¿Tu equipo portátil está infectado por el dichoso virus de la interpol?
Y además…¿Te han encriptado todos los archivos?.
Pues la verdad, es que estás teniendo un mal día.
El virus de la interpol, guardia civil, gema, policía,… ha tenido tantas mutaciones en su comportamiento como nombres diferentes tiene.
Y una de sus últimas andaduras, es la de encriptar todos los archivos de nuestro disco duro.
Encripta los archivos y los renombra como “locked-nombre del archivo.extesión aleatoria”.
Pero no te preocupes, existe una solución.
¿Cómo desencriptar nuestros archivos?
Primero: es tener una copia sin encriptar de alguno de los archivos bloqueados, ya que ambas herramientas que hemos utilizado requieren de un archivo sin encriptar. La idea es que los programas que usaremos para recuperar utilizarán el par de archivos para extraer la clave de encriptación, comparando el “sano” con el encriptado.
Para ello, podemos utilizar una foto, un documento o un archivo que nos hayamos descargado del correo o guardado en un pendrive o disco duro externo.
Podremos utilizar la música o vídeos que vienen de muestra en nuestro sistema operativo. Iremos a un equipo que esté limpio y que tenga el mismo sistema operativo para copiar dichos archivos y utilizarlos como «archivos sanos».
¿Quién dijo que no sirven para nada los vídeos y música de muestra que viene por defecto en nuestro sistema operativo?…Ahora nos pueden salvar de una buena.
Segundo: Tendremos dos programas que nos ayudaran a desencriptar nuestros archivos.
Primer programa: Avira Ramson File Unlocker
Descargaremos el programa: Avira-Ramson File Unlocker y descomprimirlo.
Es un programa que no se necesita instalar. Es un ejecutable.
Para que funcione de una mejor manera, debemos entrar en nuestro sistema operativo en Modo Seguro.
Para ello, reiniciamos nuestro sistema operativo, y presionaremos F8.
Una vez dentro de nuestro sistema operativo, ejecutaremos el programa Avira-Ramson File Unlocker como administrador.
Es muy sencillo.
Colocamos el archivo encriptado en la primera opción y abajo colocamos su archivo «sano».
Y después tenemos dos opciones:
- Unlock single file: Iremos desencriptando fichero a fichero.
- Unlock folder: Desencriptaremos todo el contenido de una carpeta.
Y dejaremos que el programa haga el trabajo por nosotros.
Si seguimos teniendo mala suerte…probemos el otro programa.
Segundo programa: Kaspersky Ranoh Decryptor
Descargaremos el programa: Karspersky Ranoh Decryptor.
Es un programa que no se necesita instalar. Es un ejecutable.
Para que funcione de una mejor manera, debemos entrar en nuestro sistema operativo en Modo Seguro.
Para ello, reiniciamos nuestro sistema operativo, y presionaremos F8.
Una vez dentro de nuestro sistema operativo, ejecutaremos el programa Kaspersky Ranoh Decryptor como administrador.
Tenemos varias opciones en «Change parameters». Allí podremos elegir los discos duros que queremos analizar. E incluso seleccionar que una vez finalice el análisis elimine los archivos encriptados.
Pincharemos en Start Scan y seleccionaremos el archivo «sano».
Y cruzaremos los dedos para que tengamos nuestros amados archivos desencriptados.
Gracias por la aportacion, pero si no cambia el nombre del archivo ni la extensión? No nos ha servido el metodo y me gustaria saber si es posible que haya otra posibilidad, los archivos que han quedado encriptados siguen teniendo el mismo nombre y extension y el tamaño solo augmenta un KB.
Hola Jaume, has encontrado algo? estoy en tu misma situacion y llevo buscando hace una semana y no he encontrado nada.
Estamos estudiando una solución. Dentro de poco os daremos una opción para recuperar vuestros datos. Es lo malo de este virus, esta mutando constantemente.
Lo sentimos mucho pero esto es lo que comenta Panda ,por ahora:
Lamentablemente no es posible recuperar los archivos encriptados por DirtyDecrypt debido al método de encriptación que utiliza.
Hemos redactado un documento en el que analizamos el funcionamento de este ransomware e indicamos las causas por las que no es posible recuperar los archivos encriptados el cual adjunto:
Análisis – Dirty Decrypt
Este ransomware, además de desactivar una serie de características de seguridad de nuestro sistema, como el centro de seguridad o el cortafuegos, cifra todos los archivos que tengan las siguientes extensiones:
.jpg,.jpeg,.png,.avi,.mpeg,.mpg,.wmv,.pdf,.doc,.rtf,.docx,.docm,.xls,.xlsx,.xlsm,.rar,.zip,.7z
Recibe su nombre del componente que nos permite descifrar los archivos cifrados (siempre que tengamos una clave proporcionada por el creador o controlador del malware), tal como nos muestra el mensaje que aparece en pantalla cuando iniciamos el sistema o abrimos alguno de los archivos cifrados por el mismo.
File is encrypted
This file can be decrypted using the program DirtyDecrypt.exe
Press CTRL + ALT + D to run DirtyDecrypt.exe
Al ejecutar el malware por primera vez, este lanza una serie de hilos sincronizados con diferentes funciones. Mientras el hilo principal se encarga de desactivar funciones de seguridad y recorrer todos los archivos del sistema, los hilos secundarios se encargan de comprobar la extensión de los archivos suministrados por el hilo principal, y en caso de que la extensión sea alguna de las mencionadas anteriormente, los cifran. Al usar varios hilos para el cifrado, este se realiza más rápido.
Durante las primeras fases de la ejecución del DirtyDecrypt se crean en el sistema un par de claves RSA1024, una pública y otra privada. Las dos se exportan a unos contenedores (blob) usando la función CryptExportKey de la CryptoAPI de Windows, y el que contiene la clave privada se cifra con otra llave pública, contenida en un recurso del DirtyDecrypt (ver cuadro). Evidentemente la clave privada asociada a esta última clave pública solo está en posesión del controlador del malware.
06 02 00 00-00 A4 00 00-52 53 41 31-00 04 00 00 ♠☻ ñ RSA1 ♦
01 00 01 00-3B 45 6C CF-A9 FB 55 3E-63 C9 7E C1 ☺ ☺ ;El¤®¹U>c╔~┴
1C 8D D2 31-A6 C4 B0 33-41 BC A4 2F-D5 C5 03 50 ∟ìÊ1ª─░3A╝ñ/ı┼♥P
74 91 8C 5B-3E C7 47 0E-CA FF 1E 5B-36 6C 27 83 tæî[>ÃG♫╩ ▲[6l’â
F6 4C 29 24-F3 37 67 18-91 BB 6B CF-21 55 EC A1 ÷L)$¾7g↑æ╗k¤!Uýí
6E 92 5A 02-2D 81 75 F2-58 5E 2B BF-17 25 5F 8E nÆZ☻-üu‗X^+┐↨%_Ä
1C A6 DE 39-AB 93 B5 D4-88 04 02 3B-EA BD 0B E3 ∟ªÌ9½ôÁÈê♦☻;Û¢♂Ò
35 9A 0F 33-A2 C6 17 B1-40 9F F6 BC-34 1A 09 16 5Ü☼3óã↨▒@ƒ÷╝4→○▬
13 2E 87 A6-D7 23 75 37-B5 8D 3B 54-7B 6C 69 6C ‼.çªÎ#u7Áì;T{lil
23 C4 FD B0-
Posteriormente se cifran los archivos usando la clave pública generada en el paso anterior, y se guarda la clave privada, ya cifrada, dentro de cada uno de los archivos cifrados. De este modo no existe posibilidad alguna de que se pierda.
Tras analizar este mecanismo podemos decir que nos resulta imposible recuperar dichos archivos cifrados, ya que:
• Todas las operaciones relacionadas con importación y exportación de certificados, generación de claves y cifrado se realizan usando la CryptoAPI de Windows, que a día de hoy se ha demostrado una implementación perfectamente segura.
• Las operaciones de cifrado se basan en RSA 1024, algoritmo de cifrado cuya robustez, en estos momentos, resiste cualquier ataque criptográfico conocido.
• Los archivos originales se sobrescriben con los datos cifrados, con lo que si no tenemos una copia de seguridad tampoco es posible usar métodos de recuperación de archivos borrados.
[…] ¿Estás sufriendo la encriptación de tus archivos? Aquí lo podrás solucionar. […]
Mira el vido no se me puso en el ordenador se me puso en la tablet galaxy tab tres y no se que hacer esroy muy nnevioso porque mis padres no lo saben y no se como solucionarlo que hago por favor
Lo malo de que tengas este virus en la tablet es que vas a perder toda la información que tengas dentro.
Ya que deberás realizar un reseteo de la tablet mediante la combinación de varios botones de tu tablet.
Para restablecer a su estado de fábrica la tablet, tendrás que ver en su manual, existe una combinación de botones.
Por ejemplo: Mantener pulsado el botón de arranque + el botón de subir volumen.
Y sigues los pasos.
Es bastante sencillo…puedes ver cómo lo hemos realizado con la siguiente tablet: FORMATEAR TABLET
Espero que te sea de ayuda.