Herramientas para recuperar archivos cifrados por ransomware

Las empresas de seguridad continúan dando el máximo para lanzar aplicaciones que permitan a los usuarios recuperar la mayoría de los archivos afectados por ransomware. La compañía de seguridad Avast ha sido la encargada de anunciar las siguientes herramientas gratuitas para descifrar archivos vulnerados con las siguientes formas de ransomware. Solo tiene que hacer clic en un nombre para ver los signos de la infección y obtener la corrección gratuita.

  1. Alcatraz Locker
  2. Apocalypse
  3. BadBlock
  4. Bart
  5. Crypt888
  6. CrySiS
  7. Globe
  8. Legion
  9. NoobCrypt
  10. SZFLocker
  11. TeslaCrypt

    Alcatraz Locker

    Alcatraz es una variedad de ransomware que se detectó por primera vez a mediados de noviembre de 2016. Para cifrar los archivos del usuario, este ransomware usa el estándar AES 256 y la codificación Base64.
    Cambios en los nombres de archivo:

    Los archivos cifrados tienen la extensión .Alcatraz.
    Mensaje de rescate:

    Después de cifrar los archivos, se muestra un mensaje parecido (se encuentra en el archivo ransomed.html en el escritorio del usuario):
    Si Alcatraz Locker ha cifrado sus archivos, haga clic aquí para descargar nuestra corrección gratuita:

    Apocalypse

    Apocalypse es una forma de ransomware que se detectó por primera vez en junio de 2016. Estos son los signos de la infección:
    Cambios en los nombres de archivo:

    Apocalypse agrega .encrypted.FuckYourData.locked.Encryptedfile o .SecureCrypted al final de los nombres de archivo (por ejemplo, Thesis.doc se convierte en Thesis.doc.locked).
    Mensaje de rescate:

    Al abrir un archivo con la extensión .How_To_Decrypt.txt.README.Txt.Contact_Here_To_Recover_Your_Files.txt.How_to_Recover_Data.txt o .Where_my_files.txt (por ejemplo, Thesis.doc.How_To_Decrypt.txt), se mostrará una variante de este mensaje:

    BadBlock

    BadBlock es una forma de ransomware que se detectó por primera vez en mayo de 2016. Estos son los signos de la infección:
    Cambios en los nombres de archivo:

    BadBlock no cambia el nombre de los archivos.
    Mensaje de rescate:

    Después de cifrar sus archivos, BadBlock muestra uno de estos mensajes (desde un archivo llamado Help Decrypt.html):
    Si BadBlock ha cifrado sus archivos, haga clic aquí para descargar nuestra corrección gratuita:

    Bart

    Bart es una forma de ransomware que se detectó por primera vez a finales de junio de 2016. Estos son los signos de la infección:
    Cambios en los nombres de archivo:

    Bart agrega .bart.zip al final de los nombres de archivo (por ejemplo, Thesis.doc se convierte en Thesis.doc.bart.zip). Es decir, se cifran en formato ZIP con los archivos originales.
    Mensaje de rescate:

    Después de cifrar los archivos, Bart cambia el fondo de pantalla del escritorio por una imagen como la siguiente. El texto de esta imagen también se puede usar para ayudar a identificar a Bart y se almacena en el escritorio en archivos llamados “recover.bmp” y “recover.txt“.
    Si Bart ha cifrado sus archivos, haga clic aquí para descargar nuestra corrección gratuita:
    Reconocimiento: gracias a Peter Conrad, autor de PkCrack, por concedernos permiso para usar su biblioteca en nuestra herramienta de descifrado de Bart.

    Crypt888

    Crypt888 (también conocido como “Mircop”) es una forma de ransomware que se detectó por primera vez en junio de 2016. Estos son los signos de la infección:
    Cambios en los nombres de archivo:

    Crypt888 agrega Lock. al principio de los nombres de archivo (por ejemplo, Thesis.doc se convierte en Lock.Thesis.doc).
    Mensaje de rescate:

    Después de cifrar los archivos, Crypt888 cambia el fondo de pantalla del escritorio a uno de los siguientes:
    Si Crypt888 ha cifrado sus archivos, haga clic aquí para descargar nuestra corrección gratuita:

    CrySiS

    CrySiS (JohnyCryptor, Virus-Encode o Aura) es una variedad de ransomware que se detectó por primera vez en septiembre de 2015. Usa AES 256 y el cifrado asimétrico RSA 1024.
    Cambios en los nombres de archivo:

    Los archivos cifrados pueden tener varias extensiones, como:
    .johnycryptor@hackermail.com.xtbl,
    .ecovector2@aol.com.xtbl,
    .systemdown@india.com.xtbl,
    .Vegclass@aol.com.xtbl,
    .{milarepa.lotos@aol.com}.CrySiS,
    .{Greg_blood@india.com}.xtbl,
    .{savepanda@india.com}.xtbl,
    .{arzamass7@163.com}.xtbl
    Mensaje de rescate:

    Después de cifrar los archivos, se muestra uno de los mensajes siguientes (ver más abajo). El mensaje se encuentra en los archivos Decryption instructions.txtDecryptions instructions.txt o *README.txt del escritorio del usuario.
    Si CrySiS ha cifrado sus archivos, haga clic aquí para descargar nuestra corrección gratuita:

    Globe

    Globe es una variedad de ransomware que se detectó por primera vez en agosto de 2016. Según la variante, usa el método de cifrado RC4 o Blowfish. Estos son los signos de la infección:
    Cambios en los nombres de archivo:

    Globe agrega una las extensiones siguientes al nombre de archivo: .ACRYPT.GSupport[0-9].blackblock.dll555.duhust.exploit.frozen.globe.gsupport.kyra.purged.raid[0-9].siri-down@india.com.xtbl.zendrz o .zendr[0-9]. Además, algunas de sus versiones también cifran el nombre de archivo.
    Mensaje de rescate:

    Después de cifrar los archivos, se muestra un mensaje parecido (se encuentra en un archivo llamado “How to restore files.hta” o “Read Me Please.hta“):
    Si Globe ha cifrado sus archivos, haga clic aquí para descargar nuestra corrección gratuita:

    Legion

    Legion es una forma de ransomware que se detectó por primera vez en junio de 2016. Estos son los signos de la infección:
    Cambios en los nombres de archivo:

    Legion agrega una variante de ._23-06-2016-20-27-23_$f_tactics@aol.com$.legion o .$centurion_legion@aol.com$.cbf al final de los nombres de archivo (por ejemplo, Thesis.doc se convierte en Thesis.doc._23-06-2016-20-27-23_$f_tactics@aol.com$.legion).
    Mensaje de rescate:

    Después de cifrar los archivos, Legion cambia el fondo de pantalla del escritorio y muestra un mensaje emergente parecido a este:
    Si Legion ha cifrado sus archivos, haga clic aquí para descargar nuestra corrección gratuita:

    NoobCrypt

    NoobCrypt es una variedad de ransomware que se detectó por primera vez a finales julio de 2016. Para cifrar los archivos del usuario, este ransomware usa el estándar AES 256.
    Cambios en los nombres de archivo:

    NoobCrypt no cambia los nombres de archivo. Sin embargo, los archivos cifrados no se pueden abrir con la aplicación asociada.
    Mensaje de rescate:

    Después de cifrar los archivos, se muestra un mensaje parecido (se encuentra en el archivo ransomed.html en el escritorio del usuario):
    Si NoobCrypt ha cifrado sus archivos, haga clic aquí para descargar nuestra corrección gratuita:

    SZFLocker

    SZFLocker es una forma de ransomware que se detectó por primera vez en mayo de 2016. Estos son los signos de la infección:
    Cambios en los nombres de archivo:

    SZFLocker agrega .szf al final de los nombres de archivo (por ejemplo, Thesis.doc se convierte en Thesis.doc.szf).
    Mensaje de rescate:

    Al intentar abrir un archivo cifrado, SZFLocker muestra el mensaje siguiente (en polaco):
    Si SZFLocker ha cifrado sus archivos, haga clic aquí para descargar nuestra corrección gratuita:

    TeslaCrypt

    TeslaCrypt es una forma de ransomware que se detectó por primera vez en febrero de 2015. Estos son los signos de la infección:
    Cambios en los nombres de archivo:

    La versión más reciente de TeslaCrypt no cambia el nombre de los archivos.
    Mensaje de rescate:

    Después de cifrar los archivos, TeslaCrypt muestra una variante del mensaje siguiente:
    Si TeslaCrypt ha cifrado sus archivos, haga clic aquí para descargar nuestra corrección gratuita:
    Fuente: avast
    Anuncios


    Categorías:Sin categoría

    Etiquetas:, ,

    Responder

    Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

    Logo de WordPress.com

    Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

    Imagen de Twitter

    Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

    Foto de Facebook

    Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

    Google+ photo

    Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

    Conectando a %s

    A %d blogueros les gusta esto: