Cómo descifrar o recuperar archivos cifrados infectados por virus ransomware cifrados conocidos.

En los últimos años, los ciberdelincuentes distribuyen un nuevo tipo de virus que pueden cifrar archivos en su computadora (o su red) con el propósito de ganar dinero fácil de sus víctimas. Este tipo de virus se denominan "ransomware" y pueden infectar sistemas informáticos si el usuario de la computadora no lo hace. preste atención al abrir archivos adjuntos o enlaces de remitentes desconocidos o sitios que hayan sido pirateados por ciberdelincuentes. Según mi experiencia, la única forma segura de mantenerse protegido de este tipo de virus es tener copias de seguridad limpias de sus archivos almacenados en un lugar separado de su computadora. Por ejemplo, en un disco duro USB externo desconectado o en DVD-Rom.

Este artículo contiene información importante de algunos virus ransomware de cifrado conocidos (cifrados) que fueron diseñados para cifre los archivos críticos más las opciones y utilidades disponibles para descifrar sus archivos cifrados en caso de infección. Escribí este artículo para mantener toda la información de las herramientas de descifrado disponibles en un solo lugar e intentaré mantener este artículo actualizado. Comparta con nosotros su experiencia y cualquier otra información nueva que pueda conocer para poder ayudarse mutuamente.

Cómo descifrar archivos cifrados de Ransomware - Descripción y herramientas de descifrado conocidas - Métodos:

NOMBRE DE RANSOWARE
Cryptowall
CryptoDefense y How_Decrypt
Cryptorbit o HowDecrypt
Cryptolocker (Troj / Ransom-ACP ”,“ Trojan. Ransomcrypt. F)
CryptXXX V1, V2, V3 (variantes: .crypt, crypz o 5 caracteres hexadecimales)
Locky y AutoLocky (Variantes: .locky)
Trojan-Ransom. Win32.Rector
Trojan-Ransom. Win32.Xorist, Trojan-Ransom. MSIL.Vandev
Trojan-Ransom. Win32.Rakhni
Trojan-Ransom. Win32.Rannoh o Trojan-Ransom. Win32.Cryakl.
TeslaCrypt (variantes: .ecc, .ezz, .exx, .xyz, .zzz,. aaa, .abc, .ccc y .vvv)
TeslaCrypt 3.0 (variantes: .xxx, .ttt, .micro, .mp3)
TeslaCrypt 4.0 (nombre de archivo y extensión sin cambios)

Actualizaciones de junio de 2016:

1. Trend Micro ha lanzado un Descifrador de archivos de ransomware herramienta para intentar descifrar archivos cifrados por las siguientes familias de ransomware:

CryptXXX V1, V2, V3 *.crypt, crypz o 5 caracteres hexadecimales
CryptXXX V4, V5.5 caracteres hexadecimales
TeslaCrypt V1.ECC
TeslaCrypt V2.VVV, CCC, ZZZ, AAA, ABC, XYZ
TeslaCrypt V3.XXX o TTT o MP3 o MICRO
TeslaCrypt V4.
SNSLocker.RSNSLocked
AutoLocky.locky
Bloque incorrecto
777.777
XORISTA.xorist o extensión aleatoria
XORBAT.crypted
CERBER V1 <10 personajes aleatorios> .cerber
Stampado.bloqueado
Nemucod.crypted
Quimera.cripta

* Nota: Se aplica al ransomware CryptXXX V3: debido al cifrado avanzado de este Crypto-Ransomware en particular, solo datos parciales Actualmente, el descifrado es posible en archivos afectados por CryptXXX V3, y debe usar una herramienta de reparación de terceros para reparar su archivos como: http://www.stellarinfo.com/file-repair/file-repair-toolkit.php

Para descargar la herramienta Ransomware File Decrypter de Trend Micro (y leer las instrucciones sobre cómo usarla), navegue a esta página: Descarga y uso de Trend Micro Ransomware File Decryptor

2. Kasperky ha lanzado las siguientes herramientas de descifrado:

UNA. Herramienta RakhniDecryptor de Kaspersky está diseñado para descifrar archivos afectados por *:

* Nota: La utilidad RakhniDecryptor siempre se actualiza para descifrar archivos de varias familias de ransomware.

Rakhni
Agent.iih
Aura
Autoit
Pletor
Rotor
Lamer
Lortok
Cryptokluchen
Democry
Bitman - TeslaCrypt versión 3 y 4

B. Herramienta RannohDecryptor de Kaspersky está diseñado para descifrar archivos afectados por:

Rannoh
AutoIt
Furia
Crybola
Cryakl
Versiones 1 y 2 de CryptXXX

Cryptowalll: información sobre virus y opciones de descifrado.

El Cryptowall (o "Descifrador de Cryptowall”) Virus es la nueva variante de Criptodefensa virus ransomware. Cuando una computadora está infectada con Cryptowall ransomware, luego todos los archivos críticos en la computadora (incluidos los archivos en las unidades de red asignadas si está conectado a una red) se cifran con un cifrado fuerte, lo que hace que sea prácticamente imposible descifrar ellos. Después de la Cryptowall cifrado, el virus crea y envía la clave privada (contraseña) a un servidor privado para que el delincuente pueda utilizarla para descifrar sus archivos. Después de eso, los delincuentes informan a sus víctimas que todos sus archivos críticos están encriptados y la única forma de desencriptarlos es pagar un rescate de 500 $ (o más) en un período de tiempo definido; de lo contrario, el rescate se duplicará o sus archivos se perderán permanentemente.

Cómo descifrar archivos infectados con Cryptowall y recuperar sus archivos:

Si quieres descifrar Cryptowall archivos cifrados y recuperar sus archivos, entonces tiene estas opciones:

UNA. La primera opción es pagar el rescate. Si decide hacerlo, proceda con el pago bajo su propio riesgo porque, según nuestra investigación, algunos usuarios recuperan sus datos y otros no. Tenga en cuenta que los delincuentes no son las personas más confiables del planeta.

B. La segunda opción es limpiar la computadora infectada y luego restaurar sus archivos infectados desde una copia de seguridad limpia (si tiene una).

C. Si no tiene una copia de seguridad limpia, la única opción que queda es restaurar sus archivos en versiones anteriores de "Copias de sombra”. Observe que este procedimiento solo funciona en Windows 8, Windows 7 y Vista OS y solo si el "Restauración del sistema”Se habilitó previamente en su computadora y no se deshabilitó después de la Cryptowall infección.

Enlace de referencia: Cómo restaurar sus archivos de instantáneas.

Un análisis detallado de Cryptowall La infección y eliminación de ransomware se puede encontrar en esta publicación:

Cómo eliminar el virus CryptoWall y restaurar sus archivos

CryptoDefense & How_Decrypt - Información de virus y descifrado.

Criptodefensaes otro virus ransomware que puede cifrar todos los archivos de su computadora independientemente de su extensión (tipo de archivo) con un cifrado fuerte, por lo que es prácticamente imposible descifrarlos. El virus puede desactivar el "Restauración del sistema"En el equipo infectado y puede eliminar todos"Copias de volumen de sombra”Archivos, por lo que no puede restaurar sus archivos a sus versiones anteriores. Tras la infección Criptodefensa virus ransomware, crea dos archivos en cada carpeta infectada ("How_Decrypt.txt" y "How_Decrypt.html") con instrucciones detalladas sobre cómo pagar el rescate para descifrar sus archivos y envía la clave privada (contraseña) a un servidor privado para que el delincuente la utilice para descifrar su archivos.

Un análisis detallado de Criptodefensa La infección y eliminación de ransomware se puede encontrar en esta publicación:

Cómo eliminar el virus CryptoDefense y restaurar sus archivos

Cómo descifrar archivos cifrados de Cryptodefense y recuperar sus archivos:

Para descifrar Criptodefensa archivos infectados tiene estas opciones:

UNA. La primera opción es pagar el rescate. Si decide hacer eso, proceda con el pago bajo su propio riesgo porque, según nuestra investigación, algunos usuarios recuperan sus datos y otros no. Tenga en cuenta que los delincuentes no son las personas más confiables del planeta.

B. La segunda opción es limpiar la computadora infectada y luego restaurar sus archivos infectados desde una copia de seguridad limpia (si tiene una).

C. Si no tiene una copia de seguridad limpia, puede intentar restaurar sus archivos en versiones anteriores desde "Copias de sombra”. Observe que este procedimiento solo funciona en Windows 8, Windows 7 y Vista OS y solo si el "Restauración del sistema”Se habilitó anteriormente en su computadora y no se deshabilitó después de la Criptodefensa infección.

Enlace de referencia: Cómo restaurar sus archivos de instantáneas.

D. Por último, si no tiene una copia de seguridad limpia y no puede restaurar sus archivos desde "Copias de sombra", Entonces puede intentar descifrar Criptodefensa archivos cifrados mediante el Decryptor de Emsisoft utilidad. Para hacer eso:

Noticia importante: Esta utilidad solo funciona para equipos infectados antes del 1 de abril de 2014.

1.Descargar “Descifrador Emsisoft"Utilidad a su computadora (por ejemplo, su Escritorio).

2. Cuando se complete la descarga, navegue a su Escritorio y "Extraer" el "decrypt_cryptodefense.zip" Archivo.

3. Ahora haga doble clic para ejecutar el "decrypt_cryptodefense ” utilidad.

4. Finalmente presione el botón "Descifrar”Para descifrar sus archivos.

Fuente - Información adicional: Un tutorial detallado sobre cómo descifrar archivos cifrados CryptoDefense utilizando Descifrador de Emsisoft La utilidad se puede encontrar aquí: http://www.bleepingcomputer.com/virus-removal/cryptodefense-ransomware-information#emsisoft

Cryptorbit o HowDecrypt: información y descifrado de virus.

Criptorbit o HowDecrypt virus es un virus ransomware que puede cifrar todos los archivos de su computadora. Una vez que su computadora esté infectada con Criptorbit virus todos sus archivos críticos están cifrados independientemente de su extensión (tipo de archivo) con un cifrado fuerte que hace que sea prácticamente imposible descifrarlos. El virus también crea dos archivos en cada carpeta infectada de su computadora ("HowDecrypt.txt”Y“ HowDecrypt.gif ”) con instrucciones detalladas sobre cómo pagar el rescate y descifrar sus archivos.

Un análisis detallado de Criptorbit La infección y eliminación de ransomware se puede encontrar en esta publicación:

Cómo eliminar el virus Cryptorbit (HOWDECRYPT) y restaurar sus archivos

Cómo descifrar archivos infectados con Cryptorbit y recuperarlos:

Para descifrar Criptorbit archivos cifrados tiene estas opciones:

UNA. La primera opción es pagar el rescate. Si decide hacerlo, proceda con el pago bajo su propio riesgo porque, según nuestra investigación, algunos usuarios recuperan sus datos y otros no.

B. La segunda opción es limpiar la computadora infectada y luego restaurar sus archivos infectados desde una copia de seguridad limpia (si tiene una).

Enlace de referencia: Cómo restaurar sus archivos de instantáneas.

D. Por último, si no tiene una copia de seguridad limpia y no puede restaurar sus archivos desde "Copias de sombra"Entonces puedes intentar descifrar Cryptorbit's archivos cifrados mediante el Anti-CryptorBit utilidad. Para hacer eso:

1.Descargar “Anti-CryptorBit"Utilidad a su computadora (por ejemplo, su Escritorio)

2. Cuando se complete la descarga, navegue a su Escritorio y "Extraer" el "Anti-CryptorBitV2.zip" Archivo.

3. Ahora haga doble clic para ejecutar el Anti-CryptorBitv2 utilidad.

4. Elija qué tipo de archivos desea recuperar. (p. ej., "JPG")

5. Finalmente, elija la carpeta que contiene los archivos corruptos / encriptados (JPG) y luego presione el botón “Comienzo”Para arreglarlos.

Cryptolocker: información y descifrado de virus.

Cryptolocker (también conocido como "Troj / Ransom-ACP”, “Troyano. Ransomcrypt. F”) Es un virus ransomware desagradable (TROJAN) y cuando infecta su computadora, cifra todos los archivos independientemente de su extensión (tipo de archivo). La mala noticia de este virus es que, una vez que infecta su computadora, sus archivos críticos se cifran con un cifrado fuerte y es prácticamente imposible descifrarlos. Una vez que una computadora está infectada con el virus Cryptolocker, aparece un mensaje de información en la computadora de la víctima exigiendo un pago (rescate) de 300 $ (o más) para descifrar sus archivos.

Un análisis detallado de Cryptolocker La infección y eliminación de ransomware se puede encontrar en esta publicación:

Cómo eliminar CryptoLocker Ransomware y restaurar sus archivos

Cómo descifrar archivos infectados con Cryptolocker y recuperarlos:

Para descifrar Cryptolocker archivos infectados tiene estas opciones:

UNA. La primera opción es pagar el rescate. Si decide hacerlo, proceda con el pago bajo su propio riesgo porque, según nuestra investigación, algunos usuarios recuperan sus datos y otros no.

B. La segunda opción es limpiar la computadora infectada y luego restaurar sus archivos infectados desde una copia de seguridad limpia (si tiene una).

Enlace de referencia: Cómo restaurar sus archivos de instantáneas.

D. En agosto de 2014, FireEye & Fox-IT han lanzado un nuevo servicio que recupera la clave de descifrado privada para los usuarios que fueron infectados por el ransomware CryptoLocker. El servicio se llama 'DescifrarCryptoLocker' (el servicio se ha interrumpido), está disponible a nivel mundial y no requiere que los usuarios se registren o proporcionen información de contacto para poder usarlo.

Para utilizar este servicio, debe visitar este sitio: (el servicio ha descontinuado) y cargue un archivo CryptoLocker encriptado desde la computadora infectada (Aviso: cargue un archivo que no contenga información confidencial o privada). Después de hacer eso, debe especificar una dirección de correo electrónico para recibir su clave privada y un enlace para descargar la herramienta de descifrado. Finalmente, ejecute la herramienta de descifrado CryptoLocker descargada (localmente en su computadora) e ingrese su clave privada para descifrar sus archivos cifrados CryptoLocker.

Puede encontrar más información sobre este servicio aquí: FireEye y Fox-IT anuncian un nuevo servicio para ayudar a las víctimas de CryptoLocker.

CryptXXX V1, V2, V3 (Variantes: .crypt, crypz o 5 caracteres hexadecimales).

CryptXXX V1 & CryptXXX V2 ransomware cifra sus archivos y agrega la extensión ".crypt" al final de cada archivo después de la infección.
CryptXXX v3 agrega la extensión ".cryptz" después del cifrado de sus archivos.

El troyano CryptXXX cifra los siguientes tipos de archivos:

.3DM, .3DS, .3G2, .3GP, .7Z, .ACCDB, .AES, .AI, .AIF, .APK, .APP, .ARC, .ASC, .ASF, .ASM, .ASP, .ASPX, ASX, .AVI, .BMP, .BRD, .BZ2, .C, .CER, .CFG, .CFM, .CGI, .CGM, .CLASS, .CMD, .CPP, .CRT, .CS, .CSR, .CSS, .CSV, .CUE, .DB, .DBF, .DCH, .DCU, .DDS, .DIF, .DIP, .DJV, .DJVU, .DOC, .DOCB, .DOCM, .DOCX, .DOT, .DOTM, .DOTX, .DTD, .DWG, .DXF, .EML, .EPS, .FDB, .FLA, .FLV, .FRM, .GADGET, .GBK, .GBR, .GED, .GIF, .GPG, .GPX, .GZ, .H, .H, .HTM, .HTML, .HWP, .IBD, .IBOOKS, .IFF, .INDD, .JAR, .JAVA, .JKS, .JPG, .JS, .JSP, .KEY, .KML, .KMZ, .LAY, .LAY6, .LDF, .LUA, .M, .M3U, .M4A, .M4V, .MAX, .MDB, .MDF, .MFD, .MID, .MKV, .MML, .MOV, .MP3, .MP4, .MPA, .MPG, .MS11, .MSI, .MYD, .MYI, .NEF, .NOTE, .OBJ, .ODB, .ODG, .ODP, .ODS, .ODT, .OTG, .OTP, .OTS, .OTT, .P12, .PAGES, .PAQ, .PAS, .PCT, .PDB, .PDF, .PEM, .PHP, .PIF, .PL, .PLUGIN, .PNG, .POT, .POTM, .POTX, .PPAM, .PPS, .PPSM, .PPSX, .PPT, .PPTM, .PPTX, .PRF, .PRIV, .PRIVAT, .PS, PSD, .PSPIMAGE, .PY, .QCOW2, .RA, .RAR, .RAW, .RM, .RSS, .RTF, .SCH, .SDF, .SH, .SITX, .SLDX, .SLK, .SLN, .SQL, .SQLITE, .SQLITE, .SRT, .STC, .STD, .STI, .STW, .SVG, .SWF, .SXC, .SXD, .SXI, .SXM, .SXW, .TAR, .TBK, .TEX, .TGA, .TGZ, .THM, .TIF, .TIFF, .TLB, .TMP, .TXT, .UOP, .UOT, .VB, .VBS, .VCF, .VCXPRO, .VDI, .VMDK, .VMX, .VOB, .WAV, .WKS, .WMA, .WMV, .WPD, .WPS, .WSF, .XCODEPROJ, .XHTML, .XLC, .XLM, .XLR, .XLS, .XLSB, .XLSM, .XLSX, .XLT, .XLTM, .XLTX, .XLW, .XML, .YUV, .ZIP, .ZIPX

Cómo descifrar archivos CryptXXX.

Si está infectado con CryptXXX Versión 1 o Versión 2, utilice Herramienta RannohDecryptor de Kaspersky para descifrar sus archivos.

Si está infectado con CryptXXX Versión 3, utilice Descifrador de archivos de ransomware de Trend Micro. *

Nota: Debido al cifrado avanzado del virus CryptXXX V3, actualmente solo es posible el descifrado parcial de datos y debe utilizar una herramienta de reparación de terceros para reparar sus archivos como: http://www.stellarinfo.com/file-repair/file-repair-toolkit.php

Locky y AutoLocky (Variantes: .locky)

Locky ransomware cifra sus archivos mediante el cifrado RSA-2048 y AES-128 y, después de la infección, todos sus archivos se renombran con un nombre de archivo único (32 caracteres) con la extensión ".locky" (por ejemplo, "1E776633B7E6DFE7ACD1B1A5E9577BCE.locky"). Locky El virus puede infectar unidades locales o de red y durante la infección crea un archivo llamado "_HELP_instructions.html"en cada carpeta infectada, con instrucciones sobre cómo pagar el rescate y descifrar sus archivos usando el navegador TOR.

AutoLocky es otra variante del virus Locky. La principal diferencia entre Locky y Autolocky es que Autolocky no cambiará el nombre original del archivo durante la infección. (p. ej., si un archivo se llama "Document1.doc"antes de la infección, Autolocky le cambia el nombre a"Document1.doc.locky")

Cómo descifrar archivos .LOCKY:

La primera opción es limpiar la computadora infectada y luego restaurar sus archivos infectados desde una copia de seguridad limpia (si tiene una).
La segunda opción, si no tiene una copia de seguridad limpia, es restaurar sus archivos en versiones anteriores desde "Copias de sombra”. Cómo restaurar sus archivos de instantáneas.
La tercera opción es utilizar el Decrypter de Emsisoft para AutoLocky para descifrar sus archivos. (La herramienta de descifrado solo funciona para Autolocky).

Trojan-Ransom. Win32.Rector - Información de virus y descifrado.

El Troyano Rector cifra archivos con las siguientes extensiones: .Doc, .jpg, .pdf.rar, y despues de la infeccion eso los hace inutilizables. Una vez que sus archivos estén infectados con Troyano Rector, luego, las extensiones de los archivos infectados se cambian a .VSCRYPT, .INFECTADO, .KORREKTOR o .BLOQUE POLÍTICO y esto los vuelve inutilizables. Cuando intenta abrir los archivos infectados, aparece un mensaje en caracteres cirílicos en su pantalla que contiene la demanda de rescate y los detalles del pago. El ciberdelincuente que comete Troyano Rector llamado "††KOPPEKTOP†† y solicita comunicarse con él por correo electrónico o ICQ (CORREO ELECTRÓNICO: [email protected] / ICQ: 557973252 o 481095) para dar instrucciones sobre cómo desbloquear sus archivos.

Cómo descifrar archivos infectados con Trojan Rector y recuperar sus archivos:

Consejo: Copie todos los archivos infectados en un directorio separado y cierre todos los programas abiertos antes de proceder a escanear y descifrar los archivos afectados.

1. Descargar Rector Decryptorutilidad (de Kaspersky Labs) a tu computador.

2. Cuando se complete la descarga, ejecute RectorDecryptor.exe.

3. Presione el "Iniciar escaneo”Para escanear sus discos en busca de archivos cifrados.

4. Deja el RectorDecryptor utilidad para escanear y descifrar los archivos cifrados (con extensiones .vscrypt, .infected, .bloc, .korrektor) y luego seleccione la opción "Eliminar archivos cifrados después del descifrado”Si el descifrado fue exitoso. *

* Después del descifrado, puede encontrar un registro de informes del proceso de escaneo / descifrado en la raíz de su unidad C: \ (por ejemplo, "C: \ RectorDecryptor.2.3.7.0_10.02.2011_15.31.43_log.txt”).

5. Finalmente, continúe verificando y limpiando su sistema de los programas de malware que puedan existir en él.

Fuente - Información adicional:http://support.kaspersky.com/viruses/disinfection/4264#block2

Trojan-Ransom. Win32.Xorist, Trojan-Ransom. MSIL.Vandev - Información y descifrado de virus.

ElTroyano Ransom Xorist & Troyano Ransom Valdev, cifra archivos con las siguientes extensiones:

doc, xls, docx, xlsx, db, mp3, waw, jpg, jpeg, txt, rtf, pdf, rar, zip, psd, msi, tif, wma, lnk, gif, bmp, ppt, pptx, docm, xlsm, pps, ppsx, ppd, tiff, eps, png, ace, djvu, xml, cdr, max, wmv, avi, wav, mp4, pdd, html, css, php, aac, ac3, amf, amr, mid, midi, mmf, mod, mp1, mpa, mpga, mpu, nrt, oga, ogg, pbf, ra, ram, crudo, saf, val, ola, guau, wpk, 3g2, 3gp, 3gp2, 3 mm, amx, avs, bicicleta, papelera, dir, divx, dvx, evo, flv, qtq, tch, rts, ron, rv, scn, srt, stx, svi, swf, trp, vdo, wm, wmd, wmmp, wmx, wvx, xvid, 3d, 3d4, 3df8, pbs, adi, ais, amu, arr, bmc, bmf, cag, leva, dng, tinta, jif, jiff, jpc, jpf, jpw, mag, mic, mip, msp, nav, ncd, odc, odi, opf, qif, qtiq, srf, xwd, abw, act, adt, aim, ans, asc, ase, bdp, bdr, babero, boc, crd, diz, dot, dotm, dotx, dvi, dxe, mlx, err, euc, preguntas frecuentes, fdr, fds, gthr, idx, kwd, lp2, ltr, hombre, mbox, msg, nfo, ahora, odm, a menudo, pwi, rng, rtx, ejecutar, ssa, texto, unx, wbk, wsh, 7z, arco, ari, arj, coche, cbr, cbz, gz, gzig, jgz, pak, pcv, puz, r00, r01, r02, r03, rev, sdn, sen, sfs, sfx, sh, shar, shr, sqx, tbz2, tg, tlz, vsi, wad, guerra, xpi, z02, z04, zap, zipx, zoo, ipa, isu, jar, js, udf, adr, ap, aro, asa, ascx, ashx, asmx, asp, aspx, asr, átomo, bml, cer, cms, crt, dap, htm, moz, svr, url, wdgt, abk, bic, grande, blp, bsp, cgf, chk, col, cty, dem, elf, ff, gam, grf, h3m, h4r, iwd, ldb, lgp, lvl, mapa, md3, mdl, mm6, mm7, mm8, nds, pbp, ppf, pwf, pxp, triste, sav, scm, scx, sdt, spr, sud, uax, umx, unr, uop, estados unidos, usx, ut2, ut3, utc, utx, uvx, uxx, vmf, vtf, w3g, w3x, wtd, wtf, ccd, cd, cso, disco, dmg, dvd, fcd, flp, img, iso, isz, md0, md1, md2, mdf, mds, nrg, nri, vcd, vhd, snp, bkf, ade, adpb, dic, cch, ctt, dal, ddc, ddcx, dex, dif, dii, itdb, itl, kmz, lcd, lcf, mbx, mdn, odf, odp, ods, pab, pkb, pkh, maceta, potx, pptm, psa, qdf, qel, rgn, rrt, rsw, rte, sdb, sdc, sds, sql, stt, t01, t03, t05, tcx, thmx, txd, txf, upoi, vmt, wks, wmdb, xl, xlc, xlr, xlsb, xltx, ltm, xlwx, mcd, tapa, cc, cod, cp, cpp, cs, csi, dcp, dcu, dev, dob, dox, dpk, dpl, dpr, dsk, dsp, eql, ex, f90, fla, para, fpp, jav, java, lbi, búho, pl, plc, pli, pm, res, rnc, rsrc, entonces, swd, tpu, tpx, tu, tur, vc, yab, 8ba, 8bc, 8be, 8bf, 8bi8, bi8, 8bl, 8bs, 8bx, 8by, 8li, aip, amxx, ape, api, mxp, oxt, qpx, qtr, xla, xlam, xll, xlv, xpt, cfg, cwf, dbb, slt, bp2, bp3, bpl, clr, dbx, jc, potm, ppsm, prc, prt, shw, std, ver, wpl, xlm, yps, md3.

Después de la infección,Troyano Ransom Xorist compromete la seguridad de su computadora, hace que su computadora sea inestable y muestra mensajes en su pantalla exigiendo un rescate para descifrar los archivos infectados. Los mensajes también contienen información sobre cómo pagar el rescate para obtener la utilidad de descifrado de los ciberdelincuentes.

Cómo descifrar archivos infectados con Trojan Win32.Xorist o Trojan MSIL.Vandev:

Consejo: Copie todos los archivos infectados en un directorio separado y cierre todos los programas abiertos antes de proceder a escanear y descifrar los archivos afectados.

1. Descargar Descifrador Xoristautilidad (de Kaspersky Labs) a tu computador.

2. Cuando se complete la descarga, ejecute XoristDecryptor.exe.

Nota: Si desea eliminar los archivos cifrados cuando se complete el descifrado, haga clic en "Cambiar parámetros"Y marque la opción"Eliminar archivos cifrados después del descifrado"Casilla de verificación debajo de"Opciones adicionales”.

3. Presione el "Iniciar escaneo" botón.

4. Ingrese la ruta de al menos un archivo cifrado y luego espere hasta que la utilidad descifre los archivos cifrados.

5. Si el descifrado fue exitoso, reinicie su computadora y luego escanee y limpie su sistema de los programas de malware que puedan existir en él.

Fuente - Información adicional: http://support.kaspersky.com/viruses/disinfection/2911#block2

Trojan-Ransom. Win32.Rakhni - Información y descifrado de virus.

El Troyano Ransom Rakhni cifra los archivos cambiando las extensiones de los archivos de la siguiente manera:

..
..
..
..
..
..
..
..
..
..pizda @ qq_com

Después del cifrado, sus archivos no se pueden utilizar y la seguridad de su sistema se ve comprometida. También el Trojan-Ransom. Win32.Rakhni crea un archivo en su %DATOS DE APLICACIÓN% carpeta llamada "exit.hhr.oshit”Que contiene la contraseña cifrada de los archivos infectados.

Advertencia: El Trojan-Ransom. Win32.Rakhni crea el "exit.hhr.oshit”Archivo que contiene una contraseña cifrada para los archivos del usuario. Si este archivo permanece en la computadora, lo descifrará con el RakhniDecryptor utilidad más rápido. Si se eliminó el archivo, se puede recuperar con las utilidades de recuperación de archivos. Una vez recuperado el archivo, colóquelo en %DATOS DE APLICACIÓN% y ejecute el escaneo con la utilidad una vez más.

%DATOS DE APLICACIÓN% ubicación de la carpeta:

Windows XP: C: \ Documentos y configuraciones \\Datos de la aplicación
Windows 7/8: C: \ Usuarios \\ AppData \ Roaming

Cómo descifrar archivos infectados con Trojan Rakhni y recuperar sus archivos:

1. Descargar Descifrador Rakhniutilidad (de Kaspersky Labs) a tu computador.

2. Cuando se complete la descarga, ejecute RakhniDecryptor.exe.

3. Presione el "Iniciar escaneo”Para escanear sus discos en busca de archivos cifrados.

4. Introduzca la ruta de al menos un archivo cifrado (p. Ej., "file.doc.locked") Y luego espere hasta que la utilidad recupere la contraseña del"exit.hhr.oshit"Archivo (tenga en cuenta el Advertencia) y descifra sus archivos.

Fuente - Información adicional: http://support.kaspersky.com/viruses/disinfection/10556#block2

Trojan-Ransom. Win32.Rannoh (Trojan-Ransom. Win32.Cryakl): información y descifrado de virus.

El Troyano Rannoh o Troyano Cryakl cifra todos los archivos en su computadora de la siguiente manera:

En caso de Trojan-Ransom. Win32.Rannoh infección, los nombres de archivo y las extensiones se cambiarán de acuerdo con la plantilla bloqueada...
En caso de Trojan-Ransom. Win32.Cryakl infección, la etiqueta {CRYPTENDBLACKDC} se agrega al final de los nombres de archivo.

Cómo descifrar archivos infectados con Trojan Rannoh o Trojan Cryakl y recuperar sus archivos:

Importante: ElDescifrador de Rannoh La utilidad descifra archivos comparando un archivo cifrado y otro descifrado. Entonces, si quieres usar el Descifrador de Rannoh utilidad para descifrar archivos, debe poseer una copia original de al menos un archivo cifrado antes de la infección (por ejemplo, de una copia de seguridad limpia).

1. Descargar Descifrador de Rannohutilidad a su computadora.

2. Cuando se complete la descarga, ejecute RannohDecryptor.exe

Nota: Si desea eliminar los archivos cifrados una vez que se haya completado el descifrado, haga clic en "Cambiar parámetros"Y marque la opción"Eliminar archivos cifrados después del descifrado"Casilla de verificación debajo de"Opciones adicionales”.

3. Presione el "Iniciar escaneo" botón.

4. Leer el "Informacion requerida"Mensaje y luego haga clic en"Continuar”Y especifique la ruta a una copia original de al menos un archivo cifrado antes de la infección (limpio - original - archivo) y la ruta al archivo cifrado (infectado - archivo cifrado).

5. Después del descifrado, puede encontrar un registro de informes del proceso de escaneo / descifrado en la raíz de su unidad C: \. (p.ej. "C: \ RannohDecryptor.1.1.0.0_02.05.2012_15.31.43_log.txt”).

Fuente - Información adicional: http://support.kaspersky.com/viruses/disinfection/8547#block1

TeslaCrypt (variantes: .ecc, .ezz, .exx, .xyz, .zzz,. aaa, .abc, .ccc y .vvv)

El TeslaCrypt El virus ransomware agrega las siguientes extensiones a sus archivos: .ecc, .ezz, .exx, .xyz, .zzz,. aaa, .abc, .ccc y .vvv.

Cómo descifrar archivos TeslaCrypt:

Si está infectado con el virus TeslaCrypt, utilice una de estas herramientas para descifrar sus archivos:

TeslaDecoder: Más información e instrucciones sobre el uso TeslaDecoder se puede encontrar en este artículo: http://www.bleepingcomputer.com/forums/t/576600/tesladecoder-released-to-decrypt-exx-ezz-ecc-files-encrypted-by-teslacrypt/
Descifrador de archivos de Trend Micro Ransomware.

TeslaCrypt V3.0 (variantes: .xxx, .ttt, .micro, .mp3)

El TeslaCrypt 3.0 El virus ransomware agrega las siguientes extensiones a sus archivos: .xxx, .ttt, .micro y .mp3

Cómo descifrar archivos TeslaCrypt V3.0:

Si está infectado con TeslaCrypt 3.0 luego intente recuperar sus archivos con:

Descifrador de archivos Micro Ransomware de Trend herramienta.
RakhniDecryptor (Como guiar)
Decodificador Tesla (Como guiar)
Tesladecrypt - McAfee

TeslaCrypt V4.0 (el nombre y la extensión del archivo no se modifican)

Para descifrar archivos TeslaCrypt V4, pruebe una de las siguientes utilidades:

Descifrador de archivos Micro Ransomware de Trend herramienta.
RakhniDecryptor (Como guiar)
Decodificador Tesla (Como guiar)

EnzoS.
8 de octubre de 2016 a las 8:01 a.m.