CryptoLocker, HELP_DECRYPT,…: borran todos tus datos. Qué hacer y soluciones (Actualizado 05.2016)

Imagínate que un día arrancas tu ordenador de casa o del trabajo y éste se enciende como siempre pero no puedes abrir ninguno de tus archivos; todos dan error: fotos (incluso familiares), vídeos, trabajos hechos en Word, hojas de cálculo en Excel, PDFs, bases de datos, copias de seguridad…. ¡Todo perdido!

Y además no solo afecta a los que están en el equipo sino también a los que puedan guardarse en discos USB y en otros ordenadores de la red, incluyendo servidores. Has perdido toda la información (o, mejor dicho, secuestrada, con programas ransomware como CryptoLocker, CryptoWall,…) y quedan unos ficheros HELP_DECRYPT, HELP_RESTORE_FILES_jlmxu o similares o los archivos con extensión ecc o exx (depende del virus o malware).

Esta catástrofe, mejor dicho, “datástrofe” no es ciencia ficción. Está pasando en muchas empresas y hogares (me consta el caso de una persona que, directamente, ha perdido todo lo que tenía en su ordenador) y está causado por una de las familias de “virus”/malware más maliciosas que he visto jamás y no tiene cura, solo prevención, así que mucho cuidado. Aquí explico qué se puede hacer y conviene tomar buena nota.

Actualizado en mayo de 2016 con nuevas soluciones.

Imagen de CryptoLocker

Imagen de CryptoLocker

Llevo varias semanas “peleando” con esta clase de virus/malware (aunque hace mucho que circulan por la red) y por eso explico en este artículo en primera persona cómo funciona, qué hace y qué medidas se pueden tomar para minimizar los daños. Reitero que es algo muy muy serio.

La propagación del virus es a través de Internet. Por lo que he podido comprobar, hay diferentes variantes (me constan al menos cuatro) y la manera de infección es visitar una web que hace uso de alguna vulnerabilidad del navegador o de una extensión (por ejemplo Adobe Flash, Java, etc.) y que aprovecha para instalar el virus o bien abrir un archivo malicioso en PDF, Word, PowerPoint, etc..

Para provocar que la persona visite la web o abra el fichero que le va a infectar, circulan diferentes tipos de correos electrónicos que aparentan ser de Correos, Hacienda, Tráfico, SEUR, UPS, Colegios profesionales o incluso algunos que aparentan provenir de amigos, conocidos o personas con las que se trabaja.

Mail de Correos con virus

Mail de Correos con virus – ¡No abrir!

Este es un correo electrónico real recibido por mí el otro día (obviamente no abrí el enlace). El texto es bastante deficiente:

Asunto: Christian Delgado von Eitzen carta certificada no entregado a usted

Su paquete ha llegado 04 de mayo. Courier no pudo entregar una carta certificada a usted. Imprima la informaci’on de env’io y mostrarla en la oficina de correos para recibir la carta certificada.  

CD 337412440460

Descargar informaci’on sobre su env’io (enlace malicioso)

Si la carta certificada no se recibe dentro de los 30 d’ias laborables Correos tendr’a derecho a reclamar una indemnizaci’on a usted para ‘el est’a manteniendo en la cantidad de 8,95 euros por cada d’ia de cumplir. Usted puede encontrar la informaci’on sobre el procedimiento y las condiciones de la carta de mantener en la oficina m’as cercana. Este es un mensaje generado autom’aticamente.

Privacy

Es posible que, en nuestros sitios web y aplicaciones, recabemos informaci’on sobre sus actividades en l’inea y la utilicemos para ofrecerle publicidad sobre productos y servicios adaptada a sus intereses particulares. Esta secci’on de nuestra Aviso de Privacidad proporciona detalles y explicaciones sobre c’omo puede hacer uso de sus opciones. Es posible que vea ciertos anuncios en otros sitios web porque participamos en redes de publicidad. Las redes publicitarias nos permiten dirigir nuestros mensajes a los usuarios mediante m’etodos contextuales, basados en intereses y demogr’aficos. Estas redes hacen un seguimiento de sus actividades en l’inea durante un periodo de tiempo recabando informaci’on por medio de m’etodos autom’aticos, incluido el uso de cookies, registros de servidores web y web beacons. Las redes utilizan esta informaci’on para mostrarle anuncios que se ajusten a sus intereses particulares. La informaci’on que nuestras redes publicitarias pueden recabar incluye informaci’on sobre sus visitas a sitios web que forman parte de las redes de publicidad pertinentes, como las p’aginas o anuncios que visita y las acciones que lleva a cabo en los sitios web. Esta recopilaci’on de datos tiene lugar tanto en nuestros sitios web como en los sitios web de terceros que forman parte de las redes publicitarias. Este proceso tambi’en nos ayuda a controlar la eficacia de nuestros programas de marketing.

Haga clic aqu’i para darse de baja. (enlace malicioso)

@ Copyright 2014 Sociedad Estatal Correos y Tel’egrafos, S.A.

Aunque cada vez los hacen mejor y sin ánimo de dar ideas a estos delincuentes que crean los virus y los ataques de phishing, es inexplicable que no contraten a profesionales o nativos que sepan redactar sin faltas de ortografía.

No se debe visitar jamás un enlace en un correo o abrir un fichero si no ha sido solicitado expresamente o dudamos de su fuente. Es mejor preguntar al remitente si realmente lo ha enviado antes que exponernos a una infección, y más si es un virus de este tipo, que provoca masivas pérdidas de datos.

Una vez instalado, lo que hace el virus (CryptoLocker, CryptoWall y otras variantes) es buscar ciertos tipos de ficheros por todos los discos duros, USBs e incluso servidores y ordenadores de la red (depende de virus) y los encripta (cifra) con una contraseña, según el programa, RSA de 2048 bits, es decir, muy robusta y que un ordenador de gran capacidad tardaría muchos años en descifrar. Después de guardar el archivo cifrado, borra el original, de tal manera que lo que queda, resulta inutilizable y a efectos prácticos es como si se hubiese eliminado.

Algunas variantes del virus atacan a los ficheros de Word doc, docx, Excel xls, xlsx, PDF, fotos, vídeos, archivos comprimidos zip, etc. e incluso otras, además, a archivos de Access, copias de seguridad, etc. No dejan ninguno operativo. Muchas veces el antivirus tampoco los detecta.

Es muy grave también que el virus además busca por toda la red otros ordenadores y carpetas compartidas (sobre todo en las empresas) y si el usuario que está infectado tiene los suficientes permisos, también elimina todo, aunque no estén montadas las carpetas.

Además de los archivos cifrados, en el caso de CryptoLocker dejan también a veces un mensaje como fondo de escritorio donde avisa de la infección.

Escritorio de un PC con CryptoLocker

Escritorio de un PC con CryptoLocker

En ella informa que los ficheros han sido “secuestrados” y que si se quieren recuperar, hay que pagar una cierta cantidad de dinero, tras lo cual, supuestamente, facilitan una clave que permite recuperar, uno por uno, los archivos locales (la contraseña es única y exclusiva por cada sistema comprometido).

En otros casos que me constan, el virus, CryptoWall deja en cada carpeta cuyos contenidos ha encriptado un “recuerdito”: 4 ficheros HELP_DECRYPT (HELP_DECRYPT.png, HELP_DECRYPT.html, HELP_DECRYPT.txt y un acceso directo a la web llamado HELP_DECRYPT en el que informan que) -también hay variantes como HELP_RESTORE_FILES.txt):

Ficheros encriptados con Help Decrypt

Ficheros encriptados con Help Decrypt

Y facilitan los enlaces para acceder al pago. Por ejemplo:

Pago de CryptoWall - Ficheros encriptados con Help Decrypt

Pago de CryptoWall – Ficheros encriptados con Help Decrypt

Otras variantes del virus, modifican las extensiones de los ficheros a .ecc, después de encriptarlos.

¿Qué pasó con sus ficheros?
Todos sus ficheros fueron protegidos con la codificación persistenre RSA-2048 con la ayuda del programa CryptoWall 3.0.
Puede conocer más sobre la codificación con las claves RSA-2048 aqúi: http://en.wikipedia.org/wiki/RSA_(cryptosystem)
¿Qué significa esto?
Significa que la estructura y los datos dentro de sus ficheros fueron cambiados irrevocablemente, no podrá trabajar con ellos,
leer o verlos, esto es lo mismo que perderlos para siempre, pero con nuestra ayuda podrá restaurarlos.
¿Cómo pasó esto?
Especialmente para Usted en nuestro servidor secreto fue generado un par de claves RSA-2048 – pública y privada.
Todos sus ficheros fueron codificados con la clave público que fue transmitido a su ordenador por medio de la red Internet.
Se puede decodificar sus ficheros solamente con la clave privada y un programa especial que están en nuestro servidor secreto.
¿Qué tengo que hacer?
Por desgracia, si no va a tomar las medidas necesarias durante el tiempo indicado, las condiciones de obtención de la clave privada y del programa especial van a cambiarse.
Si Usted aprecia sus datos, le recomendamos no perder el tiempo valioso buscando otras decisiones, ya que simplemente no existen.
Por favor, para obtener las instrucciones más concretas visite su página personal, abajo están indicadas varias direcciones que dirigen a su página:
1.—/2.—/3.—4.—
Si por algunas razones estas direcciones están inaccesibles, debe realizar los siguientes pasos:
1.Descargue y instale tor-browser: http://www.torproject.org/projects/torbrowser.html.en
2.Después de instalación exitosa del navegador, ábralo y espere la inicialización.
3.Introduzca en la barra de direcciones: —
4.Siga las instrucciones en el sitio web.
Información útil:
Su página personal: —
Su página personal (utilizando el TOR): —
Su código personal(si abre directamente el sitio web(o sitio TOR): —

Lo curioso es que el rescate (precio), se debe pagar en Bitcoins, una moneda de Internet que es casi imposible de rastrear y el importe además no es fijo, sino que depende del interés que tengamos en los ficheros (cuanto más, más deberemos pagar, entre 400 y 1000 $, al menos, que yo haya visto). También indican que solo estará disponible por un tiempo limitado (unos pocos días).

All your important files are encrypted

All your important files are encrypted

Los autores del virus indican además de enlaces a unas webs propias para hacer el pago, otras en la red Tor, una parte de la red más clandestina.

Pagar no garantiza que faciliten una clave válida para recuperar los archivos, y no es lo más recomendable, ya que es una manera de premiar este tipo de actividades delictivas, que se deberían denunciar a las autoridades sin duda para que, al menos, sepan de su existencia.

La mejor opción para recuperar los datos es hacerlos desde una copia de seguridad, de ahí su importancia no solo en este caso sino como remedio ante casi todas las emergencias informáticas.

¿Qué se puede hacer o cómo prevenirlo?

El mejor recurso es siempre la prevención, por eso es recomendable:

  • No abrir bajo ninguna circunstancia enlaces recibidos por mail no solicitados o de dudosa procedencia. Es mejor consultar al remitente que ser infectados.
  • No abrir ficheros PDF, comprimidos (zip o 7z), documentos de Word (doc, docx), Excel (xls, xlsx, xlsxm), PowerPoint (ppt, pptx), ejecutables (.exe) o similares que no hayan sido solicitados y ante la más mínima duda.
  • No navegar por páginas dudosas, en la medida de lo posible.
  • Tener algún software antivirus actualizado.
  • Tener actualizado el sistema operativo, lector de PDF, y aplicaciones (por ejemplo Office, etc.), así como los navegadores utilizados, y todas las extensiones (Flash, Java, etc.).
  • Asegurarnos de que tenemos instalado los programas que necesitamos y eliminar los demás (por ejemplo, muchos ordenadores incluyen Java por defecto, que ha tenido problemas de seguridad y si el usuario no lo utiliza, es mejor desinstalarlo y no exponerse a riesgos innecesarios). Cuantas menos puertas tenga, más fácil será defender la casa.
  • Revisar los permisos de las carpetas de red.
  • Hacer copias de seguridad frecuentes de toda la información importante en medios diferentes y rotarlos.
  • Grabar los archivos importantes en DVD o CD, que, a día de hoy, no me consta que ningún virus informático puede destruir.

Se podría pensar que una copia de seguridad válida es la que se hace en Dropbox, OneDrive, Google Drive o servicios similares, pero hay que tener en cuenta que el virus, y lo he comprobado personalmente, encripta también los ficheros de esas carpetas, por lo que se suben a la nube los archivos inutilizables. Eso sí, con Dropbox por ejemplo se podrían llegar a restaurar, uno por uno, todos de sus versiones anteriores.

Una vez infectado, ¿qué se puede hacer…?

Tal y como se ha expuesto, hay pocas opciones. El año pasado hubo intentos de acabar con la red de extorsión montada alrededor de este tipo de amenazas informáticas con la Operación Tovar https://youtu.be/2MBjJqRAF7c contra CryptoLocker, pero parece que han regresado y ahora hay más variantes.

  • Desconectar el ordenador de las redes informáticas (cable y Wifi) lo antes posible y, en la medida de lo posible, apagarlo. Lo habitual es que un síntoma es que “va muy lento”.
  • Lo ideal sería extraer el disco y conectarlo a otro equipo, en caso de no ser posible, hay que eliminar el virus, una vez identificado por los síntomas (si presenta una pantalla informativa como la descrita puede ser CryptoLocker, o si deja archivos HELP_DECRYPT, por ejemplo). Asegurarse de que queda limpio.
  • Restaurar de la copia de seguridad, si la hay, los archivos modificados.
  • Si el virus es CryptoLocker (suele aparecer un mensaje “Your personal files are-encrypted” VV 72) a lo mejor hay suerte y se puede encontrar la clave mediante esta web https://www.decryptcryptolocker.com/ (ya no funciona) donde piden un archivo afectado y una dirección de mail, a la que enviar la contraseña para descifrar los archivos si la consiguen. Si se logra, hay que ejecutar un fichero para, archivo a archivo, recuperarlos: exe –key clave <fichero-afectado.extensión>.
FireEye DecryptoLocker

FireEye DecryptoLocker

  • Probar con la herramienta de Kaspersky noransom https://noransom.kaspersky.com/ en la que, con la colaboración de la policía de Holanda, recopilan casuística y, mediante el código para el pago, intentan encontrar una clave para desencriptar los ficheros.
NoRansom-Karspersky

NoRansom-Karspersky

  • Si el sistema es Windows 7 o superior y se tiene activada la opción de recuperar versiones anteriores del archivo (botón derecho versiones anteriores del fichero), puede ser una oportunidad de recuperar algunos ficheros. Con http://www.shadowexplorer.com/ se puede hacer sin tener que ir uno a uno.
  • Probar con herramientas de recuperación de archivos como Recuva o similares, para intentar “desborrar” los ficheros originales eliminados por el malware.
  • Nuevo: Recientemente ha aparecido un un kit Ransomware Removal, un conjunto de guías y utilidades que ayudarán al usuario a identificar y erradicar el ransomware que ha cifrado los archivos de su disco duro (o discos duros, en el peor de los casos) que conviene al menos probar por si acaso… Ransomware Removal Kit – Bitbucke.
  • Otros interesantes son estas decryption tools.
  • Una interesante es la que te permite identificar el ransomware que tienes: el crypto sheriff (gracias, Emili)
  • Si tienes el virus ransomware TeslaCrypt, estás de enhorabuena probablemente, ya que hay una nueva herramienta para descifrar los archivos: ESET TeslaCrypt, paso a paso:
    Imagen de CryptoLocker

    Imagen de CryptoLocker

    Limpiar la infección TeslaCrypt usando la herramienta de descifrado ESET TeslaCrypt—Base de conocimiento ESET

      • Hacer clic en Inicio > Todos los programas > Accesorios (o buscar cmd), botón derecho sobre el símbolo del sistema y luego ejecutar como administrador.
        • Usuarios de Windows 8, 8.1 y Windows 10: pulsar la tecla Windows y teclear cmd (todo seguido), aparecerá el símbolo del sistema, botón derecho y ejecutar como administrador dentro del menú contextual.
      • Escribir el comando cd %userprofile%\Desktop (tal cual, con todos los símbolos el texto en cursiva) y luego pulsar enter.
      • Escribir el comando ESETTeslaCryptDecryptor.exe y pulsar enter.
      • Leer y aceptar el contrato de licencia de usuario final.
      • Teclear ESETTeslaCryptDecryptor.exe C: y presionar enter para buscar en la unidad C en modo silencioso. Para explorar otra unidad que se pueda haber visto afectada (USB, discos externos, etc.), cambiar C: por la letra de la unidad deseada.

        Teslacrypt decyptor

        Teslacrypt decyptor

    • La herramienta de desinfección de TeslaCrypt se ejecutará y mostrará el mensaje Looking for infected files…. Si detecta alguna infección o ficheros encriptados que puedan ser recuperados, no hay más que seguir las instrucciones.
  • En caso de que los ficheros sean muy importantes (por ejemplo archivos de la empresa, documentos vitales, etc.), siempre se puede recurrir a profesionales, ya que aunque haya que pagar, en muchas situaciones vale la pena.

En todos los casos, como se puede observar, la recuperación es muy difícil cuando no imposible, de ahí la importancia de la prevención a través de no hacer clic en enlaces sospechosos, no abrir ficheros no solicitados y de tener copias de seguridad frecuentes.

Si te ha pasado y conoces otras herramientas, soluciones o tienes otras experiencias, no dudes en compartirlas.

Basado en mi artículo publicado en la revista Aproin www.aproin.com.

194 Responses to CryptoLocker, HELP_DECRYPT,…: borran todos tus datos. Qué hacer y soluciones (Actualizado 05.2016)

  • Magnífica información. Gracias una vez más Christian por compartir temas tan interesantes. No tenía ni idea de todo esto, a partir de ahora estaré alerta y, como siempre digo, intentaré hacer backups má a menudo. saludos.

    • Hola, Julián Pablo

      Me alegro de que te haya servido para aumentar la frecuencia de las copias de seguridad. Nunca viene mal, y sobre lo de estar alerta, nunca hay que bajar la guardia como muy bien dices.
      Saludos y gracias por la visita y el comentario.

    • ya tengo el virus y he visto mucho tutoriales y los hago todo pero ninguno funciona, tengo windows 8 y necesito recuperar mi información, espero que me ayuden por favor

  • Hola Christian, despues de leer este muy acongojante articulo, se le queda a uno la piel de gallina, ya que ahora mismo no dispongo de sitio o lugar para hacer una copia de respaldo, por cierto vale » el PC transfer » de Advanced SystemCare Ultimate 8? o es mejor otro sistema para hacer la copia? Es lo unico que tengo instalado, ya que no tengo ningun antivirus instalado. Lo que no acabo de entender es como compañias con el peso de Avira, Kaspersky, Eset y demas no hayan podido ponerle barreras a eso…..(?) Bueno espero tus noticias si es que es tan grabe como dices, muchas gracias.

    • Hola, Fernando

      Específicamente no conozco esos programas, pero cualquiera vale para hacer una copia de seguridad. Incluso si te compras un disco externo (o, idealmente, varios) puedes copiar a mano los datos que tengas. Lo importante es tenerlo todo replicado.
      Sobre el antivirus, es recomendable tener uno.
      Imagino que estarán luchando contra estas amenazas y algo detectan a veces, pero en unos días he visto más de 10 variedades del mismo virus/malware.

      Saludos y gracias por el comentario.

  • Buenas, gracias por el artículo. Algo había escuchado sobre este virus, pero no había indagado todavía en qué consistía. Hay que ser desgraciado para hacer algo así, ojalá pillen a su autor o autores y les quiten las ganas de volver a hacer algo así en su vida. Al igual que al resto de personas que se dedican a hacer virus y joder la vida de la gente. Nunca entenderé el placer que encuentra este tipo de individuos en putear a los demás.

    En fin…

    Saludos

    • El motivo es el dinero. Un pequeño % de los infectados paga por una oportunidad (que no suele salir bien) de recuperar sus archivos. Al último caso que conozco le pedían €8000. Por suerte, tenía copia de seguridad.

    • Hola, Scherzo

      Gracias, pues te recomiendo que, como ves, de forma razonada, extremes las precauciones.
      La verdad es que sí que son unos desgraciados, por no decir algo peor, pero, a diferencia de otras ocasiones, sí que entiendo la razón de hacer este tipo de virus/malware y es el dinero. Imagino que mucha gente picará y pagará, recuperando (o no) la información.

      Saludos y gracias como siempre por el comentario.

  • Este gusano esta muy activo las últimas semanas … Afectando cada vez más dispositivos en cualquier plataforma …. Y así esta el patio …

    http://blogs.protegerse.com/laboratorio/2015/05/05/resumen-mensual-de-amenazas-sigue-la-plaga-del-ransomware/

    Hasta hora no funciona ninguna herramienta de las que hay en el mercado principalmente porque el gustado ha cambiado el patrón en el que genera los códigos.

    Genial artículo Chris!

  • Es muy fuerte…

    Yo he llegado aquí porque he copiado parte de un mensaje que he recibido supuestamente de Correos y, al pegarlo en Google para ver qué información venía, he dado con este blog. Imagino que lo que me ha hecho dudar es que estaba fatalmente escrito (me he preguntado: es que los de Correos no saben escribir, cosa extraña, porque los habrá, pero encargarán este tipo de cosas a quienes saben :-D). Y también, sobre todo, que me ha extrañado algo: esta misma mañana he recibido una carta certificada que me ha entregado la cartera y que he firmado digitalmente y en papel, lo qeu me ha hecho preguntarme: ¿Será que ha dado error mi recepción? ¡Qué raro…! Lo mejor es que Avast me ha avisado de que el zip que he estado a punto de descargar estaba infectado con un win gen o algo así…

    En resumen, que si hubiera ido más deprisa habría caído en la trampa. He llegado a ir al enlace, pero no he descargado el archivo. Espero estar aún a salvo…

    ¡Gracias por el post!

    • Hola, Marisa

      La verdad es que lo tuyo con Correos ya es puntería. Imagino que la carta sería legítima. Me alegro de que el Avast lo haya detenido. Has tenido mucha suerte. En otros casos, no es así.

      Gracias por el comentario y por el dato.

  • mi pc ha sido infectado y ahora tengo muchos archivos encriptados,po lo que agradeceria si alguien sabe o se entera de alguna manera de recuperarlos se lo agradeceria, no me ha funcionado ni el shadow explorer ,ni tampoco el scraper descriptor ni el recuva,gracias

    • Hola, Fernando

      A día de hoy, las maneras que hay son las descritas en el artículo que me consten. También puedes utilizar alguna herramienta de recuperación avanzada de archivos desde un LiveCD o similares para restaurar lo borrado por el virus, pero no siempre funciona.
      Saludos.

  • Hola a Todos. Lamentablemente me llego a casa una pc infectada con este virus.mediante ComboFix y antimalware logre hacer funcionar de manera normal la Pc con W7. El problema es que tengo mas de 30 gigas de fotos encryptadas y no las puedo abrir.Alguno que me indique alguna sugerencia , bienvenido sea.
    Muchas Gracias

  • hola lamentablemente me afecto el virus que dices y necesito recuperar archivos de forma urgente pero veo que no tengo solución

  • Hola ayer descargue el ADWARE del sitio de Lavasoft e inicie un análisis rápido de mi maquina. Como ya era tarde lo deje corriendo y esta mañana cuando la encendí, me encontré con el regalito que comentas. La consulta qu te hago es esta: Por ejemplo los correos de HOY no están afectados (los de ayer s) y mi duda es si van a verse afectados por el virus en los próximos días. Muchas gracias y excelente tu articulo.

    • Hola, Eduardo

      No sé s qué correos te refieres pero si tienes unos encriptados y otros no, corre a apagar el equipo antes de perder más ficheros y arranca desde el modo seguro o extrae el disco duro y úsalo con una caja usb externa para intentar salvar lo que puedas.

      Saludos.

  • AMIGOS, que tal, tengo una duda mi pc fue infectada con el help_decrypt todos mis archivos están encriptados,desde el 12 de junio, ya estamos a 2 de junio y sigo sin poder resolver mi problema, requiero soporte o ayuda tecnica para ver con que tanto de tiempo dispongo para recuperar mis datos, o si los doy por perdidos, estoy al borde del colapso por tantas fotos familiares que estoy dando por perdidas. si pueden ayudarme o asomarme una esperanza. soy de venezuela muchas gracias!

    • Hola, Nel

      A día de hoy no me constan más herramientas para recuperar los archivos de Cryptolocker y similares, pero lo que sí te puedo decir es que en tu caso no borraría nada y guardaría el disco en lugar seguro. Si los eliminas, seguro que en el futuro no los puedes recuperar de este ni de ningún virus.

      Saludos.

  • llevo 20 dias tratando de hallar una solución y no encuentro una, mi equipo tiene windows 7, por favor me podrian asesorar. gracias

  • Porque no decirlo y si lo leen ellos los autores mejor, son unos auténticos hijos de puta, me infecto mi equipo y lo malo que también entro en un disco duro externo que en ese momento tenia conectado, he perdido fotos familiares y documentos míos propios, me gusta escribir y la perdida es irremplazable. Lo vuelvo a decir y esta vez en mayúsculas SON UNOS HIJOS DE PUTA y ojala las autoridades los pillen, los encierren de por vida y la llave de su celda la tiren al mar. Me han hecho un daño considerable… Si yo los pillara…
    Saludos desde la Islas Canarias, España.

  • Estimado amigo Christian Delgado von Eitzen existe alguna posibilidad a corto o mediano plazo de contar a futuro con una herramienta que permita desencriptar los archivos afectados por esta clase de malwares? es decir se recomienda conservar los archivos afectados, para contar con una esperanza a futuro de lograr la recuperación de los archivos? si formateo el equipo debo conservarlos aun para poder aspirar a una solución? ya que de momento no existe o me resigno definitivamente a dar por perdido mi álbum familiar de fotos? realmente ya a estas alturas es lo único que me interesaría recuperar, por lo ligado sentimentalmente a estos recuerdos. espero una respuesta amigo Christian, espero no pases por alto este llamado y puedas aclarar mi duda. Gracias s.o.s Venezuela

    • Hola, Nel

      Como te comentaba antes, lo mejor es conservarlos. Hay que tener esperanzas de que antes o después consigan encontrar las claves de cifrado utilizadas. Lo que sí está claro es que si los eliminas, ya nunca se podrán recuperar.

      Saludos.

  • Hola. gracias por la información. entiendo cómo se sienten. en verdad estoy colapsado y muy frustrado. Creo perderé una información de casi 300 GB. tengo la esperanza que alguien me ayude. Tengo mis archivos respaldados en un disco externo, pero ¿los podre abrir con una herramienta? si alguien me puede ayudar, por favor. Gracias

    • Hola, Ger

      Si tienes los archivos en una copia de seguridad que no se ha visto afectada por el virus (Cryptolocker o el que sea), estás de suerte y sí que deberías poder restaurarlos sin problema. Consulta la aplicación con la que has hecho la copia de seguridad para ver cómo recuperar os datos.

      Saludos.

  • Hola a todos, muchas gracias por vuestros comentarios, desgraciadamente soy uno mas de los que ha caído en manos de estos hp, mi pregunta solo es no se puede hacer nada?? todo lo que aparece en otras pagnas de reiniciar desde tro usuario, de borrar desde el nicio no funcionan?? tiro mi computadora??.
    De antemano muchas gracias, soy vpm, de Madrid, pero os escrbo desde america.

    • Hola, Vidal

      Lamentablemente no me constan avances en ninguna de estas herramientas. Lo mejor que puedes hacer es comprarte otro disco duro nuevo y ahí reinstalar tu sistema operativo, manteniendo el otro guardado por si en el futuro se puede resolver de alguna manera, aunque no es muy probable. En mi caso particular, el de un familiar, lo he hecho así. Cryptolocker y similares por el momento no tienen cura, solo vía la copia de seguridad y salvo que se consigan las claves de los delincuentes sin pagar, no hay solución.

      Saludos.

  • Cuanto se demora en encriptar todo el pc? tengo un disco duro con particion de 150 Gb y otra de 350gb ( aprox)… Win 7. no he querido ni prenderlo,pero desde que me di cuenta que tenia «algo» hasta apagarlo, pasaron 24 hrs

  • hola a todos ,trabajo en una empresa de mantenimiento de servidores para varias empresas y con este virus ya calleron 2 ellas y un par de pcs particulares,
    Una de ellas como trabajaba con sistema tango de facturacion , les enviamos el cpu a ellos que supuestamente tenian tecnicos y programadores capaz de lidiar con esta situacion . Pasado un mes de enviado el cpu nos lo devuelven con disco duro nuevo y con el mensaje » no se pudo recuperar nada » .
    Doy esto como ejemplo para que sepan que no se trata de tecnicos de mayor nivel o de poner mas dinero , una vez que entra el virus no hay forma de recuperar los archivos.
    Despues de leer este blog uno queda con miedo por que no hay forma de prevenirlo y en empresas grandes que se maneja mucho correo atravez de outlook ( que por cierto es un colador de virus ) , es mas cuestion de suerte que no entre ,que de alguna medida en especial de proteccion.

    PD: no se si les sirva pero yo cada vez que voy a apagar mi pc reviso los procesos que no este corriendo nada que diga help_ decrypted o similares , y la raiz del c , que es donde se aloja en un nivel primario.

    PD:muchas gracias por la info

    • Hola, Julio

      En efecto. La encriptación como digo en el artículo es irreversible, salvo que se tenga la clave de encriptación, que solo la tienen los criminales. Solo en el caso de que el virus borre los ficheros y no los «machaque» con los nuevos cifrados, se podrían recuperar a través de técnicas más o menos complejas. He visto unos cuantos casos e incluso personalmente conseguí restaurar algunos, pero no todos.

      No es que se quede uno con miedo de que no se puede prevenir: sí se puede, con copias de seguridad. Aunque se utilice Outlook o cualquier otro cliente de correo, si se hacen las correspondientes copias de seguridad de los archivos de datos, no se pierde nada. Incluso si se configuran, según el tipo de correo, por IMAP dd aunque el ordenador se viese afectado, a los correos no les pasaría nada. Insisto: las copias de seguridad siempre son posibles (o casi casi siempre, aunque no se me ocurre ningún caso en el que no ahora mismo) y no es solo cuestión de suerte.

      Sobre lo de revisar los procesos al apagar, no siempre está claro cuál es el del virus e incluso alguno utilizan tácticas para no aparecer. No he visto nunca un proceso que ponga help_decrypt. Suelen tener nombres más «disimulados».

      Gracias por la visita, la confirmación y las aportaciones, Julio.

  • Estos demonios de crear este virus con que afan de conseguir nada y perjudicar a varias personas en todo el mundo, hoy se reiran mañana nos reiremos de ellos… saludos desde PERU

  • Segun la basta experiencia que puedas tener…. Mi pc esta con criptowall. Existira una cura para esta enfermedad wn el futuro?

    • Hola, Allan

      Cura, lo dudo. Como mucho, que alguien detenga a los criminales y se liberen los códigos de desbloqueo como ya hay varios proyectos que están detrás de recopilarlos. Yo tendría esperanzas aunque no muchas.
      Saludos.

  • Hola, soy uno de los tantos afectados por estos idiotas que usan la inteligencia y los conocimientos para el mal, sera que ser bueno no es importante, el dinero y la maldad es lo que los seduce. en fin no escribo lo que pienso d esta gente porque este es un blog de personas educadas, pero me afecto todo lo que tenia inclusive fotos familiares de mis padres que ya no estan. si saben alguna novedad les pido que se comuniquen conmigo. gracias.

  • Hola Christian buenas noches, super interesante toda la información que colocas aquí. Lamentablemente soy una más de las que ha caído con este virus hace mas de un mes, y no fue sino hasta hoy que tuve la curiosidad de investigar de qué se trataba, ya que la persona que arregla mi pc no ha podido venir. Y ya estoy pasando el duelo, estoy en la fase de aceptación. Pero no me quedan claros los siguientes puntos:

    1.- ¿He pérdido el disco duro de mi pc? ¿Debo reemplazarlo por otro, ya que es la única manera de eliminar el virus y empezar de cero de nuevo? O al formatear mi computadora, se limpia el disco duro y puedo continuar usándolo?
    2.- Al formatear, lo usual es guardar un respaldo en un disco duro externo. ¿Al respaldar archivos encriptados, mientras se formatea mi pc, se infecta ese disco duro externo también?
    3.- Después de haber detectado el daño en mi pc, he trabajado con pendrives, y estos archivos no se han encriptado. Por qué ha sucedido eso? Entiendo, según lo que explicas, se encripta todo lo que encuentre a su paso. Y al haber hecho esto, ¿se infectan las computadoras donde inserte ese pendrive?
    3.- En lo sucesivo, una vez saque los archivos encriptados y los reserve aparte, ¿la única recomendación prudente es hacer cada día luego de trabajar en mi pc, una copia de seguridad?

    Agradezco de antemano tu ayuda.

    Kaly De Castro
    Valencia – Venezuela

    • Hola, Kaly

      Aclaro que no tengo claro qué virus exacto has tenido pero paso a contestar las preguntas con directo es generales suponiendo un ransomware como los del artículo.
      1. El disco duro no se ha estropeado. Solo los datos. Si lo borras todo, podrías reinstalar de cero sin problema pero, claro, perderías la información.
      2. Solo se infecta el disco duro externo o interno si el virus está residente en el ordenador. Conviene limpiarlo antes de hacer nada.
      3. Es probable que el virus ya no esté si no se han encriptado o bien puede ser que sea un virus que no actúa enseguida. Hay algunas versiones que permanecen inactivas un tiempo hasta manifestarse. Podría ser este caso. No tengo clara la manera de propagarse de todas la versiones del virus.
      4. En efecto. La mejor manera de asegurarse que los datos están seguros es hacer copias regulares de seguridad e ir rotando los medios.

      Saludos.

  • Hola yo me dedico a dar soporte TI, y me he encontrado con 4 casos, doy soporte entre 40 y 50 equipos, de tal forma es aprox. el 10% infectados, de ahi en 3 casos fueron de perdida total de los archivos, y en un solo caso pude recuperar algo, y apenas el 30 o 40% de los archivos, una parte lo hice con las copias «shadow» del sistema y otra parte lo hice sin desinfectar el equipo pero desconectandolo de la red, salve los puntos de restauración antes de que los borrara y restaure el equipo al momento «justo antes» de que se ejecutara el software, y aclaro solo una vez me funciono, tal vez porque no había atacado tantos archivos como en los otros casos y porque los puntos de restauración afortunadamente estaban intactos, y aun asi solo recupere unos pocos archivos mas que pude desencriptarlos uno por uno con la pagina que mencionas. Sabes si al dia de hoy hay algún antivirus «mas eficaz» para este singular malware?? Quiero darles herramientas a los usuarios para que prevengan este tipo de situaciones, aunque siempre me dicen que el costo de un antivirus vs. benficio no lo avala.

    Saludos

    • Hola, Leo

      Los puntos de restauración no contienen datos de documentos, como mucho, los «shadow copies» que comentas (el «ver versiones anteriores del archivo» que menciono en el artículo). Has tenido suerte en algunos casos, la verdad.
      Es muy posible que el virus no hubiese encriptado todo, por lo que explicas.
      No tengo constancia de que ningún antivirus sea especialmente eficaz en la detección de estas amenazas, que, además, por lo que he podido ver, mutan de vez en cuando y no son siempre iguales. Personalmente creo que deberían centrarse mucho en este tipo de malware, ya que es muy perjudicial y dañino. A día de hoy, todos deberían ser eficaces pero si me preguntas por uno en concreto, no sabría decirte, ya que afortunadamente no he tenido que enfrentarme más a este «ransomware» (todo madera). Si utilizas tú alguno y va bien, no dudes en decirlo.
      Saludos.

  • Necesitó ayuda en este tema

  • Saludos amigos tengo un cliente con ese mismo problema me coloco todos los archivos con una extension .UBYQKSM sin lograr restaurarlos estoy escribiendole al soporte del antivirus haber que solucion.

    • Hola, Dan

      No me constan novedades sobre este tema y desconozco esa extensión, pero espero que tenga copia de seguridad en un sitio protegido de los datos relevantes, porque otros casos que conozco, no tienen cura.
      Saludos y ya nos contarás tus avances.

  • Me paso el jueves 10-09 entrando a la pagina de un Proveedor de insumos (trabajo comprando para una constructora), no tenia actualizado el antivirus, ademas de tener Windows XP, todo mal, trabajo de un año perdido, planillas, fotos, Pdf todo perdido, nada mas empezar de cero, después de esto espero que la empresa tome conciencia, al igual que yo con el tema de los respaldos.

    Saludos

    SMA

    • Hola, Samuel

      Ese caso que describes es muy serio. Para la empresa en la que trabajas puede representar muchas pérdidas. En efecto, un sistema centralizado de copias de seguridad combinado con una gestión correcta de los datos puede ahorrar muchos disgustos.

      Saludos.

  • Hola Christian, a mi me ha pasado lo mismo, pero tenia copias de seguridad, que hago para eliminar lo que es el virus, porque supongo que si restauro las copias de seguridad, volverá a encriptármelas, ¿no?, o tambien podría ser que al poner el disco externo en que tengo las copias de seguridad, también me lo encripte, cuanto espero en reponer las copias.

    • Hola, Paco

      Muy bien hecho. Te aconsejo que te asegures que está todo limpio en el equipo pasando varios antivirus o que incluso, si lo ves factible, des formato al disco y pongas todo limpio y nuevo para eliminar cualquier resto de los virus y malware. Una vez así, copia los datos. No estaría de más asegurarse de que si conectas ese recurso donde están las copias de seguridad a algún ordenador, estés seguro que está limpio de virus o que lo pongas de solo lectura (por ejemplo, como un recurso de red compartido sin permismos de escritura).

      Saludos.

      • Gracias, pero voy a esperar, porque hasta ahora mismo sigue entrando estos ficheros (Help-Decrypt…) que encriptan los míos, espero que acaben en algún momento y podré pasar el antivirus, pero aún así muchas gracias

  • También se me ha metido . Tienen que mirar de localizar a esta gente y detenerlos. Es lamentable el perjuicio que originan. NO PAGEN! esto hace que sigan produciendo herramientas de extorsión .

  • Hola a todos. Vaya que estoy en shock, mis archivos están encriptados… Perdí archivos administrativos de mi trabajo, diseños, un sin fin de documentos escaneados, fotos de mi boda, del nacimiento de mi bebé, de los viajes con mi esposo, en fin, la encriptación fue fulminante, llegó a los discos duros externos y a los discos duros en red, sólo que no alcanzó a encriptar todo de los discos duros en red porque nos dimos cuenta… Parte de mi vida profesional y parte de mis recuerdos se han ido.

    Hemos formateado el disco duro de la PC que fue infectada. Al parecer ya funciona normal todo, pero tengo las siguientes dudas:
    1.- ¿Al formatear el disco duro infectado, se elimina ese desastroso virus? ¿Es una solución?
    2.- Una vez formateado el disco duro de la PC ¿Hay la posibilidad de que el virus siga infectando los discos externos o en red en los cuales el virus no terminó de hacer su encriptación?

    Creo que mis preguntas son similares a lo que ya han comentado, pero tengo la necesidad de vovler a preguntar, porque sólo cuento con los pocos archivos que el virus no encriptó y tengo miedo perderlos. Ya estamos haciendo respaldos, pero también tengo el temor de que en el respaldo se vuelvan a contaminar. Ya escaneamos con varios antivirus la PC, los discos externos y los discos en red y no hay amenaza de virus, pero ¡Estoy en la paranoia total!

    Agradezco de antemano la información. Saludos.

    • Hola, Sjors

      En efecto. Tus preguntas ya han sido formuladas.
      1. Si das formato al disco lo más probable es que no queden restos, pero asegúrate de que están también otras particiones, etc. pasando un antivirus actualizado.
      2. Si no hay virus, no hay problema de encripte otros ficheros, pero eso pasa por estar totalmente limpio (punto 1).
      Saludos.

  • Se me hace, muy pero que muy dificil de creer que ha estas alturas y del tiempo que lleva esto haciendo el daño que esta haciendo, de que nadie haya adoptado alguna medida y me refiero a todos esos super profesionales, lamense Avira, Kaspersky y un ñargo Etc. Tienen emtre ellos algun tipo de lucha…………eso seguro y no se reunen y ponen a trabajar a sus mejres especialistas juntos, solo para esto………y saldria la solucion. Por que no se hace???? esta gente a visto, por que se ve, en los PCs infectados, las caracteristicas del virus, casi como una firma y entonces…….Señores, este virus tardara en darse con la solucion, por que no se quiere o por que no interesa a alguien, ni mas ni menos. Aqui nosotros pensando que es mal tipo, que es un canalla….etc.Uds creen que con el daño que han hecho y el riesgo que corren compañias multimillonarias y estados de que no se hayan puesto a buscar una solucion? perdon, una alternativa al que pide ese dinero??………………(?) Que pasa que solo se da este caso en España?? si es asi, pienso lo mismo, hay gente muy preparada he intereses muy grandes que si este virus los ataca, los matan, eso seguro, pero parece que solo afecta a pobrecitas personas normales y sin recursos para detenerlo, en fin pensemos un poco. Si este virus entrara en los departamentos de la Policia, de la Gurdia Civil, de Hiberdrola, del CNI y de tanta gente y empresas como las mencionadas, este ipo o tipos ya estaria cojido, no se, no quiero ser ingenuo tonto, quizas escribiendo esto ya de seguido me entra ami. Siento lo que les ha pasado a todas estas persona, pero que guarden datos por si hay luego alguna forma de indemnizacion, seguro que algo habra. Por que algo tan serio ( para nosotros) no se han puesto los remidios yaa?? en fin un saludo y muchas gracias.

    • Hola, Fernando

      Cierto. De todas maneras, poco a poco los antivirus empiezan a detectar todo esto, no así a solucionarlo porque en muchos casos por la forma de proceder, no es posible. Sobre lo de la Policía, me constan casos reales de comisarías de Policía afectadas por este virus.

      Saludos.

  • Hola:
    La máquina de la empresa donde trabajo se infectó con el virus, llamé a un técnico, formateó la PC y luego con el ESET eliminó todos los virus (que eran como 5 mil).
    Se supone que la PC ahora está limpia, pero mis archivos de Excel, Word, PDF no los puedo abrir. El técnico me dice que están dañados y ya no se pueden recuperar. A lo que me rehúso a creer, porque tenía información sumamente importante.
    Necesito ayuda para poder recuperar mis archivos, que sí los veo, pero no los puedo abrir.
    Saludos.

    • Hola

      Pues me temo que si lo que describes del virus que tienes es correcto, y es un ransomware tipo Cryptolocker, el que te ha asesorado tiene razón y va a ser casi imposible que recuperes esa información por muy importante que sea, de ahí la suma importancia de hacer copias de seguridad de forma regular.

      Saludos.

  • Hola pues nada comentar que e sido infectado a día de hoy , me infecte solo entrando a una página de internet para bajar música que vi en YouTube tener mucho cuidado aprovechan los vídeos de YouTube para meterlo no sé qué hacer x que soy un simple trabajador de la obra que tengo poca idea de ordenadores , pero bueno voy a ir mirando cosas x internet que estos pedazos de mierdas de personas que los cogeria uno x uno y les retorcía el cuello. No tienen nada mejor que hacer que infectarnos con sus mierdas. Bueno deciros k si alguien puede ayudarme se lo agradecería mucho , un saludo a todos

    • Hola, Jacinto

      Como puedes leer en el artículo, solo queda el remedio de tener copias de seguridad para recuperar la información (si es que la tienes) y desinfectar el ordenador para que puedas seguir usándolo. Te recomiendo que si no sabes cómo hacerlo, lo lleves a una tienda de informática.

      Saludos.

  • Hola q tal te cuento mi caso, tengo un disco duro externo donde guarde en una carpeta la informacion de un usuario infectado con cryptolocker y en realidad si esta infectado xq casi todos sus archivos estan encriptados, ahora mi duda es si puedo usar ese mismo disco duro externo para guardar otra informacion de otros usuarios claro cada uno en diferentes carpetas , mi duda es si asi tambien se infectaria mis otros archivos??
    saludos.

    • Hola, Jav

      Sí. Puedes usar ese disco duro para guardar otros datos ya que la información en sí no tiene el virus (los documentos de Word, Excel, etc.) pero, eso sí, no sé qué virus será (qué versión de ransomware ha afectado a los ficheros) pero ten cuidado que no se transmita de alguna manera por el disco duro y contamine otros equipos y los datos de más personas. En mi caso, yo lo tendría todo aislado salvo que estés 100 % seguro de que no hay nada malicioso.
      Saludos.

  • Hola, fui victima de este virus y la verdad nunca pense que me causará tanto problemas, inclusive afecto a unas bases de datos de un programa que uso y me daño la base de datos haciendo que ya no la pude usar. En realidad es un desgracia que te caiga este virus en tu computadora. Nunca hice respaldo de recuperación de archivos pasados (para que la maquina encienda con la imagen de unos días antes), me daño muchos archivos (imagenes, videos, etc)… Lo que si le recomiendo a las personas que tenga sus fotos, video, documentos importantes en la nube, que usen antivirus y que tenga ese sistema de recuperacion de window de archivos de días anteriores activo. En este 2015 la verdad que esto es lo peor que me ha podido pasar, gracias por crear este articulo explicando lo que esta pasando.

  • Hola chicos queria comentarle que llego a su aviso ya que a llegado a mis manos este problema.. Mi esposa tiene un estudio juridico y la semana pasada me llama que no le funciona la compu, por lo que voy a buscarla y me pongo a revisar. absolutamente todas las carpetas con hack drecrypt y lo otro que me llamo la atencion que mientras borras se regenera, sisi curas uno y al mismo tiempo el antivirus en mi caso el avast encuentra mas infecciones, uno de los pasos que segui como para frenar es borrar este archivo uno por uno, x lo cual llegado un momento reinicio mi maquina para ver que pasaba con estas carpetas, a lo que descubro que afecta el registro de inicio, asi que todo lo que hice volvio al estado anterior, les cuento como para que puedan tener alguna precacion mas…. aun no consigo forma de recuperar nada…. y sigo investigando sobre el tema, si alguien sabe algo mas agradeceria mucho su ayuda, saludos

    • Hola, Ariel

      Mientras el ordenador siga infectado con el virus, todos los archivos se acabarán encriptando. Por ello, lo primero que debes hacer como indico en el artículo es limpiarlo y quizá entrar en modo seguro. Solo cuando esté todo 100 % limpio, deberías intentar empezar a restaurar la información, siempre, con una copia de seguridad.
      Saludos.

  • En mi empresa nos ha pegado este virus 3 o 4 veces.
    Tengo un disco para respaldos compartido desde un servidor, donde todos los PC diariamente (mediante Uranium backup) realizan un respaldo ahí en zip; y un .bat que en las noches cambia todas las extensiones de .zip a .zi. El virus me ha pegado pero los archivos .zi (como no reconoce la extension el virus) no los afecta. Desde ahí he levantado todas las PC infectadas sin mayor problema.

    Muy bueno el artículo.

    • Hola, David

      Ingeniosa alternativa la tuya de cambiar las extensiones de .zip a .zi. No obstante, ten cuidado con los virus que van «a por todo» porque también existe de ese tipo, con lo que incluso perderías los .zi. Lo mejor es que esos que supongan una copia de seguridad queden como de solo lectura, al menos, desde los puestos de red para evitar el ransomware en particular y el malware en general.
      Saludos.

      • Le doy toda la razon a este comentaria, es mejor que realices el respaldo diario en cintas magneticas y tenerlas de manera fisica en algun lugar, ahora con esto que cada día sale un virus peor que el otro no se sabe con que te vaya a salir el proximo año.

        • Muy cierto, iLen. Y no solo por los virus, sino para evitar desastres como los que pueden causar los problemas de hardware, software, etc. lo mejor para dormir tranquilo es una buena copia de seguridad, en cintas magnéticas, otros discos duros, etc…

          Saludos.

  • saludo a este foro con mucho gusto.tb yo como he leido mas arriba he caido en las garras de ese «hel decrip»que tantos dolores de cabeza nos ha dado,
    no sabia que ocurria cuando queria ver una foto y no podia.he borrado cuantos help he podido pero aun queda alguno,lo se por que a base de enredar con un programa y otro para poder solucionar este problema aun los veo aunque cuando voy a la carpeta no,es como que estan escondidos,aun con todo no se si he tenido suerte o no,(yo tb soy muy torpe en el tema de ordenadores)me tope con una pag en la que recomendaban este programa http://www.digital-camera-recovery.com/es/ y como dijo aquel «de perdidos al rio» lo abri ,instale y me mostraba por no decir todas,la gran mayoria de fotos,ah eso si,como de muestra vale un boton,solo 1 puedes recuperar,y tienes 3 intentos,despues te dice que es de pago,y la verdad me replanteo comprarlo…que puedo perder? gracias a todos por vuestros cometarios,consejos,y lecciones que de todos aprendi,y la que mas se me quedo es la de hacer copia de seguridad,aunque todas son igual de buenas.gracias y espero haber aportado mi granito de arena.

    • Hola, David

      Gracias por tu aportación. En efecto, programas como ese pueden ayudar siempre y cuando los datos borrados sigan en el disco duro y no hayan sido «pisados» por otros contenidos nuevos. En un disco duro es complicado que sobrevivan porque continuamente se están creando y borrando ficheros, pero sin duda es una manera de intentar salvar «algo».

      Saludos.

  • Por lo que leo aún o hay nada, tan complicado es de dar con la solución?

    • Es que no hay solución, Karol. Si se cifra la información con una clave robusta, no se puede recuperar por lo general.
      Saludos.

    • Karol lamento decirte que para eso no hay solución, el virus te daña los archivos desde su header de lentura, al momento de mandarte codigo alleatorio directamente allí los software que abren ese formato nunca los podran abrir porque su header a sido afectado y el programa no lo entiende, esto pasa con todas las extensiones, lo podras entender si tienes bloc de notas afectados, entonces ya no hay manera de recuperar ningun archivo, tal vez solo un crack que lea esos codigos con programas especiales y intentar borrarlos y copilar de nuevo el archivo, pero esto es archivo por archivo ademas que no es garantizado que vuelva a funcionar, practicamente te daña el archivo y no hay manera de recuperarlo.

      • Exacto, iLen

        Y ni siquiera un crack. Como comento en el artículo quizá puedan recuperarse de copias del sistema de archivos, pero si han sido sobrescritos o similares (incluso hay versiones de los virus que lo que hacen es asegurarse de que no queda rastro alguno en el disco), están los datos bastante perdidos. Lo mejor es siempre Karol tener una copia de seguridad.
        Saludos.

  • hola escribo desde Korea, acabo de afectarme ese virus y 200GB de investigacion, entre ppts, video, pdf e images, se encriptaron….. ya pase el kaspesky y solo elinima el virus y los trojans, y hasta ahi llega….. la recuperacion parace ser diferente, y por lo que les leo o pagas, o pierdes una buena parte de archivos….. bueno creo tocara comprar otro disco duro…. no pagamos alos delicuentes, si saben como proceder me cuenta…. nada que hacer…. todo el material se fue al trasto…….

  • para completar la informacion, despues de pasar el kaspesky como antvirus, malware, y demas, el equipo queda estable y hasta puedes trabajar con algunos programas, lo cierto es que, luego de imgresar al equipo formateando la parte raiz del equipo y dejando los archivos de infoacion del otro lado, pude ver que en que la raiz del disco, en un archivo oculto y protejido se aloja en diferentes folders (ficheros) la estructura de todos los archivos de lo que se cambio, es decir que para entendernos, casi, de quere recuerar los archivos, tendria que hacerce una labor manual, archivo por archivo y ver la estructura cambiada, si se hace en windows, la carperta se autoproteje, como si supiera que no tien permisos para ingresar, luego recomindo ingresar con un CD tipo win 98 que te deje leer el folder oculto donde esta toda la tablas de lo que se cambio…… para un par de archivos importantes, abria que dar la batalla….. yo prefieron volver a empezar, finalmente la investigacion es eso, revisar desde cero e ir por otro camino…. saludos desde korea….

    • Exacto, Leonhernando.

      La recuperación debe ser casi uno a uno y en los casos que se pueda. No obstante, arrancando con un CD de Windows 98 se carga el sistema FAT y no NTFS, que es el que por defecto tienen casi todos los equipos de hoy en día, por lo que habría que recurrir a algún LiveCD o similares para poder ver los archivos del sistema de ficheros.
      Saludos.

  • Hola, tengo duda sobre el virus cryptowall en su variante help_restore_files mis archivos están infectados o encriptados, leyendo el artículo y los comentarios parece ser que es en archivos de la computadora los que se infectan y a mi no me ocurrió eso, yo tengo infectados mis archivos en usb y mi duda surge porque todo este tiempo he trabajado en la maquina de mi oficina y en la de mi casa y no había tenido ningún problema hasta que la use en una mac y los archivos estaban perfectos pero al meterla nuevamente a la mía que no es mac mis archivos ya estaban encriptados y bueno simultáneamente conecte otra usb y también encripto algunos archivos pero en mi maquina tengo los archivos sin ningún problema.. mi duda es si el problema es la Mac o que fue lo que paso?? Puesto que los archivos en mi máquina están bien. Porque solo las usb ?? Y si es maquina porque al abrir los archivos en la Mac estaban bien..
    Christian podrías ayudarme..

    • Hola

      El virus normalmente está en ejecución en un ordenador y encripta los ficheros que encuentra. No tiene mucho sentido que solo haya atacado a los del USB y no a otros, aunque también podría ser que se haya quedado residente esperando para «atacar» cuando menos te lo esperas. En tu caso para empezar haría una copia de seguridad de los datos en todas partes con la debida precaución y revisaría con un buen antivirus todos los ordenadores, Mac incluido porque hay variantes que atacan a este sistema.

      Saludos.

  • Tengo Windows 8, igual me infecte con este virus pero en ningún momento me encrypto los archivos, al momento que me di cuenta, elimine todos los archivos creados por el virus y desinfecte y todo esta normal ahora, tengo entendido que en windows 7 es más letal.

    • Hola, Manuel

      Desconfía. Windows 7, 8, Windows 10 o Vista… Si se infectan, es muy raro que no altere los ficheros así que haz una copia de seguridad cuanto antes y limpia el equipo de virus con un buen antivirus porque no estaría yo muy tranquilo en tu caso si es como lo describes.

      Saludos.

  • fui infectado por este virus el pasado domingo 22 y tengo 21gb infectados yo tengo esperanza en que llegara la solucion y por eso tengo todo guardado asi que yo diria a todos los que tenemos el mismo problema que los guardemos y no hacer caso al chantaje para poder recuperar los archivos mediante pago

    • Hola, Rafael

      En efectivo si borras los datos seguro que nunca los vas a poder recuperar por pura lógica. No obstante te digo que es muy complicado que algún día se logre. Solo se podrían conseguir con la clave original para descifrarlos. Creo que pagando tampoco es seguro que te la diesen.
      Saludos.

  • si se llega a encontrar la solucion algun dia aparecera difundida en este blog , gracias

  • Hola:
    Esta es la segunda vez que me enfrento a la bestia.
    La primera dejo los ficheros encriptados con una extensión vidible
    Esta vez, en un portátil, veo que los ficheros siguen con su misma extensión, pero en cada directorio hay varios ficheros help-decrypt.
    Hoy voy a meterme con el virus pero me temo que como no tenga COPIAS DE SEGURIDAD puede darlos por perdidos.

    Hacer caso a «No se debe visitar jamás un enlace en un correo o abrir un fichero si no ha sido solicitado expresamente o dudamos de su fuente» y hacer copias de seguridad (llimpias).
    y si vais hay tratear por los directorios, mejor desconectaros de la red.

    Buenas fiestas
    Jaume

  • Que tal Christian le comento que desgraciadamente esos HP también me pasaron afectar y quiero intentar recuperar mis archivos pero la herramienta que comenta la de Kaspersky noransom https://noransom.kaspersky.com/ la he descargado pero me pide password ¿podria decirme cual es? Gracias.

  • Hola, también soy victima del virus.

    He perdido fotografías de gran valor, archivos, documentos, trabajos, bueno un sin fin de cosas, de gran importancia y valor sentimental.
    No puedo llegar a creerme que no exista aún nada para descifrarlo, he estado apunto de ir a pagar los bitconins que me piden, pero en comisaría me lo han desaconsejado totalmente.

    Mi duda es: ¿Se podrá recuperar algún día todos los archivos? no puedo, ni quiero resignarme a perderlo, por mucho que me digan que me olvide de ellos, agradecería que por favor quien diera con la solución la comparta.

    Muchas gracias

    • No te quiero dar falsas esperanzas pero prácticamente no se podrán arreglar, lo maximo se puede eliminar el virus de la maquina con un ESET pero hasta allí, te recomiendo que tengas instalado Avast este si lo detecta y hace que por lo menos lo identifique, tambien te recomiendo que toda foto o video de gran valor todo lo subas en la nube en tu cuentas personales como OneDriver, GDriver, Dropbox o Mediafire… yo los tengo subido en esos servidores asi que cada vez que se me daña el disco duro o me llegue de nuevo ese virus podré recuperar mis cosas importante mediante la nube, esa es mi recomendación.

      • Buen consejo, iLen, pero ten en cuenta que no puede estar instalado el programa de Dropbox, Google Drive o el que sea en el ordenador porque si no, se puede dar el caso (lo he visto) de que encripte los ficheros de estos servicios y se sincronicen encriptados. Es más recomendable en discos duros externos y protegidos, por ejemplo. Además, dependiendo del volumen de datos, Google Drive, Dropbox, etc. pueden no ser suficientes para las copias de seguridad.
        Saludos.

        • Hola respondiéndote a esa pregunta, he realizado las pruebas y los archivos no se encriptan dentro de estas carpetas que están conectadas en la nube, no ataca allí el virus y tampoco se dañan, la razón es que como el cambio no fue realizado por una acción tuya estas carpertas no suben los cambios, el virus no los afectan porque su ubicación no es dentro del USER que es donde el archivo ataca sino que estos archivos se ubican en otro lado temporalmente. Creo que estos servicios estan enterados de este virus mucho mas antes que nosotros.

          • Hola

            Interesante el dato. Hace unas semanas a una persona que conozco y que trabaja con otras en grupo usando Dropbox le entró el virus y empezó a encriptar los ficheros, que se replicaron (cifrados) a los otros. No dudo que en tu caso no haya sido así, pero yo no daría nada por seguro y para todos los virus y malware. Esta gente tiene muy mala idea.
            Saludos.

          • Buenas, apoyando el comentario de Christian, tengo un compañero de trabajo que tiene sincronizados ficheros con DropBox y por una serie de motivos, algunos de esos ficheros fueron modificados por error por un aplicación y éstos se sincronizaron en DropBox modificados, por lo que es posible que alguno de estos virus, una vez modifiquen algún fichero, si se tiene DropBox sincronizado, se graben modificados también en DropBox.

            Yo como política personal, nunca uso la sincronización automática de ninguna aplicación, siempre manualmente cuando yo decida hacerlo. No es la primera vez que veo que se hace algo por error, y para cuando uno ha querido reaccionar, ya se había sincronizado y propagado el error.

            Saludos

          • Muchas gracias por la información, Scherzo.
            Saludos.

      • Buenas pero Dropbox o Drive o cualquier sincronizador es una mala idea para prevenir, simplemente porque el criptolocker encriptará los archivos y luego se sincronizarán infectando la nube con archivos que no sirven para nada y encima propagándolo a otros ordenadores donde estés sincronizados. Si hay que usar una nube que sea de las que no sincronizan como Sharepoint de Microsoft, o Dataprius (dataprius.com) que es más sencilla y potente e inmune. Simplemente porque tus archivos importantes no están en local. Sólo son accesibles por contraseñas o por la aplicación si estás logado. Eso sí sería una buena prevención.

    • Hola, Karol

      No es que no haya nada para descifrarlo, es que simplemente está protegido con una clave tan segura que no se puede recuperar. La única manera sería con la clave que le corresponde, que es lo que supuestamente ofrecen los delincuentes a cambio del dinero. Como bien dices, no es recomendable pagar (y aún así ni siquiera garantizas que te la den y sea válida).
      Mi consejo es que conserves los datos por si en el futuro se puede hacer algo.
      Saludos.

  • Hola.
    A mi me entro a traves del correo electronico, venia de una direccion que yo conocia, osea era de confianza, pero realmente no era de mi amigo, era una copia o suplantacion, no se como demonios lo habran conseguido.
    La cuestion es que me borró absolutamente todas mis pelicilas (24) y todas mis fotos personales, (mas de 300) entre ellas varias de mis abuelos y padres que yo habia escaneado. tengo muchos años, y creeros que me ha costado llorar.
    Veo aqui que son irrecuperables.
    Espero que algun dia se descubra como hacerlo el recuperarlas.
    Si sabeis alguna forma, alguna vez, po favor, escribidme.
    Nternauta@hotmail.com
    Muchas gracias a todos.

  • si en tres semanas que he tenido el virus no me ha encryptado ningun archivo es posible que este eliminado con los anti-virus o puede actuar en algun momento dado que yo todavia tengo esperanzas de recuperacion de los archivos encryptados que los tengo guardados y como eliminar el virus por si acaso- Gracias por las posibles respuestas

  • Una pregunta dicen que el autos de ese virus se arrepintio y en este foro dijeron que este programa quita la incriptacion http://www.forospyware.com/t508014.html porfavotr necesito saber si es real

    • Hola

      La verdad es que no me lo creo mucho y además no hay solo un autor del virus ya que hay muchos. Con las debidas precauciones, puedes probar si estabas afectado por ese virus, pero no tendría yo muchas esperanzas. Tengo los ficheros encriptados de un familiar pero es con otro virus.
      Saludos.

  • Buenas tardes.
    A mi me ha entrado un ransomware en el pc de casa. No sé como me he infectado pero me di cuenta porque cambiaron los iconos de documentos del escritorio a paginas blancas con la extensión .VVV
    Luego un mensaje diciendo que estaban encriptados y una direcciones web para ir a pagar, igual que lo que tu pones.
    El pc me da igual pero tenia tres discos duros y uno con fotos me gustaría recuperarlo. Tenia AVIRA y ni se entero. estoy intentando usar spyhunter y spybot para desinstalarlo pero nada, y cada vez veo mas cambios en el pc. Que tengan los fichero la extensión VVV es que están encriptados??. Uno de los discos duros me ponen el icono de un candado en alguno directorios. Eso es que están encriptados?. He intentado cambiar la extensión; pero o no me ha servido o me dice que el fichero esta dañado o incompleto.
    La pagina https://www.decryptcryptolocker.com/, ya no parece dar servicio, la herramienta de Karpesky me dice que en el directorio con ficheros VVV no hay elementos, las versiones anteriores no existen y para usar RECUVA en el disco de las fotos tendría que volver a conectarlo.
    Buceando en internet he visto alguna pagina en la que les tienes que mandar un código que se supone te dan los que nos has destrozado la vida, creo que llevando acabo parte del proceso de pago que nos exigen, y usando una herramienta de CISCO te intentan desencryptar los ficheros.
    Ideas?

    • Hola

      Parece que tienes otra variedad de malware tipo ransomware que encriptado y cambia la extensión a vvv. Antes de encender el ordenador me aseguraría en tu caso de que no tiene virus para que no siga encriptando ficheros y buscar, si tienes, las copias de seguridad.
      Saludos.

  • Bueno, he contabilizado 3105 ficheros help-decrypt.. pero hay una cosa que igual puede ayudar. Este portátil se conectaba pocas veces a la red y también he observado que las encriptaciones está hechas en dias diferentes de mayo, junio y julio. Igual puede que encriptará sólo cuando estaba conectado a la red?.
    Por supuesto, la solución ha sido formatear disco e instalar LinuxMint que espero que le guste a la propietaria. Además, tenía copias de seguridad de los trabajos, que en el fondo es lo más importante.
    Recordar: copias de seguridad, una vez al mes no hace daño.
    Gracias Chris

  • Hola buenas muchas gracias por compartir tan valiosa informacion, mi pregunta es si yo guardo formateo la pc y hago respaldo de esos archivos en una particion o los paso a una memoria y luego a la pc: estoy infectando la pc nuevamente? mil gracias esq me formatearon la pc y me guardaron los archivos en la misma particion del s.o. pero los icono se ven muy grandes por mas que cambie la resolucion y reiniciar vuelven los iconos gigantes mil gracias de antemano

    • Hola, Luis Alfredo

      En teoría si son ficheros de datos, no deberían contener virus. Si el ordenador está limpio de virus y malware y partes de ficheros revisados, no debería pasar nada. Lo de los iconos grandes y blancos puede ser porque no tienes los programas adecuados para abrirlos. ¿Es posible?
      Saludos.

      • Esq asi me paso cuando descubri q los archivos se cambiaron de extension, la pantalla se puso grandisima (todos los iconos) y ahorita pasa igual y tengo tarjeta de video y le volvi a descargar los drivers de la pagina de NVIDIA y al reiniciar para guardar los cambios sigue grandisimo todo lo de la pantalla, revise los drivers y no hay drivers faltantes le cambie la resolucion y bien lo toma solo al momento y al reiniciar pasa lo mismo, cambie el antivirus pero todo igual.
        Llegue a pensar que era la tarjeta de video pero la probe en otra PC y si funciona bien ya la he probado en otro slot y nada pienso en volverla a formatear a ver q tal

    • La primera vez en la que modificaron la extensión, si que hice una copia empaquetandolos en un fichero zip para tener una relación de los contaminados y pensando que más tarde podría salir una solución.
      Los fichero quedan encriptados pero no infectados, de hecho los he tenido más de una año en una carpeta de Linux, y donde iba probando para recuperarlos. Inútil total.
      Puede que sí que puede que haya algún fichero cabrón que llame a una máquina zombi que produciría la encriptación al conectar. No lo sé, al fin y al cabo encriptar no está prohibido, siempre que sepas como retroceder.
      La solución las dos veces a sido: Formatear, reinstalar y recuperar las copias de seguridad.
      Aparte del vudú y de lanzar maldiciones mil.

      • Hola, Jaume

        En efecto. Los ficheros quedan encriptados pero no infectados, ya que debe ser un ejecutable para el sistema que tengas el que instale el malware/ransomware/virus.

        Buenas soluciones todas ellas las que propones.
        Saludos.

  • Para «limpiar» el disco duro, se me ocurre conectarlo (por USB) a una PC con una versión robusta de Linux y hacer la limpieza manual; hay varios programas y herramientas basadas en UNIX que nos podrían ser útiles ademas del escaneo con varios antivirus, antimalware y antispyware.
    ¿Alguien lo ha intentado? ¿Que resultados han obtenido?

  • Mi pregunta es si teniendo las carpetas ocultas protegidas con contraseña tambien se encriptan. Feliz navidad a todos y esperemos todos afectados con este virus el año que viene alguien entendido en informatica de con la solucion y volvamos a tener todo como tiene que ser gracias

    • Hola, Rafael

      Sobre lo de las carpetas, no lo he probado pero casi seguro que sí.
      Feliz Navidad
      Me temo que la recuperación no depende de controlar o no informática, sino de tener las claves para recuperar los archivos. Son como candados con una combinación a día de hoy imposible de conseguir y por muy listo que se sea, no se puede lograr romper. La única esperanza es que los detengan y en algún sitio aparezca un listado de claves y se publiquen en alguna de las webs que listo o en otras.
      Saludos.

  • Hola Christian, tengo una duda, si mi pc ha sido infectada por este tipo de virus :( y he insertado una memoria se infecto, lo que pasa es que antes de saber bien de que se trataba conecte una memoria vacia a mi pc e intente pasar las «fotos» que tenia que no se ven porque están encriptadas a la memoria, pero investigue y vi que lo que tenían mis fotos era virus y elimine lo que había pasado a mi memoria antes de desconectarla de la pc y la deje de nuevo vacia, mis fotos que espero recuperar siguen en mi pc, bueno el punto es si mi usb se pudo haber infectado y si puedo infectar otras pc si conecto mi usb?
    Espero y encuentren solución a esto porque tenia todas mis fotos es muy triste para la otra las respaldo en una Usb, que tragedia.
    Saludos desde México.

  • Excelente información, Chris, hace unos días le paso a una pc que estuve arreglando, no se pudo hacer mucho, Como única medida fue la de formatear y pasarle el recuba lo que ayudo a recuperar varios archivos. Pero como dice Christian debemos ser precavidos. Alguien me podría aconsejar un buen antivirus para esta infección??? desde ya muy agradecido…

  • Excelente información. De gran utilidad, creo que ahora tienes un seguidor más en este foro, seguiré visitando esta página para tener un poco más de información. Gracias por compartir tu conocimiento para que los demás podamos conocer un poco mas de este mundo de la informática.

  • Buenos días Christian. Antes de nada, agradecer toda la información del post y los comentarios que resultan útiles a la hora de encarar el problema.
    Anoche sufrí el ataque de un virus de este tipo «todos sus archivos han sido encriptados con RSA4096». Los archivos del escritorio y mis documentos resultaban inaccesibles. Creo que en general todo en la partición C: Resulta que es el portatil del trabajo y los documentos del mismo los tengo en D: Entré rápidamente en las carpetas en D: y parecían estar bien. Al darme cuenta de la gravedad del asunto apagué el pc, desconecté la batería y he extraído el disco duro.
    ¿Es posible que el virus no haya tenido tiempo de encriptar lo que había en D:? Ahora mismo es la esperanza que tengo porque es ahí donde realmente está la información más relevante.
    Lo que se me ocurre para tratar de recuperar lo que no haya sido encriptado sin correr más riesgos es lo siguiente: conectar el Disco duro como externo en otro equipo (tengo algún pc que puedo arriesgar)y hacer una copia completa de todos los archivos en otro disco duro. Después arrancar un portatil no infectado (tengo uno con linux, no sé si mejora algo) conectar el disco original como externo y comprobar si , como espero y deseo, los archivos en D: no han sido encriptados, recuperarlos.
    Después de esto y como ya habré clonado el disco duro para guardarlo por si alguna vez se solucionase (aunque creo que tendrá más utilidad como pisapapeles) pues recolocaré el disco infectado en el portatil y trataré de recuperar algo, sin mucha esperanza, con las copias shadow o algún programa tipo Recuva. Para terminar, formateo completo y reinstalar SO.
    Antes de hacer nada quería comentarlo con este foro para conocer su opinión ya que he encontrado mucha información y no quiero dar pasos que puedan dañar más archivos si no ha dado tiempo a encriptar todo.

    Un saludo

    • Hola, Íñigo

      Es posible que hayas tenido suerte y no haya atacado a la unidad D. Los pasos que describes son los correctos. Más que clonar el disco, yo traspasaría los datos de un disco al otro y conservaría el afectado para el futuro (de hecho, en el de un familair, es lo que he hecho yo). Más que nada, por asegurarme al 100 % que ficheros marcados como borrados puedan ser recuperables, como bien apuntas de las «shadow copies».
      Lo importante es que NO arranques el sistema operativo infectado en ningún caso, ni con ese disco ni con otros.
      Saludos.

  • Hola a todos,

    Esta mañana en el trabajo me ha entrado el virus, en los archivos sale Help-Decrypt y el técnico me ha dicho más de lo mismo (imposible recuperar). Tengo copias de seguridad salvo de uno archivo de reciente creación y justo ese, es importante XD. Vaya faena!.

    Me gustaría saber como entró ese virus. He abierto el correo de la empresa (outlook), entré en la página de un ayuntamiento, busqué planos de organización del territorio en pdf, miré google map y miré página de un periódico. (Creo que todo lo que hice fue un cóctel).

    Gracias por adelantado

    • Hola, Yessi

      Es casi imposible saber cómo te ha entrado el virus, y más todavía a distancia y sin conocer las condiciones concretas de tu caso. Lo importante es que tienes copia de seguridad de casi todo.
      Saludos.

      • Gracias por responder.

        Ahora resulta que mi jefe con tan solo abrir el outlook le entró el virus, le reenvié un correo pero no le dio tiempo de abrirlo. Los ordenadores están en red y conectados al servidor de la empresa. Es muy agresivo este virus. Los hemos desconectado todos de la red hasta que el técnico venga.

        Saludos

  • pude recuperar los archivos que se habian infectado agregando el formato .mp3 en windows 7

  • Lamentablemente el virus elimino toda la información lo pero es que tengo una copia de seguridad con un anterior, se elimino el sistema contable,es todo un mes de trabajo, y la declaración anual se vence unos días, ya no se ni por donde empezar, el virus llego al correo de otra área. y al parecer solo funciona las copias de seguridad…………………….

    • que horrible es que este virus entre a dañar informacion de las empresas, por eso hay que hacer copias de seguridad diarios en empresas, mediante cintas magneticas u otros medios, este virus se lo puede sacar de la PC pero lo que no se puede es recuperar los archivos, de eso si olvidate, archivo que toca se daña pára siempre, no se lo puede decodificar y volver a codificar. Daña toda extensión menos el .txt que es plano.

    • Hola, Hugo

      Pues sí. Esos virus son terribles. El único recurso que vale a día de hoy son las copias de seguridad, que, en cualquier caso, siempre conviene hacer.
      Saludos.

  • Hola que tal es muy interesante lo has escrito yo tengo una mala experiencia con todo esto parece ser que abri un correro que me informaba algo que ya no recuerdo y papas despues de unas horas veo que todas mis carpetas contienen tres archivos llamados RECOVERoxigd ya restaure mis sistemas operativos pero en una particion que tengo donde gusrdo toda mi informacion no tengo respaldo de ella, logre borrar todos los archivos que eran miles pero todos mis archivos ZIP Y EXCEL quedaro dañados y la verdad he recurrido a todo pero todo es imposible….Ahora tengo una buena alternativa con con lo que tu has informado gracis lo voy a intentar

  • El 21-3-16 y probablemente a traves del correo se coló uno de esos virus secuestradores en mi portatil. Afortunadamente no contenía archivos importantes pero, antes de optar por el formateo puro y duro, opté por ver hasta donde podía luchar contra el. Los efectos a primera vista eran archivos con determinadas extensiones ( jpg, png, mp4 u alguno más ) encriptados (por ejemplo los mp3 y gif no lo están) y la invasión de todas las carpetas del ordenador con tres archivos +REcovER+Cinco letras.(png, txt y html) en los cuales viene, en ingles, todo lo que debo hacer para recuperar mis archivos. Todos estos archivos tienen fecha y hora de creación por lo que puedo saber a que hora empezaron a crearse. Con esos datos y tras horas… horas… días… encontre un archivo llamado umpmlh.exe situado en Usuarios-nombre del usuario-documentos. Al intentar eliminarlo ( por error al clickear) se activa y no parece ocurrir nada. Ya se sabe que muchos de los grandes descubrimientos se hicieron así por casualidad y ese error hizo que se crease otra tanda de los dichosos archivos +REcovER+ con la mismas extensiones pero con diferentes cinco letras y con la fecha y hora del momento. Con eso me puse manos a la obra borrando el citado archivo umpmlh.exe, todo lo que encontré en equipo y registro referente al mismo o a +REcovER+.(no dire las horas que he tardado para no asustar). También eliminé en registro referencias a loki porque vi en una página que así se llamaba un virus de estos ( aunque no se si es así). A partir de ahí punto de restauración nuevo e inclusión de un antiespias además del antivirus ambos en tiempo real. Dos días funcionando sin problemas, con el pc algo más rápido y con los archivos encriptados en un disco externo ( en un cajón ) por si un día aparece una cura y me pongo a luchar por recuperarlos simplemente por amor propio.

  • Les cuento la experiencia en mi trabajo, hace dos días ataco el virus en mi maquina (no se como llego, al parecer a través de una carpeta compartida), se llama: _HELP_instructions y nos pone el siguiente msj:

    ¡¡¡INFORMACIÓN IMPORTANTE!!!

    Todos sus archivos están encriptados con RSA-2048 y los sistemas de cifrado AES-128.
    Para más información sobre RSA consulte los siguientes enlaces:
    http://es.wikipedia.org/wiki/RSA
    http://es.wikipedia.org/wiki/Advanced_Encryption_Standard

    La desencriptación de sus archivos es solo posible con una clave privada y un programa,
    el cual está en nuestro servidor secreto.
    Para recibir su clave privada de clic en uno de los siguientes enlaces:

    […]

    Si todos estos enlaces no están disponibles, siga los siguientes pasos:
    1. Descargue e instale el Navegador Tor
    2. Después de una instalación exitosa, ejecute el navegador y espere la inicialización.
    3. Introduzca en la barra de direcciones: […]
    4. Siga las instrucciones en el sitio.

    ¡¡¡Su ID de identificación personal: ————-!!!!

    Hasta ahora el personal que se dedica a la seguridad informática no nos ha dicho como proceder, lo único que hicieron fue quitar las carpetas compartidas, yo he estado trabajando como normalmente lo hago guardando en esas carpetas que tiene documentos encriptados. Los informáticos me dicen que la información se perdió y sólo se puede recuperar con las copias de seguridad. Ahora mi duda es, puedo copiar los archivos que tengo en la copia de seguridad a mi PC aunque me sigan apareciendo en todas las carpetas la nota de _HELP_instructions y estén los documentos encriptados, o se van a encriptar estos también?

    Como datos adicionales comento que al parecer esto inicio el 28/03/16 a las 11:19 y finalizo (según creo, porque los informáticos no nos han actualizado del tema) el 28/03/16 a las 11:39, sólo 20 min (me baso en los documentos que encriptaron a los cuales se les cambió la fecha de modificación), encriptando información de 5 años (un total aproximado de 300,000 documentos), y todos tienen la terminación locky. También me he percatado que en su mayoría ataco a los documentos PDF y WORD; imágenes y Excel en menor cantidad.

    Otra duda, es posible saber que causo que ingresara el virus a la carpeta compartida, me refiero sí es posible detectar el usuario y la fuente de infección. Lo considero importante puesto que creo van a empezar a buscar culpables.

    Saludos

    • Hola

      Si el virus está eliminado, no hay problema por copiar los datos a esas carpetas aunque supuestamente contengan archivos encriptados. Sobre la causa, ni idea, eso debería verlo desde el departamento técnico y no siempre es posible, pero viendo los permisos o quién editó los ficheros por última vez y dependiendo del tipo de virus, se podría saber quién, pero difícilmente cómo.
      Saludos.

    • esta pasando lo mismo en el lugar donde trabajo_:::: lo que te puedo decir es que solo a esa carpeta compartida te puede afectar siempre y cuando tu no abras el correo malicioso::: y puedes recuperar la informacion de esa carpeta a un punto anterior:.. tan solo da clic derecho a la carpeta afectada …propiedades y en versiones anteriores verifica una fecha anterior a cuando fue infectada:::. y si la borraron simplemente crea una con el mismo nombre y haz lo que te dije clic derecho propiedades y versiones anteriores… restaurar y borras los .locky que te salgan despues del proceso… puedes estar tranquilo pues no afecta a mas de tus archivos de sistema… solo se queda en esa carpeta por que es la unica compartida que se infecto cuando alguien de tu area abrio el correo malicioso.. saludos y cualquier cosa no dudes en contactarme :::::::

      • Hola, Gustavo

        Lo que comentas no siempre vala, ya que algunos virus ransomware de este tipo impiden ese tipo de acciones y tienes que tener Windows 7, por ejemplo. Sobre lo de las carpetas compartidas, he visto versiones del virus que arrasan con todas las que están en la red, y afecta a todos los usuarios, infectados directamente o no (ya que inhabilita el acceso a los ficheros).
        Saludos.

  • hola a todos, ya le había pasado esta información a varios usuario y no lo creían, ChristianDvE, excelente trabajo. ya venia realizando con usuario unas charlas de como prevenir, pero acá lo tienes mejo explicado, voy a utilizar tu blog como ayuda a usuario domésticos, personales y empresarial….
    Felicitación muy importante tu trabajo….

  • Que herramienta para desinfectar el pc sin tener que formatearlo.?,
    como ubicar el origen o saber donde empezó la infección ?
    y como saber si se elimino satisfactoriamente..?
    gracias….!!!

    • Hola de nuevo, César

      Cualquier antivirus puede servir para eliminar los virus, si bien no todos detectan todos de la misma manera. Te recomiendo que pruebes con varios o el que tengas, simplemente. Hay muchos gratuitos y de pago y cada uno tiene sus preferencias.
      Sobre el origen, es muy difícil por no decir imposible saberlo. Se debería estudiar caso por caso y analizar incluso logs de servidores, etc. Tampoco es un dato que suela aportar mucho.
      Sobre si está eliminado o no, tampoco hay manera certera de saberlo. Lo mejor es pasar varios antivirus y, según el virus concreto, analizar contramedidas, pero hay algunas versiones muy resistentes y que, por lo que he leído, pueden llegar a resistir un formateado del equipo.
      Saludos.

  • Buen día, vengo a comentar mi caso, recién en la semana me trajeron una laptop para servicio técnico, esta no terminaba de cargar el sistema y funcionaba lento y con errores de todo tipo. Finalmente al no poder recuperar el sistema operativo (Win7) decidí notificarle al dueño y le propuse formatear respaldando su información.

    Justo en esta mañana me doy cuenta que sus archivos están cifrados, investigando me encuentro con Criptowall, Cryptolock… y sus muchas variantes. En las carpetas de usuario hay 4 archivos todos nombrados HELP_DECRYPT de tipo html, png, txt y url.

    Sabemos que no podré recuperar los archivos, sin embargo lo que me hace escribir esto es lo siguiente: La infección se dio por medio de un archivo para instalar Flash player y Adobe Reader, muchos pensaran, «bien, ¿y eso qué?» Pues el problema es que mi cliente los descargó ¡desde la pagina oficial!

    Incluso encontré un hilo en un foro de Adobe:
    https://forums.adobe.com/thread/1094241

    Todo muy extraño, con esto quiero decir, tengan cuidado, en internet nada es seguro.

    Saludos cordiales.

    • Hola, ahora que has comentado lo de Adobe, me ha venido a la cabeza hace algún tiempo en que me infecté al visitar la página principal de Yahoo. Parece ser que fue a través de uno de los banners que por aquél entonces mostraban (hace ya tiempo de ello). Como bien dices, mejor tener cuidado con todo y tomar todas las precauciones posibles, sin fiarse de ninguna web, por muy conocida que sea. Como se suele decir, más vale prevenir que curar.

      Saludos

    • Hola

      Gracias por la aportación. Hay que tener mucho cuidado con todo, en efecto. Incluso hay versiones de Flash que tienen un fallo de seguridad y permiten la descarga de malware y de ransomware, así que, como bien apuntas, siempre mucho ojo.
      Saludos y gracias por la visita y el comentario.

  • Hola buenas tardes, más allá de saber que no voy a poder recuperar nada de todo lo que tenía en mi pc, mi problema es que tampoco me deja formatear. Me aparece una leyenda que dice: EL ARCHIVO DE INFORMACION DE INSTALACION E:\I386\DOSNET.INF no es válido. Póngase en contacto con su administrador de sistema. y también me aparece Código de error 4096. Necesito ayuda!!! por favor!!! desde ya muchas gracias!

    • Hola, Doris

      Lo que necesitas es restaurar tu equipo a como venía de fábrica si lo que quieres hacer es darle formato o arrancar desde un disco DVD con la versión de Windows que tengas. Por lo que indicas parece que se ha estropeado la instalación y que por eso no puede arrancar. De todas maneras, para dar formato a Windows y reinstalarlo no hace falta que se inicie Windows.
      Saludos.

  • Hola me dirijo a todos los afectados por el virus ya que en bleepingcomputer.com parece ser que se ha liberado la clave para el descifrado por un programa pero yo lo estoy intentando y no me descifra ningun archivo que eran musica y fotos y fui infectado el 21 de noviembre del 2015 y no se si esta llave no es o estoy haciendo algo mal por eso intentarlo y comentar un saludo a todos afectados y suerte

  • Actualizo esta entrada y añado un comentario para los que estáis suscritos ya que hay dos nuevas herramientas para detectar infecciones y potencialmente recuperar archivos que podrían devolver los ficheros cifrados, y es que parece ser que se ha recuperado una contraseña maestra de uno de los virus ransomware, según me informa un compañero especialista en estos temas.
    Saludos.

    • que parte de que no se pueden recuperar los archivos infectados no entiende la gente

      • La esperanza es lo último que se pierde y como puedes comprobar, de vez en cuando ocurren «milagros» y se liberan claves maestras de desbloqueo de ficheros secuestrados por ransomware. A un familiar le afectó uno de estos virus y no descarto que algún día podamos recuperarlos.
        Saludos.

        • me daño algunos archivos .dbf, que requiero recuperar, pero eso le corri el eset teslacrypt, estuvo toda la tarde, me arrojo 576634 infected files found, 0 files cleaned….entonces de que sirve??
          :(

    • A mi me dio resultado con los .crypt con el trojan-ransom.win32 deskryptor tool de kaspersky de mayo 2016 version 1.9.1.0
      mas del 90 por ciento de los archivos .html, los de oficce, pdf y varios mas , no se habia atacado las fotos ni musica

      • hola, algo me parece raro, es que el programa de kaspersky te pide el archivo encriptado y el original, para poder «trabajarlo»…..pero el virus te elimina el archivo original!!…(¡?¡?), ..
        como pudiste recuperarlo tu?

        • Hola, no tenia archivo.
          Pero al revisar el correo de yahoo me di cuenta que en el tenia archivo pdf que había bajado. lo baje de vuelta y lo use como muestra de original y los compare con el infectado y el programa estubo varias horas trabajando

  • Buenos días, comentó mi caso, en la universidad tengo una carpeta compartida por Dropbox con otros dos compañeros. Ayer mi compañera me escribió que prendió el pc y se le empezaron a encripta todos los datos de la carpeta compartida y finalmente todos los datos de su computador. Ella al final borro esa carpeta. Ahora tengo mi computador trabajando en modo seguro porque no se si se transmitió el virus a mi pc o incluso si fui yo o mi otro compañero el que lo infecto. Como se si tengo el virus?? Tengo un antivirus y estoy recuperando una versión anterior de Windows 10 por si acaso, pero no se si al conectarme a la Red pueda conseguir el virus a través de Dropbox. Gracias por la información que me puedan dar

    • Hola, Diana

      Lo mejor es que pases un antivirus o quizá varios por tu ordenador. Depende del virus, pero no suele transmitirse a través de Dropbox. De todas maneras, hay que estar muy alerta. Lo que imagino que habrá hecho será cifrar todos los archivos que teníais compartidos en esa carpeta de Dropbox, por lo que deberíais intentar recuperarlos de la copia de seguridad que mantiene Dropbox de todo.
      Saludos.

  • Muchas gracias por la respuesta, el virus es Carter ransomeware. Mi amiga lo borro de su pc con un antivirus pero me temo que perdió toda la información que tenía ya que fue incriptada… :/

  • Ojo con el team viewer!!

  • Es una tontería decir que para recuperar los archivos tómelos de sus respaldos y listo. Pues si todas las personas los tuvieran pues ni existirían estos malware´s, mucho menos estas páginas hablando de esos malware´s, recomendando que recuperen su información con los respaldos. Existen, pues no todos tienen respaldada su información. En fin es una pérdida de tiempo leer esta web.

    • Antonio,

      Pues a mí me parece una tontería tu comentario y nula aportación. Es necesario por mil y una razones tener copias de seguridad (disco duro que se avería, accidente con el equipo, etc.). Si no valoras la información que tienes, luego no te lamentes por perderla. En el caso de las empresas, no tener copias de seguridad y perder información puede suponer incluso que tenga que llegar a cerrar.
      En el artículo además comento otras muchas opciones y alternativas, pero la mejor es por supuesto tener una copia de seguridad.
      Y ya creo que he perdido demasiado tiempo contestándote.

  • Tuve hace poco problemas con un virus .zepto que subió a su servidor distintos documentos que tenía, y no supe cómo recuperarlos y lo único que me quedó por hacer fue formatear la computadora, qué herramienta me recomiendas para eliminar el virus en otro momento. ¿Funciona el programa de Eset contra Tesla , para este tipo de ransomwear?

  • hola a todos , que avances hay en cuanto a esta encryptacion? ya tengo mas de un año que me sucedio a mi y aun nada he podido recuperar

  • Hola, cómo estas? Gracias por la info. Quería hacerte una consulta a ver si quizás me puedas asesorar. Hace un par de años me ingresó uno de estos virus a la computadora y perdí la mayoría de mis archivos .doc y .jpg.
    Hoy abri un Disco Externo y veo que todas las fotografías están encriptadas con la que creo recodar es la misma extensión que aquella vez .rpkflke
    Mi pregunta quizás sea medio tonta, pero no comprendo mucho de estos mundos:
    ¿Puedo simplemente eliminar esos archivos infectados sin que eso signifique una amenaza a los archivos de mi computadora y los archivos del disco que son .MOV?
    Realmente esas fotos ya me dispuse a perderlas, pero en ese disco tengo información en .MOV que no quisiera perder…, ni tampoco los archivos de la compu.
    Recién hice una copia de seguridad en la compu x si acaso.

    Miles de gracias de antemano, :)

    • Hola, Ana

      No es una pregunta tonta.
      Puedes recuperar los archivos que sigan siendo válidos. Eso sí, intenta extremar las precauciones y no abras ejecutables o similares en el disco duro infectado ni arranques el equipo desde ahí. Un buen antivirus actualizado (junto a un sistema operativo al día) son buenas prácticas siempre, al margen de que hagas copias de seguridad.
      Saludos.

  • alguien que me ayude con la extensión .8796 esto es lo que se encuentra en todos mis archivos (Encontrará las instrucciones para restaurar sus archivos («*_READ_THIS_FILE_*.hta») a cualquier carpeta con sus archivos cifrados)

  • Buen día Christian, gracias por compartir.
    Lamentablemente yo fui uno de los primeros portadores de este virus Help_Decript en las fotos, no tuve oportunidad de tomar precauciones. Cuando me infecté no había una sola página en español que supiera de este virus, y solo me apareció en Google un par de links en inglés que a mi poco entender nada tenia que ver con el virus. Al día de hoy no he formateado la pc ni eliminado un solo archivo, la cantidad de fotos familiares encriptadas son incontables, de hecho tenia como 4 discos duros conectados cuando se infectó la pc.

    1 ¿Ha habido algo nuevo para desencriptar los archivos? No pienso borrar mis fotos, toca esperar a que algún día haya solución.

    2 Tengo pensado conectar un disco duro nuevo e instalar Windows, una vez hecho esto, conectar los demás discos y respaldar la información. ¿No pasaría el virus al nuevo sistema recién instalado en disco nuevo?

    3 Una vez teniendo recién instalado Windows, si respaldo las fotos encriptadas en un mismo disco duro junto con más fotos sin encriptar y otros archivos, ¿el virus no afecta a los demás archivos o las fotos «normales»?

  • Buenas , me acaba de pasar, solo veo encriptados los archivos de la pantalla de inicio puesto que tengo 3 discos duros más y las fotos y vídeos abren con total normalidad y no estoy interesada en conservar lo que se incripto. solo quiero saber qué puedo hacer para eliminar el virus de mi ordenador, si reinstalo Windows borrando todo el disco donde está instalado el sistema se eliminará el virus? Gracias

Responder a Oscar Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Seguir a ChristianDvE en Twitter
 TwitterFacebook YouTubePinterestInstagramFeed
Recibe por correo electrónico los nuevos contenidos para no perderte ninguno (frecuencia muy baja). Responsable: Blog de ChristianDvE. Finalidad: enviar nuevos artículos y novedades por email. Legitimación: su consentimiento. Destinatarios: los datos los custodiará Mailrelay. Derechos: acceder, rectificar, limitar y suprimir sus datos
Sígueme (si quieres) también en Feedly
Archivos
Creative Commons
Los contenidos de este blog se encuentran bajo una Licencia Creative Commons Reconocimiento-NoComercial-CompartirIgual 3.0 Unported.
Hosting por Raiola.