Herramienta para recuperar los archivos cifrados por el ransomware TeslaCrypt, una variante de CryptoLocker

Cifrar los archivos de la víctima y luego pedir bitcoins para descifrarlos es un negocio muy lucrativo: las campañas de ramsonware se están convirtiendo en una amenaza cada vez mayor. Después de la caída de CryptoLocker surgió Cryptowall, con técnicas anti-depuración avanzadas, y después numerosas variantes que se incluyen en campañas dirigidas cada vez más numerosas. 
 
Una de las últimas variantes se llama TeslaCrypt y parece ser un derivado del ransomware CryptoLocker original. Este ransomware está dirigido específicamente a gamers y, aunque dice estar usando RSA-2048 asimétrico para cifrar archivos, realmente está usando AES simétrico, lo que ha permitido a Talos Group (Talos Security Intelligence & Research Group) desarrollar una herramienta que descifra los archivos...



Primero se analizaron dos muestras con fecha de marzo y abril de 2015. Ambas muestras implementaban los siguientes algoritmos de hash:

- SHA1
- SHA256
- RIPEMD160
- BASE58
- BASE64


Vector de infección y función de instalación

Este ransomware se distribuye generalmente como un archivo adjunto de correo electrónico o a través de sitios web que redirigen a la víctima al exploit kit Angler (también se ha identificado en otros exploits kits como Nuclear y Sweet Orange). Luego la mayoría de las muestras de TeslaCrypt utilizan técnicas COM+ de evasión de sandbox. Por ejemplo, el dropper que analizaron utilizaba sencillo código de detección que verifica si la interfaz COM "URLReader2" se ha instalado correctamente en el filtro DirectShow:



Si se pasa la verificación, el verdadero dropper se extrae y se ejecuta utilizando un método bien conocido que hace uso de las funciones de la API ZwMap(Unmap)ViewOfSection para extraer la imagen original de memoria del PE y re-mapear otra. El último ejecutable desempaquetado localiza directorios específicos de Windows, como el directorio de datos de aplicación, y construye los archivos de soporte como el archivo "key.dat" y archivos para almacenar instrucciones de descifrado


El ejecutable también ajusta sus propios privilegios (añade "SetDebugPrivilege") y se copia utilizando un nombre de archivo aleatorio en el directorio de datos de aplicación del usuario. Un nuevo proceso se genera entonces y la ejecución se transfiere a la misma. Después se elimina el archivo original del dropper y se crean cinco hilos que realizan lo siguiente:

- elimina todas las Volume Shadow Copies mediante la ejecución del comando “vssadmin.exe delete shadows /all /quiet


- abre el archivo "key.dat" y recupera las claves de cifrado. Si no existe el archivo "key.dat", crea las claves y las almacena de forma cifrada.


- envía la nueva clave de cifrado principal al servidor C&C a través de una petición POST. El ejemplo analizado contenía las siguientes URLs:


    . 7tno4hib47vlep5o.63ghdye17.com
    . 7tno4hib47vlep5o.79fhdm16.com
    . 7tno4hib47vlep5o.tor2web.blutmagie.de
    . 7tno4hib47vlep5o.tor2web.fi


- implementa protección anti-tampering: cada 200 mili segundos, TeslaCrypt enumera todos los procesos en ejecución y si encuentra un proceso con un nombre de archivo que contenga cualquiera de las palabras de abajo, el proceso se termina usando la función API de Windows TerminateProcess:


    . taskmgr
    . procexp
    . regedit
    . msconfig
    . cmd.exe

   
Cifrado de archivos - introducción

Como hemos dicho, después de la rutina de inicialización y la supresión de las instantáneas de volumen (Volume Shadows), la muestra crea el archivo "key.dat" donde almacena todas las claves de cifrado. El dropper de marzo 2015 calculaba al menos dos claves principales
diferentes: una clave de pago y una clave de cifrado principal. El otro dropper implementaba el concepto de una clave adicional conocida como la "clave de recuperación".

"GetAndHashOsData" es la función responsable de la creación del buffer base para la generación de todas las claves. Al principio adquiere la siguiente información:

- estadísticas de la red LAN del PC, utilizando la función API NetStatisticsGet
- 64 bytes aleatorios generados por las cripto-funciones de Windows
- todos los descriptores del heap de su propio proceso
- todos los descriptores de procesos activos y los hilos descriptores de cada proceso
- todos los módulos cargados en cada proceso
- información de la memoria física del PC

Una vez que se adquieren los datos, se genera una gran matriz de valores SHA1, una por cada 20 bytes de datos adquiridos. Al final se calcula y almacena un valor SHA1 global para toda la matriz, en un símbolo llamado "g_lpGlobalOsDataSha1".

Con esos dos ítems, la rutina de "FillBuffWithEncryptedOsData" es capaz de llenar de una manera pseudo-aleatoria un buffer genérico con los datos calculados. Una clave maestra y una clave de pago se generan utilizando esta función (cada clave es de 32 bytes), su SHA256 se calcula y, finalmente, un algoritmo personalizado se utiliza para desplazar a la izquierda y a la derecha las dos claves. Los dos valores desplazados SHA256 se almacenan en el archivo "key.dat".

El fichero de claves

La rutina "OpenKeyFileAndWrite" intenta abrir el archivo "key.dat" ubicado en el directorio de datos de aplicación del usuario. Si no existe, se generan las dos claves maestras (tres en el caso de los droppers más recientes) junto con las otras claves y los almacena en el archivo.

Aquí hay un pequeño esquema de la disposición del archivo "key.dat":



La última versión del dropper crea un archivo "RECOVERY_KEY.TXT" dentro del directorio de documentos del usuario. Lo hace para lograr un objetivo particular: si el equipo de la víctima está desconectado o si un cortafuegos bloquea la comunicación con el servidor C&C, el dropper procederá a la destrucción de la clave maestra dentro del archivo "key.dat", después de que se haya completado el cifrado de todos los archivos.

Para recuperar los archivos cifrados, el usuario tendría que conectarse al sitio web TOR del atacante y proporcionar la clave de recuperación. Los atacantes utilizan un algoritmo personalizado para recuperar la clave maestra a partir de la clave de recuperación:



El archivo de recuperación de claves contiene 3 piezas de información en un formato legible, separadas por un carácter de retorno de carro:

- La dirección Bitcoin
- El identificador de clave de pago (32 dígitos hexadecimales)
- La clave de recuperación (64 dígitos hexadecimales)

El algoritmo de cifrado de archivos

El cifrado de archivos se realiza en un thread dedicado. El código para el hilo de cifrado toma la clave maestra desplazada, calcula el hash SHA256 y comienza a enumerar todos los archivos del PC de la víctima (filtrado por tipo de extensión, TeslaCrypt soporta más de 170 extensiones de archivos diferentes).

"EncryptFile" es la función que gestiona todo el proceso de cifrado de archivos. Esta función:

- genera un 16-bytes vector de inicialización para AES, usando la función API GetAndHashOsData
- lee el archivo de destino
- inicializa el algoritmo de cifrado AES a través de la creación de la estructura de datos de contexto AES
- finalmente cifra el contenido del archivo usando un algoritmo AES de 256 bits CBC implementado en la función "EncryptWithCbcAes".

Cuando el proceso se haya completado, se crea el nuevo archivo cifrado. El nuevo archivo contiene una pequeña cabecera (compuesto del vector de inicialización AES en sus primeros 16 bytes seguido por el tamaño del archivo original en los próximos 4 bytes), y luego los bytes cifrados reales.



La ventana emergente muestra información engañosa: el método de cifrado es AES simétrico, y no un RSA-2048 asimétrico según lo declarado por TeslaCrypt en la imagen anterior.

Como prueba de que TeslaCrypt está realmente utilizando AES simétrico y no RSA asimétrica, Talos publica una utilidad de descifrado capaz de descifrar todos los archivos cifrados por este ransomware (siempre que se tenga la clave maestra).

La herramienta de descifrado de TeslaCrypt de Talos

La utilidad de descifrado de Cisco es una utilidad en línea de comandos. Se necesita el archivo "key.dat" para recuperar correctamente la clave maestra utilizada para el cifrado de archivos. Antes de que comience la ejecución, busca "key.dat" en su ubicación original (directorio de datos de aplicación del usuario), o en el directorio actual. Si no es capaz de encontrar y analizar correctamente el archivo "key.dat", se devuelve un error y sale.



Para utilizar esta herramienta, sólo tienes que copiar el fichero "key.dat" en el directorio de la herramienta y luego especificar el archivo cifrado o un directorio que contiene archivos cifrados. ¡Eso es todo! Los archivos serán descifrados y volverán a su contenido original.

Aquí está la lista de opciones de la línea de comandos:

     /help - Muestra el mensaje de ayuda
     /key - especifica manualmente la clave maestra para el descifrado (32 bytes/64 dígitos)
     /keyfile - Especifica la ruta del archivo "key.dat" que se utiliza para recuperar la clave maestra
     /file - Descifra un archivo cifrado
     /dir - Descifra todos los archivos ".ecc" en el directorio de destino y sus subdirectorios
     /scanEntirePc - descifra archivos ".ecc" en todo el equipo
     /KeepOriginal - Guarda el archivo original(es) en el proceso de cifrado
     /deleteTeslaCrypt - Automáticamente mata y elimina el dropper TeslaCrypt (si se encuentra activo en el sistema de destino)

   
Eso sí, haz un backup de tus archivos cifrados antes de utilizar esta utilidad, se ofrece siempre sin garantías.

Aquí tenéis los enlaces de la herramienta:

Binario Windows:

http://labs.snort.org/files/TeslaDecrypt_exe.zip
ZIP SHA256: 57ce1c16e920a9e19ea1c14f9c323857c9a40751619d3959684c7e17956d66c6


Código fuente del binario de Windows:
https://labs.snort.org/files/TeslaDecrypt_cpp.zip
ZIP SHA256: 45908f0b3f8eb73bf820ded0a886842ac5c3e4c83068097806daad662046b1e0


Script en Python:
https://labs.snort.org/files/TeslaDecrypt_python.zip
ZIP SHA256: ea58c2dd975ed42b5a30729ca7a8bc50b6edf5d8f251884cb3b3d3ceef32bd4e


Futuras mejoras

A la herramienta todavía le faltan algunas características. En particular, no han tenido tiempo para implementar el algoritmo necesario para recuperar la clave maestra de la clave de recuperación. Esto es importante porque en algunas versiones del dropper, la clave maestra se extrae del archivo "key.dat" tan pronto como se completa el cifrado de archivos. Así que habrá que estar pendiente por si publican actualizaciones.

pd. La utilidad de descifrado es una herramienta de prueba que no está soportada oficialmente y el usuario asume toda la responsabilidad derivada del uso de la misma.


Fuentes:
- Threat Spotlight: TeslaCrypt – Decrypt It Yourself
- New Utility Decrypts Data Lost to TeslaCrypt Ransomware

266 comentarios :

  1. Ya recupere 3 discos duros con este tipo de virus, utilice la aplicación ShadowExplorer-0.8setup.exe te permite regresar el sistema operativo a una fecha anterior.

    ResponderEliminar
    Respuestas
    1. MR NEO , tengo 2 disco ducros con los archivos encriptados por este virus , se puede con ese programa shadowExplorer tener el disco como esclavo o tengo que usarlo en la pc que esta infectada arriba?

      Eliminar
    2. Amigo consulta
      Tengo ese problema pero saque los archivos a un disco duro.
      mi consulta es esta herramienta los desencripta desde otro equipo ??

      Eliminar
    3. Mr Neo Anderson funciona a la perfección canijo gracias por ese aporte

      Eliminar
    4. Si he formateado el disco duro donde estaba el sistema W7, ¿es posible utilizar este programa, para desencriptar los ficheros de otro disco esclavo?.

      Eliminar
    5. Si he formateado el disco duro donde estaba el sistema W7, ¿es posible utilizar este programa, para desencriptar los ficheros de otro disco esclavo?.

      Eliminar
  2. Pues yo os puedo decir que lo pueden desencriptar, hay una empresa que tiene la solución, a mi se me infecto todo el pc hace una semana y vi la web por internet, les envié un .doc encriptado y algun otro archivo y en menos de 24h me dieron un programa para desencriptar todo, y me parece que pagué 125€. Os dejo la web ya que puede salvar a alguien como a mi.. http://www.jbsi.es/sat_ransom

    ResponderEliminar
    Respuestas
    1. A mi me lo arreglaron aquí http://www.unfactordefender.esy.es/forospyware/, y me ayudaron en todo, muy bien de precio mejor de lo que esperaba 120€.

      Eliminar
    2. Hola pueden ayudarme tengo el mismo problema todo mis archivos estan convertidos en formato mp3.

      Deseo saber si tiene solución

      Eliminar
    3. Freddy tengo el mismo problema que tu me ha convertido todo en mp3 si consigues dar con la solución te rogaría me lo comunicará. Muchas gracias. Yo haré lo mismo

      Eliminar
    4. hola como va
      a mi me entro el dia 20 de febrero... has conseguido algo... no encuentro el key.dat y no se como seguir... el spyhunter,karspersky no me sirvieron de nada
      ayuda por favor

      Eliminar
  3. buenas tardes tengo un grave problema con esto con algunos equipos de mi red se infectaron con un virus similar pero me coloca una extensión .exx y no me a sido posible encontrar una solución he revisado muchos foros pero nada de lo que dicen me a funcionado agradezco sus comentarios

    ResponderEliminar
  4. Hola, soy José Antonio yo tengo la solución para desencriptar los archivos afectados por CRYPTOLOCKER: Virus de correos.

    Recupere los archivos encriptados de su ordenador, red y/o cloud
    El coste de la herramienta oscila entre los 165 y los 225 euros
    No cobramos nada si no conseguimos la desencriptación.
    Necesitamos que nos haga llegar 2 archivos encriptados para su estudio a la siguiente dirección de correo soporte@bmatika.es: Un archivo con la extensión .doc (imprescindible) y otro archivo con la extensión .pdf. Ambos inferiores a 1 Mb.

    ¡El 95% de los casos los hemos resuelto en 48 horas!

    Solicite información llamando al 933637353 (ATENCIÓN PERMANENTE)

    http://bmatika.es/solucion-para-cryptolocker/

    ResponderEliminar
  5. Intente usar shadowexplorer pero al iniciarlo dice que no esta diseñado para trabajar en este sistema operativo, tengo windows xp, si alguien puede ayudarme se lo agradeceria!

    ResponderEliminar
  6. Buenas,
    Si por algún motivo los pcs han sido formateados, ¿hay manera de conseguir el key.dat de alguna forma? ¿volverlo a generar?
    Gracias de antemano.

    ResponderEliminar
  7. Hola.
    ¿Seria posible obtener la clave comparando un fichero encryptado con el mismo libre del virus?
    No encuentro el KEY.dat, no di tiempo a que se generara o lo elimine con el virus.

    ResponderEliminar
  8. Pues yo os puedo decir que lo pueden desencriptar, hay una empresa que tiene la solución, a mi se me infecto todo el pc hace una semana y vi la web por internet, les envié un .doc encriptado y algun otro archivo y en menos de 24h me dieron un programa para desencriptar todo, y me parece que pagué 125€. Os dejo la web ya que puede salvar a alguien como a mi.. http://www.jbsi.es/sat_ransom

    ResponderEliminar
  9. Hola en mi caso la extension de los archivos es .wafjcpi y en todas estas paginas donde brindan soluciones dice que el tipo de archivo no es admitido, y el shadow explorer no me muestra una fecha anterior a la infeccion, quien conoce alguna solucion a mi caso? Gracias

    ResponderEliminar
  10. Donde puedo conseguir el archivo Key.dat?

    ResponderEliminar
  11. Yo mismo he creado una guía de como desencryptar los archivos pagando bitcoins, así como una guía para comprar bitcoins en Localbitcoins.
    https://forobits.com/t/virus-cryptolocker-cryptowall-decrypter-como-desencripto-mis-archivos/340
    Creo que ayudará a la gente que quiera recuperar los archivos por este desdichado virus
    Y a partir de ahora, hay que realizar backups externos al lugar de trabajo, hoy es un virus, pero mañana puede quemarse la oficina y entonces no habría forma de recueprarlo, ni si quiera pagando!

    ResponderEliminar
  12. Pagar por un "programa" que ayuda a recuperar los archivos es lo mismo que pagar a los que secuestraron la información.... no es solución.....

    ResponderEliminar
  13. Hola,
    alguien sabe como crear el KEY.DAT ?

    yo no lo tengo y todos los archivos encriptados los he sacado del disco y luego formateado .

    Como puedo hacerlo .
    Gracias

    ResponderEliminar
  14. a mi me piden que envie correo a hairullah@inbox.lv para desencriptar....alguien podria ayudarme?

    ResponderEliminar
  15. A mi me ha pasado exactamente lo mismo. Me ha encriptado todos los archivos con la "extensión" "hairullah@inbox.lv". Los desencriptadores anteriores no me funcionan ¿Alguien tiene alguna solución?

    ResponderEliminar
  16. A mi me ha pasado exactamente lo mismo.extensión" "hairullah@inbox.lv
    ayuda

    ResponderEliminar
  17. He conseguido recuperar, al menos, los archivos como los tenia ayer con el "ShadowExplorer-0.9setup.exe"

    ResponderEliminar
  18. Otro afectado de ayer con lo mismo, el problema es que no nos pone nada para descifrar, ni un txt de contacto ni nada. La máquina tiene Win XP y no es compatible con el ShadowExplorer....
    Cuando el virus entró os saltó alguna pantalla? En el ordenador afectado dicen que no salió nada....

    ResponderEliminar
  19. Me ha sucedido lo mismo. Me ha encriptado archivos con extension "hairullah@inbox.lv"" ¿Alguien sabe como se puede desencriptar un archico de estos en otro ordenador?? Gracias

    ResponderEliminar
  20. Ayer le sucedió lo mismo a uno de nuestros clientes.
    Conseguimos recuperar los archivos gracias a Shadow Explorer 0.9, que obtiene una copia de los archivos de días anteriores.
    No conocemos ni la procedencia, ni el método de infección utilizado. Según vayamos averiguando más cosas acerca de este virus las iremos posteando.

    ResponderEliminar
    Respuestas
    1. Buenas tardes he instalado el Shadow Explorer ha funcionado en un disco duro, el otro no funciona, tiene las instantáneas desactivadas, estoy con el easus ya os cuento

      Eliminar
    2. Hola, aqui otra victima de harullah....¿Existe alguna forma de volver a la normalidad y desencriptar los ficheros?

      Eliminar
  21. aqui otro infectado con la extension "hairullah@inbox.lv" SOCORRO

    ResponderEliminar
  22. se sabe como se activa el virus? o de donde aparece? si os a empezado a encriptar a partir de una cierta hora etc...

    ResponderEliminar
  23. Hola... me uno al grupo de los infectados.. alguien sabe como solucionarlo ?

    ResponderEliminar
  24. Hola, mi PC también se infectó con el hairullah@inbox.lv. Todos los archivos de mi carrera están bloqueados y necesito muchos de ellos para poder seguir con mis prácticas en el hospital. ¿Alguien sabe de que forma puedo volver a conseguirlos? utilicé el Shadow Explorer pero no me funcionó, la fecha que me marca como más antigua es del mismo día que se me infectó y todos los archivos están encriptados.
    ¡Ayuda por favor!

    ResponderEliminar
    Respuestas
    1. Estoy como tu Victor, por favor, si te enteras de como solucionarlo ayudame...mi correo es jorgeare1971@hotmail.com

      gracias!!!!

      Eliminar
  25. Hola Victor, me acaba de passar lo mismo q a vosotros con todos los archivos y trabajos de la uni. Estoy desesperado y no tengo la possibilidad de pagar para desencriptar. Me podrias informar de si has podido? Y como

    ResponderEliminar
    Respuestas
    1. Hola. Aún no he podido encontrar nada. Profesionales de la seguridad informática están trabajando en ello. cuando sepa algo lo pondré por aquí. Un saludo.

      Eliminar
  26. hola a todos a mi me paso lo mismo com todos los archivos con la extencion ccc necesito recuperar las fotos de mis hijos, porfabor si alguien me ayuda le dejo mi mail maicolquevin@gmail.com si tengo que pagar lo hablamos

    ResponderEliminar
  27. Yo también tengo el virus, no se como eliminarlo ni como desencriptar los archivos que me ha infesrltado

    ResponderEliminar
  28. Gracias a todos por vuestras aportaciones. A mi me ha sucedido hoy en la empresa y he perdido un monton de ficheros. Mañana probaremos con vuestras sugerencias, espero tener suerte.

    ResponderEliminar
  29. a mi también se me infectaron los archivos encriptandolos y colocandoles .ccc al final por favor si alguien tiene alguna solucion por favor enviar al correo ftoro72@hotmail.com yo sigo buscando si se algo les comunicare

    ResponderEliminar
  30. Hice una copia de seguridad de los archivos infectados. Luego reseteé el sistema. El archivo Key.dat, si alguna vez existió, ya no existe. Así que supongo que por eso el programa Shadow Explorer no me ha servido para nada. Me exporta los archivos ccc al escritorio tal cual, es decir, con el mismo formato ccc. Una odisea, de lo peor que me he encontrado... habrá que seguir buscando soluciones. De todas formas, guardaré esos archivos el tiempo que haga falta (la mayoría fotos). Supongo que con lo rápido que avanza la informática, en breve podré recuperarlos...o eso espero.

    ResponderEliminar
  31. Hola a todos...
    Aquí con ustedes uno mas con el problema de archivos .ccc por ese virus.
    He buscado mucho, y lo único que encuentro son páginas muy similares ofreciendo las mismas posibles soluciones pero realmente no se arregla. Creo que lo único que nos queda es conservar esos archivos afectados hasta que realmente exista una solución; las compañías confiables de antivirus y/o antimalware mencionan poco o nada al respecto. Eso me hace pensar que esas paginas ofreciendo soluciones están relacionadas (por no decir que han de ser los mismos) con los que crean ese tipo de virus. En fin, si alguien encuentra la solución por favor ayúdenos.

    ResponderEliminar
  32. Hola! Escribo desde Bs As, Argentina. Yo tuve el problema el 13/11/15. Segun averigue, el que me ataco a mi es el "cryptowall 3", ya que en todos lados tenia archivos "help-decrypt". Estoy desesperado. Si bien tenia backup de algunas cosas, la mayoria de mis laburos recientes, fotos, y data, las perdi! Me estoy apartando todo lo que quedo encriptado por si en un futuro aparece alguna solucion, poder desencriptarlos. Por favor, si alguien tiene alguna informacion de algo que se pueda hacer para intentar recuperar algo de todo lo que tengo encriptado, se lo agradecere de corazon! El shadow explorer no me corre porque tengo XP, y trate restaurar el sistama a un punto anterior y no me deja, de hecho ya se me borraron esos puntos de restauracion. Alguien que tenga algun tipo de solucion por favor???? Gracias de antemano! Saludos a todos, y definitivamente aprendi la leccion de hacer backup casi todos los dias.

    ResponderEliminar
    Respuestas
    1. Hola, con unos amigos estuvimos pensando y se nos ocurrió una posible solución:
      1. Primero elimina el virus con el malwarebytes en modo seguro
      2.Utiliza alguna herramienta para recuperar archivos borrados (paretologic data recovery, recuva, etc) ya que el virus borra los archivos originales y crea una copia cifrada (.ccc) si funciona o al menos puedes recuperar algunos archivos me comentas. Un saludo y suerte

      Eliminar
  33. hola la semana pasada me entro un virus que me ha encriptado toros mis discor duros con todas mis fotos y documentos del trabajo y no tengo copias de seguridad. en total 3 Teras de informacion. Esto es lo que me graba: howto_recover_file_elomp howto_recover_file_eyqed howto_recover_file_igewj howto_recover_file_lotqn cada uno de estas son paginas web y la misma con extension txt

    ResponderEliminar
  34. los archivos me los pone con una extension .ccc y no se si he hecho bien porque he formateado la unidad c donde estaba el virus porque los datos los tenia en la unidad d y en yn disco duro externo de 2 teras, ademas me ha encriptado hasta lo que tenia en la nube. por favor si alguien me puede ayudar lo agradeceria.

    ResponderEliminar
  35. Este virus debe ser nuevo ya que en la tienda de informatica me han dicho que le han llegado muchos ordenadores infectados y que no tienen nada para recuperar los documentos ni existe ningun antivirus que lo solucione. Por cierto llamo desde Valencia en España.

    ResponderEliminar
  36. la extension que me envian con la informacion pone esto escrito en ingles y yo no entiendo el ingles.What happened to your files ?
    All of your files were protected by a strong encryption with RSA-2048.
    More information about the encryption keys using RSA-2048 can be found here: http://en.wikipedia.org/wiki/RSA_(cryptosystem)

    What does this mean ?
    This means that the structure and data within your files have been irrevocably changed, you will not be able to work with them, read them or see them,
    it is the same thing as losing them forever, but with our help, you can restore them.

    How did this happen ?
    Especially for you, on our server was generated the secret key pair RSA-2048 - public and private.
    All your files were encrypted with the public key, which has been transferred to your computer via the Internet.
    Decrypting of your files is only possible with the help of the private key and decrypt program, which is on our secret server.

    What do I do ?
    ___________________________________________________________________________________________________________________________________________
    Alas, if you do not take the necessary measures for the specified time then the conditions for obtaining the private key will be changed.
    If you really value your data, then we suggest you do not waste valuable time searching for other solutions because they do not exist.
    ____________________________________________________________________________________________________________________________________________

    For more specific instructions, please visit your personal home page, there are a few different addresses pointing to your page below:
    1. http://sakfh38skjhg.7hgs83hfg3t.net/42F11885FBEA3C2
    2. http://psbc532jm8c.hsh73cu37n1.net/42F11885FBEA3C2
    3. https://3st7uyjfocyourll.onion.to/42F11885FBEA3C2

    If for some reasons the addresses are not available, follow these steps:
    1. Download and install tor-browser: http://www.torproject.org/projects/torbrowser.html.en
    2. After a successful installation, run the browser and wait for initialization.
    3. Type in the address bar: 3st7uyjfocyourll.onion/42F11885FBEA3C2
    4. Follow the instructions on the site.

    IMPORTANT INFORMATION:
    Your personal pages:
    http://sakfh38skjhg.7hgs83hfg3t.net/42F11885FBEA3C2
    http://psbc532jm8c.hsh73cu37n1.net/42F11885FBEA3C2
    https://3st7uyjfocyourll.onion.to/42F11885FBEA3C2
    Your personal page (using TOR-Browser): 3st7uyjfocyourll.onion/42F11885FBEA3C2
    Your personal identification number (if you open the site (or TOR-Browser's) directly): 42F11885FBEA3C2
    Por si os puede servir de ayuda.

    ResponderEliminar
  37. otro infectado si alguien puede ayudar viva_yo_jorge_18@hotmail.com

    ResponderEliminar
  38. Y yo también tengo el dichoso virus con la terminación .CCC .Tengo todos mis recuerdos y me lo ha encriptado todo,he estado hablando con un amigo informático, que es un genio y dice que con lo que tenemos hoy día ,difícil desencritpar esto.Estoy de un cabreo de mil demonios.Si alguien consigue recuperar sus archivos que nos lo haga saber por favor.No realicé copia de seguridad tampoco,imbécil de mi.

    ResponderEliminar
  39. me cago en toos sus muertos delos k meten estos virus

    ResponderEliminar
  40. Hola a todos, soy otra victimas de este virus cryptowall 3.0 rsa 2048, hace una semana que recorrí toda la web aplicando todos los posibles parches y herramientas, tan solo recupere unos archivos pero la mayoría de los documentos, videos, fotos, música, archivos comprimidos Zip – rar, están encriptados, si alguien sabe cómo solucionarlo por favor comentar, soy un usuario hogareño y todo lo que tengo en la pc es familiar, no tengo la economía para solventar un gasto en euros o dólares, si alguien sabe o conoce como solucionar se los agradezco y en caso de tener que abonar en pesos prefiero hacerlo a un profesional local, siempre y cuando el costo sea a nivel hogar y no empresa
    Desde buenos aires diediaz22@hotmail.com
    saludos

    ResponderEliminar
  41. Ya escribí el 2 de noviembre y por lo que veo la cosa pinta mal. Si el virus funciona como dice Jose Luis, la opción que plantea de eliminar virus y recuperar archivos borrados podría funcionar a los que no reseteasteis o formateasteis el sistema como yo. No pienso soltar un euro/peso o bitcoin!! Seguiremos esperando...

    ResponderEliminar
  42. Yo he metido fotos y demás en un pen drive por si en un futuro se pudiera desencriptar,lo también ngo guardado en su sobre que pone virus ,jajaja..Y como vosotros,no voy a pagar a esa gentuza.

    ResponderEliminar
  43. Revisando un equipo me encuentro con documentos, (hojascde calculo, pdf, word imagenes, sellos para la fiel, musica) en fin todos su informacion literalmente fueron cambiados de nombre asi como de extension, como dato adicional los nombres de todos los documentos y extensiones son completamente diferentes. alguna idea???

    ResponderEliminar
    Respuestas
    1. Si lees,a todos nos pasa lo mismo.

      Eliminar
    2. sí, en las últimas versiones de Cryptowall ya se cifran también los nombres de archivo:
      http://www.hackplayers.com/2015/11/vacuna-contra-la-ultima-version-de-cryptowall.html

      Eliminar
    3. no mames entras a esa pagina y te manda a una mas con un tipo de virus

      Eliminar
    4. ¿A qué página&/URL te refieres exactamente para verificar lo que dices?

      Eliminar
  44. yo también estoy infectado por este virus, van a intentar de solucionarlo en los archivos ccc , ya os cuento,

    ResponderEliminar
  45. Otro infectado, en mi caso se añade .vvv detras de la extensión, ejemplo foto.jpg.vvv
    Y la información de todos los discos modificada, no sé si no le he dado tiempo, pero por lo que fui mirando por los discos no ha tocado ni las ISO ni los MKV. Documentos office, pdf, fotos etc, todo modificado. Investigue un pcoo y apagué el equipo, Ahora estoy mirando si tengo opción a recuperar o format y a tomar por...

    ResponderEliminar
    Respuestas
    1. Hola, yo estoy igual, me acaban todos los documentos del dropbox en .vvv y no me deja ver nada, si te enteras de algo avisa por favor

      Eliminar
    2. Estoy igual que tu, he contactado con bmatika y otra empresa y ninguna de las dos tiene aún solución. Si te parece nos podemos mantener informados. Un saludo.

      Eliminar
    3. Alguien tiene una solucion a este problema. todos mis archivos de trabajo perdidos. por favor ayuda al rad_surfer@hotmail.com

      Eliminar
    4. Hola, lo mismo que ustedes, todos mis fotos y documentos con .vvv . saludos y suerte para todos...

      Eliminar
    5. Hola tengo el mismo problema com la extension .vvv del virus.

      Eliminar
    6. Por si os sirve de algo, tuve el mismo problema, todo el ordenador infectado con los archivos cambiados .vvv y lo solucione aquí.
      http://unfactordefender.esy.es/
      Creo que pague 100 o 120 euros pero yo tenia cosas importantes guardadas, me lo recuperaron todo. So lo recomiendo.

      Eliminar
  46. Tengo un ordenador con la variante ccc.
    Por si sirve de algo he buscado el archivo key.dat y no aparece (lo he intentado incluso con Recuva). Pero he visto un archivo creado el dia de la infección, en la carpeta mis documentos, que no se si pudiera servir de algo , se llama recover_file_lpgclkyi.txt con el siguiente contenido:

    1CbmGpGQcVcafi3kShjb1fDTEDn3sH3xBx
    E8265E99CEBD9D33430FDCC4369B9CAD5B7B6DEC937332FB12423492B585E800
    065109449A7FBAAF66921A85051AE03CF648B9BB5A9F47CAE72846887FBE29EFB271CCDCF61AE15DA26491622D37A87E435037C093F1BD3103033B232FCCC174
    8E85369D9ECB7FDC
    52

    ResponderEliminar
    Respuestas
    1. Este comentario ha sido eliminado por el autor.

      Eliminar
    2. Hola Sebas. Tengo un archivo similar. Ahora a ver que pasa con eso. Capaz nos sirve. Si es así te aviso por acá.

      Eliminar
  47. Estimados, yo tengo infectado un server con el .lechiffre, al parecer no hay solucion si no mas que pagar, espero puedan encontrar una solución por ultimo alguna empresa seria que cobre lo normal, a mi me estan extorsionando con 5 bitcoins. saludos.

    ResponderEliminar
  48. Yo en esta misma tarde he sido infectado con un virus del tipo RSA-2048 creándole la extensión VVV a todos los ficheros, de datos y fotografías, estos de Bitcoins deben de estar en la carcel, yo mañana mismo llamo a la policia. He hablado con un amigo informático y me dice que tiene muchos clientes con este problema.

    ResponderEliminar
  49. y que hay que hace si te han infectado por que no tengo ni idea. el mio deja las extensiones en .ccc

    ResponderEliminar
  50. Hola buenas...yo soy uno más estoy afectado por el virus que en cripta en mi caso con extensión vvv. Hay una herramienta que recupera nuestros ficheros...porque el virus lo que hace es una copia de los ficheros los encripta y luego los borra. Mediante el CD hiren boot CD...tenemos la posibilidad de cargar un mínimo Windows xp. Una vez iniciado el sistema en el escritorio esta la aplicacion HBCD MENU, aqui hay una aplicación en recovery que se llama photorec en esta podemos seleccionar la unidad afectada la extensión de ficheros que queremos recuperar y seleccionamos donde recuperar (mi consejo es pendrive o disco duro externo hasta que no formateenos el disco duro)....Hay más aplicaciones que podéis buscar y que sirven para lo mismo...esta lleva 12h ejecutándose y ya me recupero 6432 fotos.

    ResponderEliminar
    Respuestas
    1. Me estas hablando en ruso, pero rsumiendo, has conseguido desencriptar algo? yo tengo el virus RSA 2048 con extensión EXX.
      tienes algún correo donde pueda escribirte?

      Eliminar
    2. Yo tengo el mismo virus (vvv) y lo voy a probar

      Eliminar
    3. Soy en anónimo del 10/12 que iba a probar photorec tal y como comento un compañero.

      Quería preguntarle si me podría dar detalles en el tipo de búsqueda que realiza. Lo haces en carpetas concretas en todos el disco ¿?

      Me interesa recuperar una carpeta concreta y le he dado a buscar solo en ella, lleva 10 horas y no me encuentra nada, quizás sea porque antes de borrar los originales los cambie de ubicación ¿?

      muchas gracias

      Eliminar
    4. Hola como consigues ede CD para recuperar los archivos?

      Eliminar
  51. Hola, me uno a vosotros, soy una infectada del virus RSA 2048, me ha encriptado todos los archivos y documentos entre ellos el proyecto fin de estudios y un montón de fotos de familiares irrecuperables, no sé que hacer ni a quien recurrir, solo pido ayuda y que se de con el HP que organizó esto. Karol_garcia1@hotmail.com

    ResponderEliminar
  52. Buenas, tengo un ordenador infectado con EZZ y he encontrado un archivo en regedit en binario que al lado tiene las 3 claves y lo he importado en .txt, que tengo que hacer para que lo reconozca TeslaDecrypt o TeslaDecoder? Gracias

    ResponderEliminar
  53. En el trabajo un computador esta infectado con la version de extension "vvv".
    Buscando informacion encontre esto:
    https://www.youtube.com/watch?v=HayqiXgMOk4

    Entonces si el "ransonware" genera la clave unica,desde la id y componentes, para cada computador ¿Esta clave es aleatoria o siempre generara la misma clave para ese mismo computador?...

    Se me ocurre que:
    1.- Copia de seguridad de los archivos encriptados
    2.- Formatear el computador
    3.- Instalar un "sniffer" en otra pc que capture el trafico de la red
    4.- Infectar nuevamente nuevamente la pc con el ransonware
    5.- Capturar las claves publicas y privadas desde el sniffer
    6.- ¿?
    7.- En otro foro encontre https://zar.sge.gov.tr/UploadSample/ZararliYazilimYukle
    Segun el usuario ha podido decryptar varios archivos, pero no tengo idea dedireccion url se pone en uno de los cuadros.

    Igual no sirve, pero habra que intentarlo.

    Si hay alguna otra informacion, por favor compartir.

    ResponderEliminar
  54. Hola a todos, alguien ya encontró una solución?

    ResponderEliminar
  55. Imposible desencriptarlos, estuve leyendo y creo que no funciona así en la ultima versión de este malware, posiblemente estoy infectado por la v8.

    ResponderEliminar
  56. Hola buenas tardes el dia 11 de diciembre del 2015 se infecto una computadora donde se tiene informacion muy importante y confidencial quisiera me ayudaran, el virus es el cryptowall, le pase el antivirus kasperky y al parecer lo elimino porq ya no se infecta nada de lo nuevo que le pongo, pero todos los archivos que tenia se encriptaron y la vdd son de mucha importancia alguien que ya encontro la solucion que sea tan amable de decirmela se lo agradeceria bastante. :D

    ResponderEliminar
  57. Los que están en red, deben buscar en todas las máquinas el archivo "key.dat", ya que la máquina infectada al comienzo (la máquina "0") se convierte en un servidor para el virus, y comienza a buscar las carpetas compartidas de la red y encripta los ficheros.

    ResponderEliminar
  58. Lo que comenta Gustavo Echenique, es correcto encripta todas las carpetas compartidas, solo que la nueva variable del virus no genera el archivo key.dat, si no que genera una llave en el registro por lo que las actuales herramientas no pueden solucionarlo, creo que tendremos que esperar a que se actualicen las herramientas actuales, como Talos TeslaCrypt Decryption Tool. Si alguien sabe de otra herramienta compartan..

    Saludos

    ResponderEliminar
    Respuestas
    1. Estoy en el mismo caso que el resto. No tengo el archivo key.dat. Por favor, ¿alguien me podría indicar la ruta del registro donde se encuentran las claves del virus?.
      Se me ocurre que localizando estas claves se podría construir el archivo key.dat. Soy informático y me gustaría intentarlo
      Mi correo: manuel.madrid@hotmail.com

      Eliminar
  59. Seguid el dinero, tendréis al culpable, metedlo en la cárcel de por vida y tirad la llave... No recuperareis ficheros, pero muerto el perro se acabó la rabia. Chic@s, siento no poder aportar nada, estoy igual que vosotros, buscando soluciones. Suerte y ánimo, la vida vale más que los ficheros.

    ResponderEliminar
  60. Hola a todos. Estuve leyendo todo lo que escribieron. Yo tengo es TeslaCrypt (vvv). Quisiera saber cómo puedo darme cuenta si neutralicé el virus. Creo que lo hice, pero no estoy seguro. Antes aparecía el cartel con “vssadmin.exe" en el inicio y ya no aparece. Lo pregunto para saber si es necesario formatear o no.
    Por otra parte, si guardo los archivos encriptados en un disco, ¿corre riesgo de infección ese disco? ¿O el virus se transmite de otra manera? Saludos, muchas gracias.

    ResponderEliminar
  61. Revisen el siguiente link, el usuario virusD ha podido desencriptar varios archivos:
    http://www.bleepingcomputer.com/news/security/new-telsacrypt-version-adds-the-vvv-extension-to-encrypted-files/


    Suerte.

    ResponderEliminar
  62. Vayan al link que pasó el último anónimo, FUNCIONA!!!

    ResponderEliminar
  63. Vayan al link que pasó el último anónimo, FUNCIONA!!!

    ResponderEliminar
  64. Es correcto VirusD también solucionó mi problema...

    http://www.bleepingcomputer.com/news/security/new-telsacrypt-version-adds-the-vvv-extension-to-encrypted-files/#cid759

    ResponderEliminar
  65. Imagino que somos muchos los que hemos sufrido este virus y nuestros conocimientos de inglés son escasos, por no decir nulos (incluso alguna persona comentaba que en su desesperación estaba casi dispuesto a pagar pero que no entendía las instrucciones para hacerlo). Y el Google translator para páginas completas falla bastante. ¿Los usuarios que comentan que VirusD ha podido solucionarlo u otro usuario que tenga un buen nivel de inglés, no nos podrían dar las instrucciones EN ESPAÑOL para hacerlo?. Seríamos muchos a los que nos harían un gran favor. Gracias.

    ResponderEliminar
  66. Hola, voy a intentar escribir instrucciones en español para hacerlo.

    1) Lo más importante: Tienen que ingresar en este foro y registrarse. http://www.bleepingcomputer.com/news/security/new-telsacrypt-version-adds-the-vvv-extension-to-encrypted-files/

    2) Una vez que estén registrados, buscan al usuario VirusD y le mandan un mensaje privado con un link para que pueda descargar un RAR donde ponen 3 archivos infectados en pdf, jpg y doc. Les recomiendo que lo hagan con Wetransfer, es fácil y práctico.

    3) Ese usuario les va a responder con un link con la solución. Que les dirá (en inglés) lo siguiente:

    a) Bajan el archivo rar que les envía.
    b) Descargan el Python 2.7.11 (les da el link).
    c) Descargan el pyCrypto (también les da un link).
    d) En el RAR hay un archivo que se llama "teslacrack.py". Ese archivo tienen que guardarlo en la misma carpeta donde instalaron el Python.

    4) Cuando hicieron todo esto, tienen que acceder a DOS. Van a Inicio y donde les aparece "buscar programas" escriben "cmd".

    5) Una vez ahí, el programa se va a ejecutar cada vez que escriban "teslacrack.py". Por ejemplo:

    C:\> teslacrack.py

    Si hacen eso, va a desencriptar todos los archivos que tengan en el disco C.

    Creo que no me olvidé de nada. Me funcionó perfecto y fue un alivio, porque consulté en muchos lugares y nadie lo podía solucionar. Si alguno necesita ayuda extra, me escribe a fernandezdavid1983@gmail.com

    Suerte!

    ResponderEliminar
  67. Hola David, no encuentro el usuario VirusD para enviarle el correo. Que hago?
    Muchas gracias

    ResponderEliminar
  68. hola buenas tardes mi pc se infecto y me cambio todos los archivos a extensión .vvv, no encontré solución lo que realice fue generar un respaldo con todos los archivos encriptados y le di formateo a la pc, ya no tengo el virus pero como puedo recuperar mi información.

    ResponderEliminar
  69. Hola buenas tardes, segui los pasos que indica David Fernandez y pude recuperar los archivos, el usuario Virus D es muy amigable y contesta todas las consultas.

    Saludos

    ResponderEliminar
    Respuestas
    1. Hola Claudio me ayudas porfavor tengo mis archivos encriptados (.vvv).

      Eliminar
  70. Hola, la solución que da el forero VirusD, para que virus es? yo tengo archivos encriptados por Cryptowall 3.0, también lo soluciona? muchas gracias

    ResponderEliminar
  71. En mi caso buenas noches, sigo teniendo problemas para solucionar el encriptado, pues no se como registrarme en la pagina que indica David Fdez, y menos contactar con el usuario VirusD
    Saludos

    ResponderEliminar
  72. Hola , alguien que me explique como eliminar el virus porque mis archivos estan encriptados con la extension .vvv
    Ayuda porfavor

    ResponderEliminar
  73. Que bueno que ha algunos les sirvierá el enlace a Bleepingcomputer. Gracias también a David Fernández por el aporte.

    Para los que tengan problemas para registrarse en bleeping:

    Ir a:
    http://www.bleepingcomputer.com/forums/index.php?app=core&module=global&section=register

    Rellenar los campos del formulario, poniendo en:

    - Username: poner el nombre de usuario que desean
    - E-mail Address: Poner su correo, tiene que ser verdadero. Aqui le enviaran el codigo o link para activar la cuenta.
    - Password: escoger una contraseña
    - Confirm Password: poner la misma contraseña
    - How did you hear about us?: Poner como se enteraron de Bleeping... Igual pueden dejarlo vacio.
    - Registration Question: Responder la pregunta que hay encima del "rectangulo".
    - Security check: Tipear el codigo que aparece en la imagen (aparecen numero o imagenes). Pueden cambiar el codigo dand click en el icono en forma de flechas, encima del icono de sonido).
    - Poner check en "I agree to the terms..." (aceptar los terminos del contrato).

    Click en "Create Account"

    El sistema enviará un e-mail a la cuenta de correo que han anotado. Revisen su correo, abran el e-mail que Bleeping... ha enviado, den click en el enlace para activar la cuenta.

    Entren a Bleeping..., loguearse con su usuario y password.

    Ya dentro del Bleeping, entren al enlace que puse más arriba..., luego busquen pescar suerte y contactar con VirusD.


    Suerte.

    ResponderEliminar
  74. TheGuilleee15 de enero de 2016, 16:40...

    El virus es un ransonware (secuestrador de archivos, encripta los archivos para pedir rescate por ellos).

    Puedes eliminar el virus con cualquier antivirus, mejor si desinfectas por DOS usando un usb o cd de booteo.

    Otra opcion es guardar los archivos infectados en otro disco (para descencriptarlos cualquier se pueda) y formatear por completo el computador.

    Para prevenir futuros ataques instalar Bitdefender antiransonware, es gratuito... lo que hace es "blindar" las carpetas "appdata..." que es desde donde se ejecutan los virus.

    Suerte.


    ResponderEliminar
  75. El virus creo que ya lo elimnie, pero mis archivos siguen encriptados (.vvv) ayuda porfavor.

    ResponderEliminar
  76. Favor ayuda... aun no puedo desencriptar los archivos , el virus ya no esta en mi equipo , pero los archivos no se pueden abrir,..

    favor ayuda.. ayuda... ayudaaa

    ResponderEliminar
  77. Lamentablemente no podrán descencriptar los archivos sin la clace publica y privada que genera el virus.

    De momento la único ayuda es la del usuario VirusD:
    http://www.bleepingcomputer.com/news/security/new-telsacrypt-version-adds-the-vvv-extension-to-encrypted-files/#cid759

    Tienen que suscribirse en uno de los enlaces que deje anteriormente.

    Luego seguir como indica David Fernández.

    Lean los últimos post, es de ayuda.

    VirusD esta descencriptando los archivos y enviando las claves para descencriptar el resto de los archivos infectados en el computador.

    Suerte.

    ResponderEliminar
    Respuestas
    1. A mi me crea un id-2637330644310649-ecovector2@aol.com en mis tablas dbf. Alguien sabe que puedo hacer?

      Eliminar
  78. Buenos días, sigo sin encontrar el virus D, de verdad es bastante no sabría si decir pesado o complicado.

    ResponderEliminar
  79. Muchas, muchas, muchas gracias a los del comentario para contactar con el usuario VirusD en bleepingcomputer, le he enviado un par de archivos de muestra y en unos minutos me envio un programa decodificador con las instrucciones para su uso y ha funcionado a la perfeccion, me ha desencriptado todos los archivos .vvv (mas de 10.000 archivos)que pense que habia perdido para siempre.

    ResponderEliminar
    Respuestas
    1. Comparte el programa descodificador y las instrucciones por favor.

      Eliminar
    2. El programa no sirve de nada si no hay alguien con conocimientos avanzados en programación para decodificar la clave que tienen los archivos. Por eso, hay que contactarse con el usuario VirusD en Bleepingcomputer. Le pasás tus archivos y él te pasa el programa con la clave y te da las instrucciones para usarlo.

      Eliminar
  80. Buenas tardes, pues el usuario Virus D que comentas te ha solucionado el problema, por favor indica el camino para llegar a él, pues me he dado de Alta y demás pero no llego al usuario virus D

    Gracias
    Saludos

    ResponderEliminar
    Respuestas
    1. Una vez que entras en www.bleepingcomputer.com con tu clave,
      vas a la pestaña que pone "members",
      ahi vas a la pestaña de la derecha que pone "more search options"
      y te sale una pantalla con varias opciones de busqueda,
      en la casilla "member name" pones "VirusD" y le das al boton Intro,
      hay ya te saldra un listado con el de primero, pulsas sobre su nombre para ver su cuenta y tienes a la derecha un boton para enviarle un mensaje (send me a message).
      En el mensaje le dices que necesitas su ayuda y le envias un par de archivos infectados de muestra (excel, word, pdf)a traves de un enlace como wetransfer ó sendspace.
      Haber si esta explicacion te ayuda, si no comenta dudas.

      Eliminar
    2. Hola! Me podrías decir como le envío a VirusD los archivos encriptados por WeTransfer si desconozco su email? Muchas gracias

      Eliminar
    3. Este comentario ha sido eliminado por el autor.

      Eliminar
    4. Este comentario ha sido eliminado por el autor.

      Eliminar
  81. Yo acabo de volver todo con lo de virusD. A su estado original

    ResponderEliminar
  82. Buenas tardes

    Una pregunta para los que pudieron recuperar sus archivos: ¿Alguno utiliza Windows XP?

    Saludos

    ResponderEliminar
  83. buenos dias

    visitar el siguiente enlace

    postear el problema y alguien os dara la solucion en breves instantes!

    son unos cracks!

    http://www.bleepingcomputer.com/forums/t/601379/teslacrypt-vvv-ccc-etc-files-decryption-support-requests/page-16#

    ResponderEliminar
    Respuestas
    1. Unos cracks, todo perfecto te registras sigues las instruciones del principio del foro y en 5 minutos me contestaron con mi clave privada.

      Gracias

      Eliminar
  84. Hola tanto les cuesta poner las instrucciones de ese VirusD, deve ser pura mentira...

    ResponderEliminar
  85. Amigos todos... Leyendo los post seguí las instrucciones y recuperé mis preciados archivos. Les cuento que tenía la extenión VVV. Me inscribí en la página www.bleepingcomputer.com tal como comentaron más arriba, le mandé un correo por la misma página al usuario llamado "VirusD" con algunos archivos que tenía encriptados a modo de ejemplo (para eso utilicé el traductor http://www.elmundo.es/traductor/ ya que no me manejo mucho en el inglés) y me envió la solución que para mi caso era la clave de encriptación de mis archivos lista para recuperar todo y el programa que los desencripta que se llama Tesladecoder , me respondió al instante y me solucionó el problema, casi lloro de felicidad. Gracias a todos por las recomendaciones de la página ya que es primera vez que llego por aquí y después de buscar soluciones por distintos lados recuperé los archivos de mis discos duros externos y pendrive, pensando que estaba todo perdido al haber formateado mi notebook.

    ResponderEliminar


  86. TheGuilleee1 para cada caso es diferente yo acabo de poder desencriptar todas mis fotos y pdf y no era el mismo procedimiento que en post mas arriba se ha explicado

    ResponderEliminar
    Respuestas
    1. Me puedes enviar el link de el procedimiento que has seguido?

      Eliminar
  87. Me puedes enviar el link de el procedimiento que has seguido?

    ResponderEliminar
  88. http://www.hackplayers.com/2015/12/herramienta-para-recuperar-los-archivos.html


    esto funciona??

    ResponderEliminar


  89. TheGuilleee1 yo he seguido el procedimiento que pone el anonimo 13 de enero y me ha funcionado genial he recuperado todos mis libros y documentos encriptados

    ResponderEliminar
    Respuestas
    1. Tus archivos que tipo de encriptacion tenian?

      Eliminar
  90. HOLA MIS ARCHIVOS TIENEN LA TERMINACIÓN .XXX Y ES INFORMACIÓN MUY VALIOSA

    ResponderEliminar
  91. Hola aqui esta la solucion para desencryptar los archivos, pero no entendi muy bien expliquenlo porfavor.
    http://www.bleepingcomputer.com/forums/t/601379/teslacrypt-vvv-ccc-etc-files-decryption-support-requests/page-24

    ResponderEliminar
  92. Yo consegui a traves de http://www.bleepingcomputer.com/ solucionar mi problema, me encriptaron todos fichero con extension vvv. Me puse en contacto con un tal VirusD, le envie 3 ficheros infectados y me envio un programa junto con el codigo de desbloque y tambien las insturcciones. No cobra nada, pero le quise pagar 25$ via paypal, ya que me salvo la vida...

    ResponderEliminar
    Respuestas
    1. Hola me ayudas a desencriprar mis archivos .vvv porfavor

      Eliminar
    2. Yo tengo encriptado .mirror. ayuda por favor

      Eliminar
    3. hola buenas yo llevo un año con todas las imágenes encriptadas de mis nenas no tenemos ni idea de informática pero por favor necesito que alguien me ayude.he llevado el ordenador a miles de tiendas y nada de nada por favor necesito recuperar todas las imágenes puesto que tengo todo lo de mis nenas hay y no tengo nada físico para poderles enseñar a mis nenas por favor

      Eliminar
  93. en este preciso momento, estoy escaneando la compu, con el tesla, que me mando VirusD! probe en una carpeta y recupere los archivos! Y ahora puse a recuperar todo! Un copado el flaco! Le mande 3 archivos, y al rato me mando un mensaje diciendome.. "I'm working on your case now" .. a la hora me mando otro mensaje con la clave y las indicaciones!! Mandenle un mensaje! depsues de buscar por todos lados,y no entender mucho del tema,es la unica solcucion posible! Mi extension era .vvv! cualquier cosa, consultenle! no pierden nada!

    ResponderEliminar
    Respuestas
    1. como puedo contactar con el. necesito recuperar mis ficheros. socorro!! mi enxtension encriptada en .mirror

      Eliminar
  94. Mil gracias a David Fernandez por el post, y a bleepingcomputer por desarrollar la herramienta y dar el soporte a las personas que lo necesitan

    He podido recuperar todos mis archivos encriptados, con extensión .CCC y sin pagar nada.

    Personas con conocimientos informáticos medios o avanzados pueden descargarse Tesladecoder.zip, desde la siguiente URL
    http://www.bleepingcomputer.com/forums/t/576600/tesladecoder-released-to-decrypt-exx-ezz-ecc-files-encrypted-by-teslacrypt/
    e intentar recuperar sus archivos. Se requiere también paciencia, el proceso puede ser muy lento, dependiendo de la potencia del ordenador.

    Otras personas pueden registrarse en bleepingcomputer.com, y en la dirección anterior poner un mensaje al operador Virus_D o a cualquiera de los moderadores del sitio.
    Os piden uno o varios archivos encriptados y recuperaran la clave que permite recuperar los archivos.

    En ningún caso deben pediros dinero por ayudaros!!!!.

    Para las personas que quieran recuperar los archivos por sí mismos, os hago un resumen:

    - Descargar Tesladecoder.zip, que contiene TeslaViewer, TeslaDecoder, TeslaRefactor y Instructions.html.
    1) Usando TeslaViewer, obtener a partir de uno de los archivos encriptados una clave pública "PublicKeyBC" y otra privada "SharedSecret1*PrivateKeyBC".
    Teslaviewer puede guardar esta clave en un archivo work.txt
    2) A partir de la clave "SharedSecret1*PrivateKeyBC", hay que "factorizar" y obtener una serie de pares de valores.
    Para ello, se puede acceder a la URL http://www.factordb.com/ y con suerte (no en mi caso), indicando el contenido de esta clave, se devuelven los factores. Si lo consigue devuelve el status=FF, y saltamos al paso 3.
    En caso contrario, hay que usar otras utilidades para factorizar, y este es el proceso mas pesado.
    Descargar yafu.zip desde http://download.bleepingcomputer.com/td/yafu.zip
    Ejecutar desde la línea de comandos (CMD) --> tuneX86.bat (equipos de 32-bit) o tuneX64.bat (64-bit) para optimizar yafu en el PC.
    Ejecutar desde la línea de comandos (CMD) -->factorX86.bat(32-bit users) o factorX64.bat (64-bit).
    Indicar el nº de CPU del PC -1. Por ejemplo, si tiene 4 procesadores poner 3 (esto es para que se ejecute el proceso
    en 3 procesadores simultaneamente). Si no sabes cuantos procesadores tiene el PC, ir al Administrador de tareas--pestaña Rendimiento
    Pegar el valor dela clave "SharedSecret1*PrivateKeyBC". Esperar a que devuelva los factores, pueden ser horas o incluso dias.

    Copiar en un archivo estos valores para usarlos a continuación.

    3) Ejecutar Teslarefactor, indicando la clave pública (hex) recuperada en el punto 1 y los factores recuperados en el punto 2, se obtendrá la clave privada.
    Esta clave "Private Key" es la que permite recuperar nuestros archivos.

    4) Por último, ejecutar Tesladecoder, indicando en "Set Key" la clave Private Key recuperada. Desencriptar una carpeta o el equipo entero, indicando si se borraran o no los
    archivos .ccc (o la extensión que os haya puesto vuestro inquilino). Recomendable no borrarlos hasta comprobar que todo es correcto.

    Recordar que esto es solo un resumen (y no completo), las instrucciones están en el archivo Instructions.html, espero que tengais suerte.

    ResponderEliminar
    Respuestas
    1. muchisimas gracias por las intrucciones. voy a ponerme con ello :-P

      Eliminar
    2. Hola, en el Private Key me dice Not Found

      Eliminar
    3. me encriptaron los archivos con extensión .micro
      ayuda!!!

      Eliminar
    4. TheGuille, si has podido recuperar los "factores" debería salir la "private key". En Teslarefactor hay que pegar los factores en la forma que se indica en "Instructions" para que esta clave se recupere, es un orden un poco especial ¿Es en ese punto donde tienes el problema?

      Eliminar
    5. Manuel Sanchez me podrias explicar el paso de como pegar los factores y la clave publica no logro entender te lo agradeceria muchisimo

      Eliminar
    6. Bastian Nelson, a ver si puedo explicarme.
      Los factores se pueden obtener mediante la utilidad Yafu o accediendo a http://www.factordb.com/

      1) Si lo hiciste desde Yafu y el proceso finaliza bien, debe salir algo parecido a esto:

      **factors found***

      P1 = 2
      P1 = 2
      P1 = 2
      P1 = 2
      P1 = 2
      P1 = 2
      P1 = 2
      P1 = 2
      P1 = 3
      P1 = 3
      P1 = 3
      P1 = 3
      P2 = 11
      P9 = 380248763
      P27 = 995492221449516092739016753
      P40 = 1311918658361699125254922826330447608751
      P73 = 1118096251258046915020772509485298672946158977484664646068594114950979573

      ans = 1

      Presione una tecla para continuar . . .


      En Teslarefactor se debe copiar así (dejando únicamente los números que hay a continuación del signo =, de esta forma:

      2
      2
      2
      2
      2
      2
      2
      2
      3
      3
      3
      3
      11
      380248763
      995492221449516092739016753
      1311918658361699125254922826330447608751
      1118096251258046915020772509485298672946158977484664646068594114950979513


      2) Si lo hiciste desde http://www.factordb.com/ te habrá salido algo parecido a esto:

      status (?) Digits number
      FF 155 (show) 1266512411...12<155> = 2^8 · 3^4 · 11 · 380248763 · 995492221449516092739016753 · 1311918658...51<40> .
      1118096251...13<73>

      En Teslarefactor debes pegar todo lo que hay arriba, sin espacios, a partir del signo igual. Con estas reglas:
      Lo que está separado por · es una línea. Lo que pone 2^8 puedes ponerlo así tal cual, o poner 8 líneas con el número 2.
      Si ves un número incompleto (en el ejemplo de arriba el que pone 1460239092...19<40> tienes que pinchar en él para que aparezca completo, en este caso son 40 caracteres.

      Vamos al lío, en este ejemplo sería:

      2^8
      3^4
      11
      380248763
      995492221449516092739016753
      1311918658361699125254922826330447608751
      1118096251258046915020772509485298672946158977484664646068594114950979513

      ó puedes pegarlo así, tambien vale

      2
      2
      2
      2
      2
      2
      2
      2
      3
      3
      3
      3
      11
      380248763
      995492221449516092739016753
      1311918658361699125254922826330447608751
      1118096251258046915020772509485298672946158977484664646068594114950979513


      Y en el otro campo de Teslarefactor hay que poner en "Public key (hex)" la recuperada en el paso 1 con Teslaviewer (se queda guardada en el archivo work.txt),
      en mi caso:

      PublicKeyBC = 048F7B48049877F4475D4CEE8E739A663EEDEEA1C2C54073E8C2F18BF1A8DCFF56222E8531992349E4EC0D1495923064DC14210C373FC50A8E1491EC202CBFB64A

      Donde pone Public key, pondría 048F7B48049877F4475D4CEE8E739A663EEDEEA1C2C54073E8C2F18BF1A8DCFF56222E8531992349E4EC0D1495923064DC14210C373FC50A8E1491EC202CBFB64A

      Eliminar
  95. Para Anónimo, esta herramienta permite descifrar solo los archivos infectados con extensiones ecc (0.3.4b+), ezz, exx, xyz, zzz, aaa, abc, ccc, vvv. Dicen en bleepingcomputer.com que están trabajando para poder descifrar los infectados con TeslaCrypt 3.0 (con extensiones .xxx, .ttt, .micro). Recomiendan guardar los ficheros infectados y esperar a que encuentren una solución. Suerte.

    ResponderEliminar
  96. Hoy tuve un caso con .micro leí el foro bleepingcomputer.com y aun no tienen solución. Para esta infección,tendremos que esperar.

    ResponderEliminar
  97. Hoy tuve un caso con .micro leí el foro bleepingcomputer.com y aun no tienen solución. Para esta infección,tendremos que esperar.

    ResponderEliminar
    Respuestas
    1. uf.... gracias luis, a ver si hay suerte y sale pronto la solucion

      gracias por vuestra ayuda

      Eliminar
  98. Soy una víctima mas del Ransomware TeslaCrypt, me ha codificado documentos de texto, fotos, word, exel, música en wma, etc... todos los documentos aparecen con la extensión (.ttt)
    La fecha de infección fue el 14.12.2015, no tengo ni idea de como se instaló en mi equipo y hasta el momento solamente he podido localizar y eliminar el Malware.
    (Avast "protección básica" no lo detectó), lo encontré con (Malwarebytes) y con (Esset Online Scanner).
    No pienso ceder a los chantajistas, pues pienso que eso alimenta a que sigan fastidiando, a esos ni agua.
    Así que de momento tendré que esperar a que aparezca alguna solución.(Aún estoy utilizando XP)
    Por si alguien puede ayudarme: crac69bcn@hotmail.com
    Muchas gracias!

    ResponderEliminar
    Respuestas
    1. Rectificación de mi comentario anterior
      La fecha de infección fue el 14.01.2016 (Y no el 14.12.2015)
      Y donde pone "Esset" quería decir "Eset Online Scanner" (Con una sola "S")
      Disculpad los errores.

      Eliminar
    2. Recibí en mi correo respuesta al comentario anterior.
      Y aunque no me pudieron dar solución para mi versión del TeslaCrypt (.ttt) quizás os puedan ayudar en otras versiones del virus.
      Creo que el servicio es gratuito, pero no me quedó claro, al igual os piden una donación voluntaria como compensación.

      Me mandaron el siguiente mensaje, con la información y la forma de contacto.

      3J Kernel es una plataforma tecnológica en la que tratamos temas como el 3D, recursos,etc...
      y uno de esos temás es la seguridad informática.

      Puedes enviarnos un par de
      archivos encriptados y te los devolveremos desencriptados, para que veas que es posible.

      Twitter: www.twitter.com/3jkernel
      Facebook: https://www.facebook.com/pages/3J-Kernel/1580608478823553?ref=hl
      Google+ : https://plus.google.com/u/0/114048629905453440423/posts
      Suscríbete a nuestro canal de/Suscribe to our channel on Youtube https://www.youtube.com/channel/UC-aqdNdOiLJLBnP1tBSUNAA
      Página web/Webpage: www.3jkernel.com
      E-mail: 3jkernel@gmail.com

      Eliminar
  99. Anteayer, sin saber cómo, mi ordenador se infectó con el troyano TeslaCrypt; probablemente una nueva versión, pues los ficheros aparecen encriptados con extensión MIRROR.
    De estar sumido en la mayor desolación, he pasado a albergar cierta esperanza después de leer esta página y saber que hay expertos trabajando desinteresadamente en solventar esta tremenda faena.
    Confío en que darán con la solución a esta nueva "versión" de la "gracia" que nos proporciona esta gente impresentable y espero que las autoridades encargadas de estos temas los pongan a buen recaudo.
    Paciencia y ánimo a los afectados.

    ResponderEliminar
  100. He seguido los pasos del comentario de Manuel Sánchez de 20 de enero de 2016 y he recuperado los archivos infectados. Mil gracias!!!!!!!!!!!!

    ResponderEliminar
  101. Anónimo, me alegra mucho saber que has podido recuperar los ficheros :)

    A los demás afectados, con extensiones .ttt, .mirror, etc, mi recomendación es paciencia, guardar los archivos infectados y consultar la página de bleepingcomputer.com , son los que mas han avanzado sin aceptar el chantaje.
    Por cierto, yo no tengo ninguna relación con esa página, salvo que estoy agradecido por ayudar a restaurar mis archivos. Saludos.

    ResponderEliminar
  102. He localizado esta página de Nabz Software tratando la infección por Teslacrypt 3.0 (ext. Mirror y otras). ¿Alguien sabe de su eficacia?

    Decrypt and remove .micro file extension virus http://nabzsoftware.com/types-of-threats/micro-file …

    ResponderEliminar
  103. Saludos, no pretendo desviar el hilo de la conversación, simplemente quisiera saber si existe la posibilidad de desencriptar archivos afectados por el Cryptowall 3.0
    Desde Octubre que vengo buscando como recuperar mis archivos y me tiene desesperado, si saben de alguna solución, incluso una empresa que haga el trabajo, no me importaría pagar, solo quisiera mis archivos de trabajo de vuelta. Desde ya muchas gracias por cualquier información.

    ResponderEliminar
    Respuestas
    1. yo llevo desde marzo del año pasado igual, y de momento que yo sepa, no hay nadie que pueda desencriptarlos

      Eliminar
  104. Buenas tardes, ayer se me infecto la maquina y me encripto todos los archivos, los archivos tienen la misma extensión pero en el icono aparece como mp3, cuando los quiero abrir me abre el reproductor.
    si alguien tiene la solución por favor avisar gracias!!!

    ResponderEliminar
  105. y que bonito es tener todo el ordenador sin poder usar nada de lo que hay en el con .micro :( si conseguis alguna solución, por favor que alguien me avise lara.arriaza@gmail.com gracias!!!

    ResponderEliminar
  106. Hola me pasa casi lo mismo la diferencia es que encripta mis archivos con la extencion .locky alguien puede ayudarme

    ResponderEliminar
    Respuestas
    1. Lo mismo por aca. Todos los archivos word, excel y fotos encriptados con extension ".locky"
      Sabes si hay alguna herramienta para recuperarlos?
      Saludos

      Eliminar
  107. desde ayer tengo los discos duros infectados con el troyano teslaCryp, cuando me di cuenta ya me había encriptado mucho, sobre todo fotos y documentos, videos, corté el pc y lo he abierto en modo seguro con funciones de red, ahora estoy pasándole un antivirus, están encriptados con la extensión mp3, me ha pillado sin hacer copia de seguridad, menudo mal rato.....sirve la solución de bleepingcomputer.com?....por favor sería un gran alivio recuperar mi información...

    ResponderEliminar
    Respuestas
    1. Amigo yo tambien tengo el mismo problemas. Si te contactan para dar salución te agradecería la compartieras. zarmandomh@hotmail.com GRACIAS

      Eliminar
    2. Hola amigos desde ayer yo soy otra victima de ese virus. Todos mis archivos ahora tienen la terminación .mp3 Si alguien tiene la forma de como recuperarlos les agradecería que lo compartan conmigo a robertonicaragua@hotmail.com GRACIAS

      Eliminar
    3. Me he registrado en bleepingcomputer.com y suscrito al hilo creado para las últimas extensiones del TeslaCryp, es un foro en inglis y no se nada de inglés, voy a base de traductor google. NO dan esperanzas, pero no quiero perderla, tengo 10 años de imágenes encriptadas, es una grandísima putada.

      Eliminar
  108. Hola.
    A finales del mes pasado se me infectó el ordenador con el troyano TeslaCrypt, encriptando la mayoría de ficheros del disco duro con la extensión .micro. Parece ser que era la versión 3.0 y ahora veo que una nueva versión los encripta con la extensión .mp3.
    Parece que, por ahora, para ninguna de estas dos infecciones hay solución.
    No quiero perder la esperanza, por lo que ruego comuniquéis cualquier novedad al respecto, yo también lo haré. Y suerte!!!

    ResponderEliminar
  109. Álguien sabe de http://unfactordefender.esy.es/ ???? He visto la página y no ponen ni teléfono ni dirección ni nada. Es fiable? Una estafa?

    Tengo un Teslacrypt 3.0 con archivos .micro y no tengo forma de desencriptarlos

    ResponderEliminar
  110. Parece que en esta página resuelven infecciones de versiones anteriores a la 3.0. Reconocen, incluso, que no tienen aún solución para los archivos con extensión micro, que también a mí me ha llegado.

    ResponderEliminar
    Respuestas
    1. Pero indican que se pueden recuperar los datos y que te aconsejan la forma de hacerlo. Son fiables o es una estafa? No se si fiarme. Alguien sabe sino de otra empresa que me pueda ayudar?

      Eliminar
  111. Tengo mas de 2000 archivos infectados con el Teslacrip. Me los ha convertido todos a .mp3, y ahora no hay forma de abrirlos.
    ¿Alguna solucion?

    ResponderEliminar
  112. Hola amigos. Todos mis archivos desde ayer se convirtieron a .mp3 estaba conectado a la red, en cuanto me di cuenta que estaba siendo afectado desconecte mi terminal. Pero ya fue tarde porque algunos archivos de las demás terminales ya también habían sido convertidos a mp3. Una ves desconectada la terminal infectada esta no siguió infectado a las demás. Ayuda para recuperar mis archivos contácteme a robertonicaragua@hotmail.com. GRACIAS

    ResponderEliminar
  113. Roberto carrillo, sabes como entró el virus.?

    ResponderEliminar
  114. Yo tengo el cryptowall 3.0 y en bleeping computer me dijeron que no hay solucion por el momento asi que al parecer hay que esperar un buen tiempo, si alguien sabe de algun metodo posteenlo yo hare de igual forma.

    ResponderEliminar
    Respuestas
    1. yo, termino de enterarme que me ha sucedido lo mismo, tengo todo encriptado, con el virus cryptowall 3.0, que recomendáis, que guarde el ordenador hasta que alguien nos indique si en algún futuro se pueda recupera los datos, tengo todas las fotos de mis hijos, todos mis recuerdos. ahora se que tengo que hacer copias en tarjetas, pero que desgraciados los que se divierten metiendo virus.

      Eliminar
  115. asi es no existe la posibilidad ya que a fuerza bruta la contraseña tiene cifrado muy largo tardarian años muchos años la podria hacer una prueba realizando un has comparativo si tuvieran alguno de los archivos

    ResponderEliminar
  116. hola a todos. En mi caso tambien se me ha encriptado todo a .MP3 ya segui las instrucciones y me registre en dicho foro, y le envie un mensaje privado a VirusD, lo a leido pero aun no me lo contesta. lo q no comprendo es como hago para mandarle los archivos por we transfer, si desconozco su direccion de mail. Alguna ayuda al respecto x favor? no me siento seguro para intentar hacerlo x mi cuenta con las instrucciones q han pasado mas arriba. preferiria q VirusD me asesore. Cualquier novedad x favor mi mail gsilicaro@hotmail.com gracias

    ResponderEliminar
  117. Me han pedido tres archivos con extensión mp3 en unfactordefender@gmail.com
    Por ahora no me han contestado.
    Ahora solo hace falta algo de suerte. Lo mismo alguien da con la tecla.

    ResponderEliminar
    Respuestas
    1. hola Antonio ami me llego un correo de una pagina j3kernel te piden que les envie un archivo incriptado y te lo devuelven en perfecto estado,pagando 90euros mas una vacuna, no me convecieron mucho

      Eliminar
    2. Hola Miguel Angel.
      Si tienes más información al respecto te agradeceria que me la comunicaras. Lo de la pagina esa...seria mejor que me indicaras la URL completa.
      Gracias

      Eliminar
    3. En la respuesta del "Anonimo" (que soy yo) con fecha 01.02.2016, encontrarás todos los enlaces con información y formas de contacto con j3kernel.
      Pero para algunas versiones del virus aún no tienen la solución.
      Suerte!!!

      Eliminar
  118. Hola, Miguel Ángel.
    Podrías especificar la dirección de correo de esa página a que aludes?
    Qué versión de TeslaCrypt te había infectado?
    Muchas gracias.

    ResponderEliminar
    Respuestas
    1. Gracias, Miguel Ángel.
      A ver si por esta vía logro algo, porque ya empiezo a desanimarme.

      Eliminar
  119. Saludos, el 13 de febrero del presente año preguntaba en este foro si existía la posibilidad de desencriptar archivos afectados por Criptowall 3.0. Tengo un archivo desencriptado y el mismo encriptado, existe alguna posibilidad de usar un software de comparación de estructuras de archivos que me permita encontrar la diferencia entre ellos y localizar el agente encriptador? (hablo sin saber, son deducciones). El archivo desencriptado es el que te desencriptan de muestra por el chantajista del virus. Desde ya agradezco cualquier respuesta, incluso si saben de alguna empresa que haga este trabajo.

    ResponderEliminar
  120. Yo he tratado de mandarle mensaje a VirusD pidiendo ayuda para que me proporcione alguna solucion ya que me he infectado con TeslaCrypt y mis archivos los convirtio a .MP3 al momento de mandarle el mensaje me dice que su Buzon ya no puede recibir mas mensajes. alguien que proporcione otro dato de el???? lo agradeceria.

    ResponderEliminar
  121. Efectivamente tiene deshabilitado su buzon. Alguien tiene claro como se propaga este software y si un equipo infectado dentro de una red puede infectar a otros de forma diferente a la de adjunto en un correo, gracias

    ResponderEliminar
  122. Estimados(as): Tengo un equipo que se infectó y los archivos fueron agregados con la extensión ".ID5132A838.Ecovector3@aol.com.xtbl". Alguien me puede indicar si es posible con los datos entregados acá poder desencriptarlos...me interesa solo un archivo...Desde ya, muchas gracias.

    ResponderEliminar
  123. Buenas noches.
    Mi ordenador se infectó con el Trojan Kovter, que ha debido modificar la mayoría de ficheros de mi disco duro (sin alterar su extensión), impidiéndome el acceso a ellos.
    He podido eliminar el virus y me queda ahora la tarea laboriosa de borrar los ficheros RECOVER ... que genera el virus en todas y cada una de las carpetas y por triplicado, en mi caso. Seguro que hay algún procedimiento que facilite este proceso y que yo desconozco, por lo que pido ayuda.
    Gracias anticipadas.

    ResponderEliminar
    Respuestas
    1. Buenas, no puedo ayudarte a desencriptar tus archivos, pues yo estoy en la misma situación, pero si que puedo ayudar a borrar los archivos RECOVER... de todas las carpetas, es tan simple como buscar en todo el PC todos los archivos con ese nombre, tienes que ir a "Buscar archivos" y cuando los hayas encontrado, le das a la pestaña "seleccionar todo" y luego a "eliminar". Así de fácil.
      Suerte!!!

      Eliminar
    2. Muchas gracias. Mi ofuscación era tal, que me impedía dar con algo tan elemental.
      Queda ahora esperar por una solución para recuperar los archivos. Aunque el desaguisado que me han buscado es tremendo, no pienso ceder.
      Saludos.

      Eliminar
  124. Buenas tardes, yo tengo un servidor afectado por el ransomware que pone los archivos con extension .locky
    Alguno tiene forma de desencriptarlos??
    Saludos y Gracias

    ResponderEliminar
  125. En respuesta al mensaje de anónimo del 16 de Marzo, Este virus puede entrar por varias vias: al ejecutar una falsa actualización de Adobe Flash Player, al descargar y ejecutar un archivo adjunto en un mensaje de correo, pero sobre todo al descargar juegos o pelis.
    Si el PC tiene configurado un cortafuegos, por ejemplo el Firewall de Windows, prestar atención a los puertos que tenga abiertos para facilitar estas descargas, es como poner una alfombra roja para que el virus pueda entrar las veces que quiera. Además de eliminarlo, hay que cerrar todos los puertos sospechosos en el cortafuegos.
    El virus puede encriptar archivos en cualquier unidad conectada al PC, incluso archivos en dropbox.

    ResponderEliminar
  126. Hola, pues tenemos otro nuevo virus, yo hoy me he encontrado todos los archivos con extension .cerber. Si alguien tiene informacion se lo agradeceré.

    ResponderEliminar
  127. Hola, pues tenemos otro nuevo virus, yo hoy me he encontrado todos los archivos con extension .cerber. Si alguien tiene informacion se lo agradeceré.

    ResponderEliminar
  128. Hola tengo un problema, me trajeron para desencriptar unos archivos, por no decir cientos que aparentemente fueron hechos con el cryptowall, me pide que por favor le recupere los archivos, pero tontamente el tipo formateo la pc, lo digo por el key.dat y ahora no puedo acceder a desencriptarlos, otra cosa, los archivos no han modificado su extensión, por ejemplo los de Word, están con .doc y así, lo digo por que he leído de algunos que su extensión ha sido cambiada. Y pues, la pregunta del millón: SE PUEDE RECUPERAR ESTA INFORMACION? si es así, Cómo?...

    ResponderEliminar