Virus Criptolocker, Locky ¿Cómo desencripto mis archivos?

Algunas preguntas típicas antes de empezar el tutorial:

-Existe alguna forma de desencryptar los archivos sin comprar bitcoins?

No, actualmente solo pagando se pueden recuperar los archivos, y el día que se pueda, yo mismo me encargaré de ponerlo, por el momento, es imposible y cualquier información sobre que hay fórmulas es falso.

-Si pago me van a estafar?

Yo, a titulo personal, me dedico a la compra venta de bitcoins y ningun cliente mio no ha podido recuperar la totalidad de sus archivos, excepto una persona que tuvo problemas con un tipo de programa específico. Aún así, creo que lo recuperó todo.

-La persona que vende bitcoins, está relacionada con el virus?

No. Al igual que yo, existen otras personas que venden bitcoins y ninguno de nosotros tiene ningún tipo de vinculación con quienes han creado el virus y se lucran con el cobro de los bitcoins.

Guia sobre como recuperar los archivos de cryptolocker, Cryptowall Decrypter y derivados a través del pago del rescate con Bitcoins:

Aquí empieza la guía, hay varios típos de virus pero todos actuan o son de la misma forma, en cualquier caso, siempre os puedo intentar ayudar con el asunto.

Desde hace un tiempo se ha extendido un virus muy efectivo por lo general bajo el logo y nombre de Correos que encripta tus archivos, y pide un rescate para poder volver a disponer de ellos. Mucha gente llega a conocer bitcoin porque así es cómo piden que pagues el rescate, ya que al ser un método de transferencia anónimo y descentralizado, permite proteger su privacidad a los hackers.

A menos que te de igual perder los archivos o tengas un backup que no esté también encriptado con ese mismo virus, siempre habrá que pagar el monto requerido en la moneda digital llamada Bitcoin. Y es normal que surjan dudas de si tras el pago desencriptaran tus archivos o te pedirán más, pero parece que siempre cumplen, aunque dan un plazo para hacer el pago y si para entonces no se ha hecho, el rescate es mayor.

En el caso de que no te quede otra opción que pagar, así serán los pasos que te llevarán a poder descargarte el programa de desencriptación.

  1. Lo primero que veremos es que tenemos el ordenador encriptado y un .txt algo personalizado pero que viene a decirnos algo tal que así.

Un ejemplo de link sería http://7oqnsnzwwnm6zb7y.icepaytor.com/sagwg2

que nos lleva a una página donde se pide resolver un capcha para acceder a la web donde propiamente se dan los datos para la desencriptación de los archivos.

Una vez introducidos los capchas entramos en esta página.

Está pagina hace otra explicación dividida en varios puntos, algunos de ellos totalmente innecesarios.

====================
1 Registrar un monedero Bitcoin (falso) para realizar un pago por cryptolocker. La realidad es que no hace falta complicarse para crearse un monedero ya que todas las páginas webs de compra te guardan los bitcoins y puedes enviarlos desde allí directamente a la dirección indicada. Lo que la página web realmente te pide es el TX, que no es mas que el código de la transferencia que se genera al realizar un envío de bitcoins, y todas las webs lo facilitan.

====================
2 Comprar Bitcoins: la forma más rápida y segura es a través de Coinbase y es la que yo recomeindo, como alternativa, también puede comprarse en Localbitcoins.

====================
3 Comprar la cantidad de Bitcoin que te piden de rescate. Según a donde acudas a comprar estos bitcoins, acabarás pagando un pequeño porcentaje más o menos. Localbitcoins es el lugar más rápido aunque suele tener una comisión algo más elevada que el precio de mercado. Una vez comprados, tienes que realizar el envio a la dirección que te ha dado tu hacker.

◙ Donde pone ***Receiving bitcoin address*** tienes que poner la dirección donde tienes que enviar los bitcoins.

◙ En el segundo recuadro, donde pone ***Amount in bitcoins*** tienes que poner la cantidad a enviar

◙ En el tercer recuadro, donde pone ***Two-factor authentification code*** tienes que poner tu contraseña o codigo de doble autentificación. Si no sabes que es, será porque tienes que poner tu contraseña unicamente.

Con la actualización de localbitcoins, quizás encontramos nuestro monedero en otra ubicación, habrá que picar donde pone cartera para llegar a la ventana de envio de Bitcoins. :

=====================

4 Una vez realizado el envio, en la parte inferior de esa misma ventana, al cabo de unos minutos aparecerá esta imagen y aqui es donde debéis coger el código largo que en este caso empieza por 43, justo despues de txid y pegarlo en la página del hacker. Quedando tal que así.


======================

5 Una vez realizado el pago, hay que darle al botón de pagar. Donde quedará así el asunto:

========================================

Una vez realizado el pago, se tiene que esperar a que se verifique el envío de Bitcoins, que puede tardar desde pocos minutos a más de 24H. En cualquier caso, mientras el estado sea no verificado pero aparezca, es cuestión de tiempo.

¿Y que pasa cuando se verifica el pago? Pues nos sale una ventana tal que así donde ya podemos descargar el fichero decrypt.zip que nos dejará realizar la desencryptación de los archivos que tenemos encriptados.

========================================

Comprarme directamente los bitcoins a mí en pocos minutos.

Más allá de que actualmente no existe otra posibilidad que pagar para desencriptar los archivos, yo, como vendedor de Bitcoins me ofrezco tanto a la venta como a ayudar a todas esas personas que hayan sufrido el percance de cryptolocker.

El precio de los bitcoins siempre lo regirá el anuncio por transferencia más barato que tenga en localbitcoins: https://localbitcoins.com/?ch=d06

Muchas gracias y espero que esta guía les sirva de ayuda.

Palabras clave: Virus, Bitcoins, Localbitcoins, Cryptolocker, Encriptación, Desencriptar, Virus Criptolocker, Criptowall, Locky.

5 Me gusta

Antes de pasar por caja, también se puede probar algún servicio gratuito como www.decryptcryptolocker.com que por lo visto funciona en muchos casos.

2 Me gusta

Parece que la amenaza de los Ransomware se está poniendo seria en España, a pesar de ser un género de virus existente desde hace ya varios años.

Prueba de ello es el informe que ha publicado hace escasos días el Centro Criptológico Nacional (CCN) adscrito al Centro Nacional de Inteligencia.
El informe está interesante ya que comenta las variantes más incidentes y ofrece distintas medidas de protección y desinfección.
https://www.ccn-cert.cni.es/publico/dmpublidocuments/CCN-CERT_IA-21-14_Ransomware.pdf

Veremos como avanza este tema, personalmente estoy recibiendo muchas noticias de conocidos infectados, a pesar de que su modus operandi no dista de otros virus a la hora de infectar, supongo que lo sonado viene por la efectividad de su ataque.

Saludos.

1 me gusta

Lo ratifico, ya he tenido suficientes clientes con estos problemas como para preocuparse y ponerse serio.

Mucho ojo! :wink:

Yo estos ultimos 2 o 3 días he tenido clientes con hasta 3 variantes del cryptolocker.
Avisad a quien podais por que parece que la cosa se pone seria. Algun forocochero ha dicho que ha vsito variantes que explotan por flash o algo así por lo que no hace falta ningun ejecutable.

Tres casos en mi entorno…
No es una buena publicidad para Bitcoin, ni para los que os dedicáis a la compra-venta.

Tener cuidado. :wink:

1 me gusta

Da mucha rabia ver a Bitcoin involucrado en todo este tipo de cosas.
El problema es que por diseño es ideal para los criminales. Lo tienen demasiado fácil para atacar online, cobrar, lavar los bitcoins y vuelta a empezar.

Por lo que por desgracia es cuestión de tiempo que las técnicas de ataques con Bitcoin por internet se vayan extendiendo. Personalmente me da bastante miedo, porque sus posibilidades son infinitas.

1 me gusta

Simplemente la gente aprenderá a palos. Es cuestión de que se acostumbren a los hábitos necesarios para proteger bien sus equipos. Pero sí, va a haber muchos caídos por el camino.

1 me gusta

Hace un par de días, un conocido fue infectado por cryptolocker.
Tras realizar el pago, en sólo 5 segundos (!!!) movió la pasta a otra dirección, lo cual sugiere que tiene informatizado el sistema de cobros.

En esa dirección se ve perfectamente que ha “facturado” más de 800 BTC en 2 meses.
Es decir, una media de 3.000 eur al día.

La Policía Nacional informó a mi conocido de que esta versión de cryptolocker es la 3, y que tienen antídoto para las dos primeras pero no para esta última.

El virus le entró al recibir un email de “Correos”.

Edito: En las últimas 24 horas ha facturado 40 veces, es decir, más de 10.000 euros en 24 horas…

1 me gusta

Si tienes este pedazo de virus con autopropagación, encriptación selectiva y dispersión por las redes locales y no tienes informatizada la recepción de pagos en el Bitcoin-qt, eres un manco.

A ver como evoluciona el asunto.

Yo hace unas dos semanas recibí insistentemente más de 20 correos de todo tipo pidiendo descargar un .zip con un .exe dentro, que si habia recibido un paquete, que si un correo, que me han pagado una factura, etc.
Ya voy viejo para picar con esas.
El .zip si lo descargué varias veces, pero si ves que tiene dentro un ejecutable…

1 me gusta

Fail, iba a poner una dirección y era la misma que ha puesto Kennedy… Hoy llevan 20 btc recaudados.

Vaya tela con este virus! ¿Alguien sabe si es sólo de Windows o también puede contagiarse en otros sistemas operativos, móviles incluidos?
Gracias!

Dudo que un Exe tengo influiencia en un Linux o un Mac. Por otro lado, si dentro del exe, el programa esta capacitado para explotar vulnerabilidades de Mac, Linux ya es otro asunto.

Tema android y iOS igual… Imagínate el destrozo que podría causar en un wifi público y donde tuviese que pagar 1 en nombre de todos, o gestionar 1 por 1 los pagos de todos… En fin, un lío en mi opinión.

Justo escribiendo esto, me he imaginado que alguien lo abre en un Mcdonals que es típico que tenga su wifi y hay 5 personas con su portátil y una de estas, abre el .exe infectado. ¿Todas caerían?

:cold_sweat:

La Policía también ha caído

1 me gusta

Parece que kaspersky ha sacado una solución, justo ayer finalizaba el plazo de 144h del virus y doblaba el precio…
A saber si funciona, pero ahora, con los 1000 BTC de financiación https://blockchain.info/es/address/14LWvfFn1SsaEvjc5ZF8jym7mpD8fF28QK pues es cuestión de tiempo que saquen la nueva versión.

Saludos

2 Me gusta

He actulizado la guía con una nueva interfaz de usuario de localbitcoins, puede servir de ayuda ya que algunos usuarios me decían que no encontraban la cartera.

:thumbsup:

2 Me gusta

Creo que esta funcionando otra versión del cryptolocker,

https://blockchain.info/address/1GCUK95bUSSKBiXMdwU6Yog2wbV2B6gGQy

Esta es la dirección nueva en cuestión. El comportamiento de este no lo reconozco según me dicen algunos clientes por lo que podría ser que ya sea una nueva versión.

1 me gusta

Nueva dirección https://blockchain.info/address/1EZm85khttdQgJjya94JTxEcZYUQ9AFQtK
Aún sin movimientos.

También es una nueva variable:

y una vez realizado el pago:

Por si a alguien le sirve de algo la clave privada:
C8329785D41E1E5CE353B3E6B7EB50F3CBA7C26DF46E518A93BE5301B91F677E

1 me gusta

Cómo prevenir la infección por CryptoLocker / CryptoWall

En el artículo Cómo derrotar CryptoLocker, explicamos que la primera línea de defensa eres tú: no abras archivos desconocidos ni tampoco hagas clic en adjuntos cuyo origen desconozcas. Tener un antivirus actualizado no siempre garantiza una protección contra los virus secuestradores.

Una herramienta que sí puedes usar es CryptoPrevent, una herramienta que deshabilita los permisos aprovechados por los criptovirus para iniciarse en el arranque de Windows. Con CryptoPrevent activado, la instalación del virus es imposible. Usarla es fácil: marca laprimera, segunda y cuarta casillas y haz clic en Apply.

Adjunto esto que he encontrado buscando por internet, por su sencillez, me parece la mejor defensa.
http://articulos.softonic.com/cryptolocker-cryptowall-cryptofortress-eliminar-desencriptar

2 Me gusta