Cryptolocker (también conocido como "Troj / Ransom-ACP”, “Troyano. Ransomcrypt. F”) Es un software de ransomware que, cuando infecta su computadora, cifra todos los archivos que contiene. La mala noticia de este virus es que, una vez que infecta su computadora, sus archivos críticos se cifran con un cifrado fuerte y es prácticamente imposible descifrarlos.
El Cryptolocker Ransomware exige que realice un pago de 300 $ o 300 € en un período de tiempo específico (p. Ej. 72h o 100h), a través de un servicio de pago (por ejemplo, MoneyPak, Ukash, PaySafeCard, etc.) para desbloquear su archivos. de lo contrario, después de ese período, nadie podrá restaurarlos ni descifrarlos.
El Cryptolocker no es un virus, sino un software malicioso y probablemente infecta su computadora cuando abre un archivo adjunto de correo electrónico desde un remitente legítimo que parece inocente o de sus recursos compartidos de red o de una unidad USB externa que se conectó a su computadora.
Una vez Cryptolocker infecta su computadora, comienza a cifrar todos los archivos personales en su computadora y luego envía la clave de descifrado, conocida como "
ID de CryptoLocker”- a un servidor en línea. Cuando Cryptolocker termina de cifrar sus archivos, aparece un mensaje de notificación en su pantalla exigiendo un pago inmediato para desbloquearlos. El mensaje te informa que “Tus archivos personales han sido encriptados y tienes 72 horas para pagarnos 300 $”.A partir de nuestra investigación en varios sitios, podemos informar a nuestros lectores que, en algunos casos, los archivos permanecen encriptados, a pesar de que el usuario realiza el pago. Así que tome esta decisión (pagar para desbloquear sus archivos) bajo su propio riesgo. La otra opción es eliminar la infección CryptoLocker Ransomware de su computadora, pero en este caso, debe darse cuenta de que sus archivos permanecerán encriptados, incluso si desinfecta su computadora de esta desagradable malware. Si toma esta decisión (para desinfectar su computadora), la única forma de restaurar sus archivos es a partir de instantáneas mediante el uso de Windows "Restaurar versiones anteriores”Característica que se encuentra en los últimos sistemas operativos.
Actualizar: (Agosto de 2014):FireEye & Fox-IT han lanzado un nuevo servicio que recupera la clave de descifrado privada para los usuarios que fueron infectados por el ransomware CryptoLocker. El servicio se llama 'DescifrarCryptoLocker', (el servicio se ha interrumpido) está disponible en todo el mundo y no requiere que los usuarios se registren o proporcionen información de contacto para poder utilizarlo.
Para utilizar este servicio, debe visitar este sitio: (el servicio se ha interrumpido) y cargue un archivo CryptoLocker encriptado desde la computadora infectada (Aviso: cargue un archivo que no contenga información confidencial o privada). Después de hacer eso, debe especificar una dirección de correo electrónico para recibir su clave privada y un enlace para descargar la herramienta de descifrado. Finalmente, ejecute la herramienta de descifrado CryptoLocker descargada (localmente en su computadora) e ingrese su clave privada para descifrar sus archivos cifrados CryptoLocker.
Puede encontrar más información sobre este servicio aquí: FireEye y Fox-IT anuncian un nuevo servicio para ayudar a las víctimas de CryptoLocker.
UNA VEZ MÁS:NO CONTINÚE QUITANDO EL VIRUS CRYPTOLOCKER A MENOS QUE:
TIENE UNA COPIA DE SEGURIDAD LIMPIA DE SUS ARCHIVOS ALMACENADOS EN UN LUGAR DIFERENTE (como un disco duro portátil desconectado)
o
NO NECESITA LOS ARCHIVOS CIFRADOS PORQUE NO SON TAN IMPORTANTES PARA USTED.
o
QUIERE PROBAR RESTAURAR SUS ARCHIVOS UTILIZANDO LA FUNCIÓN DE COPIAS SOMBRAS (Paso 5).
Entonces, si ha tomado su decisión final, proceda primero a eliminar la infección Cryptolocker Ransomware de su computadora y luego intente restaurar sus archivos siguiendo los pasos a continuación:
Cómo deshacerse de CryptoLocker RansomWare & Restaurar archivos cifrados con Cryptolocker.
Guía de eliminación de CryptoLocker RansomWare
Paso 1: inicie su computadora en "Modo seguro con funciones de red"
Usuarios de Windows 7, Vista y XP:
1. Apaga tu computadora.
2.Enciende tu computadora (Encendido) y, mientras su computadora se está iniciando, imprenta el "F8"antes de que aparezca el logotipo de Windows.
3. Con las flechas del teclado, seleccione "Modo seguro con funciones de red"y presione" Enter ".
Usuarios de Windows 8 y 8.1*:
* También funciona en Windows 7, Vista y XP.
1. Imprenta "Ventanas” + “R"Claves para cargar el Correr caja de diálogo.
2. Escribe "msconfig"Y presione Ingresar.
3. Haga clic en el Bota pestaña y marque "Arranque seguro” & “Red”.
4. Haga clic en "OK" y reiniciar tu computadora.
Nota: Para iniciar Windows en "Modo normal"De nuevo, tienes que desmarcar la"Arranque seguro”Mediante el mismo procedimiento.
Paso 2. Detenga y limpie los procesos en ejecución maliciosos.
1.Descargar y ahorrar "RogueKiller"utilidad en su computadora '* (por ejemplo, su escritorio)
Aviso*: Descargar versión x86 o X64 según la versión de su sistema operativo. Para encontrar la versión de su sistema operativo, "Botón derecho del ratón"en el ícono de tu computadora, elige"Propiedades"y mira"Tipo de sistema" sección
2.Haga doble clic correr RogueKiller.
3. Dejar el prescan para completar y luego presione "Escanear"para realizar un escaneo completo.
3. Cuando se complete el escaneo completo, presione el "Borrar" para eliminar todos los elementos maliciosos encontrados.
4. Cerca RogueKiller y continúe con el siguiente paso.
Paso 3. Limpio su computadora de permanecer amenazas maliciosas.
Descargar y Instalar en pc uno de los programas anti-malware GRATUITOS más confiables de la actualidad para limpiar su computadora de las amenazas maliciosas restantes. Si desea mantenerse constantemente protegido de las amenazas de malware, existentes y futuras, le recomendamos que instale Malwarebytes Anti-Malware PRO:
Protección Malwarebytes ™
Elimina spyware, adware y malware.
¡Inicie su descarga gratuita ahora!
1. Correr "Malwarebytes Anti-Malware" y permita que el programa se actualice a su última versión y base de datos maliciosa si es necesario.
2. Cuando aparezca la ventana principal de "Malwarebytes Anti-Malware" en su pantalla, elija la opción "Realizar escaneo rápido"opción y luego presione"Escanear"y deje que el programa escanee su sistema en busca de amenazas.
3. Cuando se complete el escaneo, presione "OK" para cerrar el mensaje de información y luego imprenta el "Mostrar resultados" botón para vista y retirar las amenazas maliciosas encontradas.
.
4. En la ventana "Mostrar resultados" cheque - usando el botón izquierdo del mouse- todos los objetos infectados y luego elija el "Eliminar selección"y deje que el programa elimine las amenazas seleccionadas.
5. Cuando se completa el proceso de eliminación de objetos infectados, "Reinicie su sistema para eliminar todas las amenazas activas correctamente"
6. Continuar con el próximo paso.
Etapa 4. Eliminar archivos ocultos Cryptolocker Ransomware.
Aviso: Debe habilitar la vista de archivos ocultos para realizar esta tarea.
- Cómo habilitar la vista de archivos ocultos en Windows 7
- Cómo habilitar la vista de archivos ocultos en Windows 8
1. Navegue a las siguientes rutas y elimine todos los archivos ocultos de Cryptolocker:
Para Windows XP:
- C: \ Documentos y configuraciones \
\ Datos de programa \ RandomFileName.exe
p.ej. {DAEB88E5-FA8E-E0D1-8FCD-BFC7D2F6ED25} .exe
- C: \ WINDOWS \ system32 \ msctfime.ime
Para Windows Vista o Windows 7:
- C: \ Usuarios \
\ AppData \ Roaming \ RandomFileName.exe
p.ej. {DAEB88E5-FA8E-E0D1-8FCD-BFC7D2F6ED25} .exe
- C: \ WINDOWS \ system32 \ msctfime.ime
2. Finalmente, elimine todos los archivos y carpetas en sus carpetas TEMP:
Para Windows XP:
- C: \ Documentos y configuraciones \
\ Configuración local \ Temp \ - C: \ Windows \ Temp \
Para Windows Vista o Windows 7:
- C: \ Usuarios \
\ AppData \ Local \ Temp \ - C: \ Windows \ Temp \
Restaure sus archivos de instantáneas.
Paso 5. Restaurar sus archivos después de la infección por Cryptolocker
Después de haber desinfectado su computadora del virus Cryptolocker, es hora de intentar restaurar sus archivos a su estado anterior a la infección. Para estos métodos, usamos la función Instantánea que se incluye en Windows XP y los últimos sistemas operativos (Windows 8, 7 y Vista)
Método 1: Restaure archivos cifrados con Cryptolocker usando la función "Restaurar versiones anteriores" de Windows.
Método 2: Restaure archivos cifrados con Cryptolocker usando Shadow Explorer.
Método 1: Restaurar archivos cifrados con Cryptolocker utilizando la función "Restaurar versiones anteriores" de Windows.
Cómo restaurar archivos cifrados con CryptoLocker utilizando la función "Restaurar versiones anteriores" de Windows:
1. Navegue hasta la carpeta o el archivo que desea restaurar en un estado anterior y botón derecho del ratón en eso.
2. En el menú desplegable, seleccione "Restaurar versiones anteriores”. *
Aviso* por Windows XP usuarios: seleccione "Propiedades"Y luego el"Versión anterior" pestaña.
3. Luego elija una versión particular de carpeta o archivo y presione el:
- “Abierto”Para ver el contenido de esa carpeta / archivo.
- “Dupdo”Para copiar esta carpeta / archivo a otra ubicación en su computadora (por ejemplo, su disco duro externo).
- “Restaurar”Para restaurar el archivo de la carpeta en la misma ubicación y reemplazar el existente.
Método 2: Restaurar archivos cifrados con Cryptolocker usando Shadow Explorer.
Cómo restaurar archivos cifrados con CryptoLocker usando la utilidad "Shadow Explorer".
ShadowExplorer, es un reemplazo gratuito para el Versión anterior característica de Microsoft Windows Vista / 7/8. Puede restaurar archivos perdidos o dañados desde Copias de sombra.
1. Descargar Explorador de sombras utilidad de aquí. (Puede descargar el Instalador de ShadowExplorer o la Versión portátil Del programa).
2. Correr Explorador de sombras utilidad y luego seleccione la fecha en la que desea restaurar la instantánea de su carpeta / archivos.
3. Ahora navegue a la carpeta / archivo que desea restaurar su versión anterior, botón derecho del ratón en él y seleccione "Exportar”
4. Por último, especifique dónde se exportará / guardará la instantánea de su carpeta / archivo (por ejemplo, su escritorio) y presione "OK”
Eso es.
El ataque de ransomware hace que los dispositivos de almacenamiento sean inaccesibles y los expertos aún no han sugerido una solución específica que pueda solucionar fácilmente este problema. Sin embargo, si tiene un software de recuperación de datos de Windows, puede recuperar fácilmente sus archivos en los discos duros afectados por el ransomware.
¿Mi Win 7 Pro está infectado con RSA 1024? por alguna razón para completar los pasos, las carpetas de administración y administración no faltan??? todos los archivos dicen que se perdió el acceso a Internet encriptado para descargar cualquier cosa. Ahora está desconectado, no se puede usar. ¿Qué sigue? frustrado
Uf, lo estaba haciendo muy bien hasta la parte sobre la eliminación de archivos ocultos. Pude habilitar los ocultos, pero ¿a dónde voy para acceder a mis archivos, para poder eliminar los peligros ocultos? Tengo Windows 7. Muchas gracias por su ayuda.
Hola
mi laboratorio infecta de RSA4096
. todos mis datos son código y no puedo abrirlos.
Tengo una copia de seguridad de algunos datos en otra computadora.
Puede clave fina con dos archivos (salud y daño). ¿Tiene software para la clave de descubrimiento y el programa de descifrado?
por favor envíeme una respuesta por correo electrónico
si su instantánea está habilitada en todas las unidades, pero de forma predeterminada solo en la unidad local c shadow enable. pero el resto de la unidad necesita habilitar la sombra, en mi caso, recupero todos mis archivos de cifrado que están en la unidad local c, pero la mayoría de mis datos estaban en la unidad local d, que todavía no se recupera. si alguien me puede ayudar será genial.
¿Por qué los piratas informáticos profesionales que hacen el bien como anomios bloquean a estos hackers de escoria de la tierra que están atacando Computadoras familiares inocentes, es decir, robar a los pobres para pagar a los ricos, es decir, generar millones de dólares para cadenas de tiendas como Staples etc ???
Hola lakonst,
Mi disco formateado C / D ya no está encriptado después del formateo. Ejecuté Malwarebytes y algún otro software de detección, creo que mi sistema está limpio. Al igual que lo que mencionó en su mensaje, mi comprensión del software de recuperación también es que primero debe eliminarse para poder recuperarlo. La cuestión es que los archivos en C / D no son importantes para mí, son los archivos en F / G (que no han sido formateados y todavía están encriptados) los que necesito desesperadamente. Entonces, dado que F / G todavía están en su estado encriptado, ¿es mi única opción pagar?
Muchas gracias de nuevo, eres la única respuesta que he recibido hasta ahora.
¡Muchas gracias por la respuesta! He pasado mi tiempo tratando de recuperar F / G, que es donde están todas las cosas importantes. No he ejecutado la recuperación en el C / D formateado ya que, para empezar, no hay mucho más que el sistema operativo y los programas. Mi situación es que guardo archivos importantes en F / G y cuando necesito usar los archivos, conecto F / G a la computadora y empiezo a trabajar. Probaré EaseUS en F / G ahora, pero hasta ahora PhotoRec solo ha podido recoger archivos inútiles en F / G. No estoy seguro de la naturaleza de los programas de recuperación, pero para su información, rara vez elimino cosas en F / G. La foto de mi hijo, por ejemplo (que es mi principal dolor de cabeza en esta situación), solo la guardaría en F / G y rara vez las eliminaría. Si necesita otros detalles, hágamelo saber. el reloj está contando atrás para mí. Al igual que mi mensaje anterior mencionado, estoy en el límite de estar listo para pagar, pero habiendo formateado C / D, ¿esto afectará el proceso de descifrado? ¡Muchas gracias!
Hola, me atacaron con rsa 4096 hace aproximadamente 2 días. Acababa de formatear mis discos C / D y estaba descargando algunos programas en la computadora. Cometí un error al descargar algo desconocido... y la razón por la que estoy aquí es porque después de que todo fue encriptado, con prisa y no conociendo la naturaleza de este malware, formateé mi disco principal y lo hice sin pensar que mi otra unidad de disco podría verse afectada ya. Entonces, lo que tengo ahora es una unidad de disco formateada C y D, y una unidad de disco cifrada F y G. No se mostraron archivos con Shadow Explorer, estoy probando un software de recuperación diferente y está recogiendo algunos archivos antiguos que eliminé, pero no los archivos que necesito. Todavía lo estoy intentando, pero en este punto estoy listo para pagar, y mi principal preocupación es ¿puedo descifrar aún después de haber formateado el disco principal? ¡Gracias a todos!
Este virus o lo que sea, quiere eliminar 2000 archivos que tengo. Incluyen mis juegos de Sims que son importantes para mí. Mi pregunta es: ¿Qué uso para eliminar los archivos ocultos de Cryptolocker? Tengo Windows 8 y no está escrito si puedo usarlo en Windows 8.
Hola, recibí este malware hace 2 días, limpié mi computadora pero puedo descifrar mis archivos. Así que decidí transferir mis archivos descifrados a mi disco duro externo, pero mientras realizaba la transferencia vi este archivo de texto que se llamaba RECOVERY_KEY.TXT. Me preguntaba ¿qué es esto? No sé si esta es la clave para recuperar mis archivos. ¿Qué piensas?
Estas son las cosas en ese texto cuando hago clic en este archivo:
1LnZxy5kbLomVQP6v92UYHwPCPcQppWCCa
03E8C1CDB6A42F8F434F3D158B733031F96C9C9A5247C7D9C0367A56EBFFDE11
4CDBE7366FFA75CD6AA0FE46766DB18AECA258A84DC7E4A05D9A1FB1D7515F6E014D6D3BC4D004024C14B0E5A103529A44471FB1242C16158A5BC1BBBB680B3C
¿Qué quiere decir esto?
Probé ambos métodos y fallé. Usé Shadow Explorer pero no pude obtener ninguna fecha fuera de la fecha afectada.
El formateo de la computadora borrará completamente el muro de cifrado. Creo que me dirigiré a ese camino y perderé tantos recuerdos de fotos de mi hijo.
Tengo Windows 8.1 y tengo problemas para iniciar mi computadora portátil con el modo seguro, cuando presiono F8, las opciones de arranque no aparecen
el machanism detecta el archivo pero no los repara por favor ayúdenme a enviarme un correo, el código es RSA 1024 no tengo idea de cómo arreglarlo por favor ayúdenme
Hola, tenía algunos archivos cifrados por software de rescate en mi carpeta compartida común, pero cuando intento ejecutar el explorador de sombra en el sistema donde está almacenada la unidad me está dando un error que dice No se puede iniciar el servicio desde la línea de comando o depurador. Primero debe instalarse un servicio de Windows (usando installutil.exe) y luego iniciarse con ServerExplorer, la herramienta administrativa de servicios de Windows o el comando NET START.
¿Hay alguna forma de obtener Quickbooks a través de Shadow Explorer? Pensé que había configurado la restauración del sistema, pero no es así y Quickbooks no tiene una copia de seguridad reciente. Shadow Explorer parece estar funcionando en los archivos que he intentado, sin embargo, no tengo la opción de usarlo aquí.
¡Gracias!
Kaspersky XoristDecryptor - esto funciona para el mensaje de error siguiente: - descifra y crea nuevos archivos de todos los archivos bloqueados….
Sus archivos están bloqueados y encriptados con un
clave RSA-1024 única!
Para recuperar el acceso debe obtener el
clave privada (contraseña).
++++++++++++++++++++
Para recibir su clave privada (contraseña):
Vaya a ht ** tp: //u5ubeuzasamg54x5f3.onion.to
y siga las instrucciones.
Recibirás tu clave privada (contraseña)
en 24 horas.
Su número de identificación es 28403489
Si no puede encontrar la página, instale Tor
navegador (ht ** tps: //www.torproject.org/
projects / torbrowser.html.en) y busque
ht ** tp: //u5ubeuzasamg54x5f3.onion
++++++++++++++++++++
CUIDADO, esto NO es un virus.
La ÚNICA forma de desbloquear sus archivos / datos es
para obtener su clave privada (contraseña) o
puede considerar perdidos todos sus datos.
Tienes solo 5 días antes de la clave privada
(contraseña) se elimina de nuestro servidor,
dejando sus datos irrevocablemente rotos.
++++++++++++++++++++
BLOQUEADO EN POSESIÓN DE COPYRIGHT
MATERIAL Y SOSPECHA DE
(NIÑO) MATERIAL PORNOGRÁFICO.
Tenía Windows 7 cuando mi computadora se infectó con "cryptolocker". Volví a instalar Windows 7 y eliminé el "cryptolocker" mediante el análisis antivirus. Pero mis archivos permanecen bloqueados. No tengo una copia de seguridad de mis archivos. Intenté seguir sus órdenes aquí, pero no pude recuperar mis archivos. Instalé "ShadowExplorer" pero cuando elijo cualquier unidad que tenga archivos bloqueados, no muestra ningún archivo o carpeta. ¡Solo muestra la unidad c, que contiene solo archivos y carpetas de Windows, mientras que mis archivos bloqueados están en otras unidades, no en la unidad c!
No he podido eliminar C: \ WINDOWS \ system32 \ msctfime.ime de mi computadora con Windows XP, incluso usando la aplicación Unlocker o intentando desde una línea de comando después de matar explorer.exe. Tengo derechos de administrador. Parece que este archivo puede ser parte de una aplicación de Microsoft (Microsoft Text Frame Work Service IME). Esta es una de las páginas que incluye este archivo en la lista blanca. He limpiado mi computadora de Cryptolocker, pero este msctfime.ime todavía existe en la PC. ¿Necesito borrar este archivo?. Si es así, ¿cómo no he tenido éxito?
Buena información, lástima que uno de mis clientes recientes tuvo un "pequeño" problema con muchos Trojan / malware / spyware en su computadora portátil, lo que hace imposible usar el punto de restauración antes limpiar la computadora. También creó un documento muy importante después de que su máquina se infectara con cryptolocker, por lo que era imposible buscar una copia de sombra limpia.
Eso es lo que llamas mala suerte ...
Esto definitivamente salvó los datos de uno de mis clientes. El método 1 no funcionó, pero el método 2 funcionó de maravilla.
después de HORAS hablando con varios representantes de "tecnología" de microsoft... este sitio fue lo único que ayudó y restauró archivos. Microsoft me dijo que era imposible restaurarlo. DECIR AH. ¡¡¡GRACIAS, GRACIAS, GRACIAS!!!