and-guides/how-to-remove-cryptowall-4-0-and-restore-your-data/ en nuestro foro.
¡Hola, Hice los comandos y recibí el error pie de página… el archivo se cifra con la “.locky” extensión. ¿hay algo que pueda hacer?
Hola,
Tengo el mismo problema. Mis archivos también están infectados por redshitline(en)india.com y la extensión es xtbl- ¿Puedo usar este script en Python para descifrar ? ¿Hay otras soluciones posibles ?
Oswaldo
Hy Berta,
Me infecté hace un mes por cryptowall 4.0, lo mismo de Oswaldo Leonett y yo debería saber cómo hacer… Las instrucciones de este artículo son válidas también para cryptowall 4? Si me quedo .py guión que puedo esperar para descifrar los archivos de la secuencia de comandos operan hasta la versión 3.0 de cryptowall?
¿Hay alguna nueva información sobre Cryptowall 4?
Me corrijo, contraído la infección es la misma de Stef con un poco de HELP_FILE * .HTML y PNG.
Todos los archivos están encriptados con RSA – 2048 y EAS -128 . INFORMACIÓN om SA kan ses cercanos da.Wikipedia. org / wiki / RSA. Y da.Wikipedia. org / wiki / Advanced Encryption Standard
El descifrado del servidor secreto en los enlaces
Hw5qrh6fxv2tnaqn.tor2web.org/17572E56401D80
No me atrevo a hacer clic sobre ellos, Tal vez hay más virus. Probablemente tendrán el pago para desencriptar, y acceder a mi tarjeta de crédito.
Se puede hacer algo.
Gracias de antemano
mvh. Karl
¡Hola
El hacker encripta todos los archivos y me pidió que rescate
No tengo dinero.
¿Puede usted ayudar?
Si es así puedo enviar archivos (original – codificado) para encontrar el código.
tipo de cifrado :
CryptoLocker
clave RSA-2048 genera pública
ᐧ
ᐧ