Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Buscador

Entradas Mensuales

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Foro de elhacker.net - Noticias

elhacker.NET en Facebook

Entradas populares

PostHeaderIcon Nueva variante del virus CryptoLocker: Crypt0L0cker




Se ha detectado una nueva campaña en abril de 2015 de phishing que suplanta la identidad de la empresa Correos con una supuesta "carta certificada" con el objetivo de engañar a los usuarios mediante ingeniería social, para que hagan clic en un enlace que les redirige a una web maliciosa que suplanta la identidad de la compañía y tratar de provocar que los usuarios descarguen e instalen (ejecuten) un virus que cifrará los archivos del ordenador.



Nota:
Con frecuencia a los procesos de cifrado y descifrado se les denomina encriptado y desencriptado, ambos anglicismos de los términos ingleses encrypt y decrypt, sin embargo la Real Academia Española no ha incluido tales términos en el Diccionario de la lengua española. Por su parte La Fundación del Español Urgente defiende que encriptar es un término válido y que no hay razón para censurar su uso.

 Qué hacer en caso de infección de Cryptolocker


Si ves la pantalla de Cryptolocker, desconecta el equipo de la red para que el virus no pueda cifrar más archivos. Desconectar la conexión a Internet también evita que tus archivos en Dropbox o Google Drive se sobrescriban con las copias infectadas.

El creador de CryptoLocker no es otro que el ruso de 31 años Evgeniy Bogachev, por el cual el FBI ofrece una recompensa de 3 millones de dólares sobre cualquier pista sobre su paradero.

El "virus" de nuevo se hace pasar por un aviso de correos, pulsas el enlace, y se descarga un fichero zip llamado carta_certificada. Si lo descomprimes y ejecutas el exe de su interior del mismo nombre, en segundo plano se instala un exe en la carpeta users/public/datos de programa.



Fijarse bien en la dirección del remitente, el “cuerpo” del correo, y en las extensiones de archivos adjuntos. (textos en inglés, mal redactados, direcciones erróneas, son indicios de un posible correo infectado).

Asunto:

Carta certificada no entregado a usted
Texto ejemplo:

Su paquete ha llegado X de abril. Courier no pudo entregar una carta certificada a usted. Imprima la información de envío y mostrarla en la oficina de correos para recibir la carta certificada.

Si la carta certificada no se recibe dentro de los 30 días laborables Correos tendrá derecho a reclamar una indemnización a usted para él está manteniendo en la cantidad de XX euros por cada día de cumplir. Usted puede encontrar la información sobre el procedimiento y las condiciones de la carta de mantener en la oficina más cercana. Este es un mensaje generado automáticamente.

Tras esto todos los datos del disco duro en los que el usuario tenga permisos de escritura, quedan encriptados, incluidas unidades de red (mapeadas) o discos duros externos  conectados por USB (con letra asignada). Novedad Abril 2016: también sin letra asignada.

El malware se inicia el proceso de cifrado mediante el uso de las GetLogicalDrives () llamada a la API para enumerar los discos del sistema que se han asignado una letra de unidad (por ejemplo, C :). En las muestras tempranas (2013-2014) CryptoLocker, el GetDriveType () llamada a la API determina si las unidades son locales discos fijos o unidades de red (DRIVE_FIXED y DRIVE_REMOTE, respectivamente). Sólo se seleccionan los dos tipos de unidades para el cifrado de archivos en las primeras muestras. Las muestras desde finales de septiembre también seleccionan las unidades extraíbles (DRIVE_REMOVABLE), que pueden incluir unidades USB y discos duros externos. 

Esta nueva variante cifra los archivos con la extensión .encrypted

Ejemplos:

nombre_fichero.doc.encrypted
nombre_foto.jpg.encrypted

Los secuestradores de los ficheros permiten que se descifre un sólo fichero de forma gratuita y el resto pagando con BitCoins. Además, el precio del rescate aumenta a medida que pasan los días. El límite de tiempo suele ser de dos o tres días (normalmente 72 horas).

El pago se debe efectuar a través de Bitcoin, una moneda virtual que dificulta la identificación de los criminales. Crypt0L0cker seguramente está basado en CryptoWall 2.0 porque:

CryptoWall 3.0

  • Usa  la red anónima I2P (Invisible Internet Project) en lugar de TOR supone el cambio más notable. I2P sigue un modelo similar a TOR, la red está compuesta por nodos entre los que fluye la comunicación, sin embargo I2P utiliza un esquema "inproxy", a diferencia de TOR, cuyo modelo es "outproxy" ([Ref.-47). El modelo outproxy está enfocado a la navegación anónima por redes externas, como Internet. Por el contrario, un esquema inproxy sigue el modelo de "VPN puro", donde ninguna entidad externa puede participar en la red sin antes unirse a ella, esta arquitectura es la tradicional de una darknet.


Las primeras versiones de CryptoLocker en lugar de utilizar una implementación personalizada criptográfica como muchas otras familias de malware, utilizan criptografía fuerte certificada de terceros ofrecida en este caso por CryptoAPI de Microsoft. Mediante el uso de una adecuada ejecución y siguiendo las mejores prácticas, los autores de malware han creado un programa robusto que es difícil de eludir. El malware utiliza el "RSA y AES Cryptographic Provider Microsoft Enhanced" (MS_ENH_RSA_AES_PROV) para generar las llaves y para cifrar los datos con algoritmos RSA (CALG_RSA_KEYX) y AES (CALG_AES_256).

Cada archivo se cifra con una llave AES única, que a su vez se cifra con la clave pública RSA recibida desde el servidor C2. La clave cifrada, una pequeña cantidad de metadatos y el contenido de archivos cifrados se vuelven a escribir en el disco, reemplazando el archivo original. Los archivos cifrados sólo se pueden recuperar mediante la obtención de la clave privada RSA retenida exclusivamente por los creadores del malware.

Cifrado Simétrico (AES, DES, RC4)


El cifrado simétrico consiste en el uso de una misma llave para cifrar y descifrar el mensaje cifrado. El hecho de que exista un secreto compartido entre emisor y receptor constituye una vulnerabilidad que ha sido resuelta únicamente por el cifrado asimétrico.



Cifrado Asimétrico (RSA)


Con el cifrado asimétrico el problema del secreto compartido se resuelve: los mensajes (o en este caso nuestros ficheros, archivos y documentos) se cifran con una clave pública, y sólo el receptor con su clave privada podrá descifrarlo. El "virus" CryptoLocker, CryptoWall y muchas de sus nuevas variantes usan cifrado asimétrico. Esto quiere decir que como no tenemos acceso a la clave privada con la que sea han cifrado nuestros ficheros, no podemos descifrarlos (recuperarlos), de ninguna manera, ni por ataques por fuerza bruta. Desafortunadamente, para la víctima, la llave privda sólo está en el lado atacante y nunca se transmite al ordenador de la víctima. En otras palabras, no hay ningú camino viable para recuperar los archivos sin tener que pagar el rescate u obtener la clave privada de los delincuentes de alguna otra forma, como cuando fuerzas de la ley han tenido acceso a su infraestructura se han creado herramientas de descifrado.



También hay una variante llamada TeslaCrypt que se aprovecha de una vulnerabilidad en Adobe Flash Player (usa el Angler Exploit Kit) y además secuestra partidas guardadas de juegos.

Algunas variantes, además de cifrar los ficheros del equipo infectado, roban la libreta de direcciones para lograr nuevas víctimas a quién enviar estos mensajes maliciosos. Para empeorar todo, falsifica la dirección del remitente. Así, es probable que la dirección que se muestra en el correo sea la de uno de nuestros contactos.

En esta variante encripta archivos de ofimática, pst, pdf, jpg, wmv, mp4, m4a, vbs, zip. No afecta a mp3, gif, png, rar o exe.

Las primeras variantes de CryptoLocker (también llamadas TorrentLocker) utlizaban un cifrado con  AES-256 con CTR (Counter) que consiguió ser descifrado y ahora son cifrados con AES-256-CBC (Cipher-block chaining)

En septiembre, investigadores finlandeses de Nixu Oy detallaron un método por el cual víctimas de TorrentLocker podían recuperar el contenido de los archivos cifrados, sin pagar dinero a los cibercriminales.

TorrentLocker utiliza la librería criptográfica de código abierto LibTomCrypt.

El malware no revela su presencia a la víctima hasta que todos los archivos específicos han sido cifrados. La víctima se presenta con una pantalla de bienvenida que contiene instrucciones. En versiones anteriores se mostraba un temporizador de cuenta atrás.


Versiones / Variantes antiguas:



En cada carpeta afectada del pc, te genera un .txt y un .html con la siguiente "solución", con enlaces a la red tor. (relays tor)

Contenido del Fichero: INSTRUCCIONES_DESCIFRADO.txt

===============================================================================
               !!! NOS CIFRAR SUS ARCHIVOS CON Crypt0L0cker !!!
===============================================================================


Los archivos más importantes (incluidos los de los discos de red, USB, etc):
fotos, vídeos, documentos, etc. se cifran con nuestro virus Crypt0L0cker. La
única manera de restaurar los archivos es pagarnos. De lo contrario, se
perderán los archivos.

Utilice este enlace para pagar por la recuperación de los archivos:
http://zoqowm4kzz4cvvvl.torlocator.org/pi6nf5.php?user_code=1ecyep9&user_pass=9071


-------------------------------------------------------------------------------
-------------------------------------------------------------------------------

[=] ¿Qué pasó con mis archivos?

  Sus archivos importantes: fotos, vídeos, documentos, etc. se cifran con
  nuestro virus Crypt0L0cker. Este virus utiliza muy fuerte algoritmo de
  cifrado - RSA-2048. Fracción del algoritmo de cifrado RSA-2048 es imposible
  sin la llave especial de descifrado.


[=] ¿Cómo puedo restaurar mis archivos?

  Sus archivos ahora son inservibles e ilegibles, puede comprobar que al tratar
  de abrirlos. La única manera de restaurarlos es utilizar nuestro software de
  descifrado. Usted puede comprar este software de descifrado en nuestro
  sitio web (http://zoqowm4kzz4cvvvl.torlocator.org/pi6nf5.php?user_code=1ecyep9&user_pass=9071).


[=] ¿Qué debo hacer ahora?

  Usted debe visitar nuestro sitio web (http://zoqowm4kzz4cvvvl.torlocator.org/pi6nf5.php?user_code=1ecyep9&user_pass=9071)
  y comprar descifrado para su PC.


[=] No puedo acceder a su sitio web. ¿Qué debo hacer?

  Nuestro sitio web debe ser accesible desde uno de estos enlaces:
  http://zoqowm4kzz4cvvvl.torlocator.org/pi6nf5.php?user_code=1ecyep9&user_pass=9071
http://zoqowm4kzz4cvvvl.torminator.org/pi6nf5.php?user_code=1ecyep9&user_pass=9071
http://zoqowm4kzz4cvvvl.tor2web.blutmagie.de/pi6nf5.php?user_code=1ecyep9&user_pass=9071

  http://zoqowm4kzz4cvvvl.onion/pi6nf5.php?user_code=1ecyep9&user_pass=9071 (utilizando el navegador TOR)

  Si por alguna razón estas direcciones no están disponibles, por favor siga
  los pasos:
    1. Descargue e instale TOR-navegador:
       http://www.torproject.org/projects/torbrowser.html.en
    2. Después de una instalación exitosa, ejecutar el navegador y esperar a
       que la inicialización.
    3. Escriba en la barra de direcciones:
       http://zoqowm4kzz4cvvvl.onion/pi6nf5.php?user_code=1ecyep9&user_pass=9071
    4. El acceso a nuestro sitio web.

  También puede ponerse en contacto con nosotros a través de
  correo electrónico: decrypthelp@mail15.com

-------------------------------------------------------------------------------
-------------------------------------------------------------------------------

Credenciales de inicio de sesión:
  URL:       http://zoqowm4kzz4cvvvl.torlocator.org/pi6nf5.php
  User-Code: 1ecyep9
  User-Pass: 9071

===============================================================================
Buy decryption Software (ejemplo)

https://xxxx.blutmagie.de/xxx.php?


Ejemplo:

El "virus" es tan majo que te permite descifrar un sólo archivo de manera totalmente gratuita y además te informa del número total de ficheros cifrados (para que te hagas una idea de todo lo que has perdido).



Algunos de los dominios FALSOS y REMITENTES de correo utilizados (bloquear en listas negras) son:

correos-es.com
correos-espana.biz
correos-espana.com
correosespana.com
correos-espana.net
correos-espana.org
e-correos24.com
es-correos.com
icorreos24.net
icorreos24.org
mycorreos24.net
mycorreos.com
ptt-esube.com
ptt-gonderi.biz
ptt-gonderi.net
sda2cliente.com
sda2cliente.org
sdacourier24.info
sda-courier.biz
sda-courier.info
sdacourier.net
sdacourier.org
sda-poste.com
sda-poste.info
sdaposte.info
sda-poste.net
sdaposte.net
sda-poste.org
sdaweb24.com
sdaweb24.net
supportpiece.com

Podéis ver una lista actualizada en:

http://red.cow.cat/blacklists/cryptolocker.txt

Algunas novedades:

sda-courier24.org
sda-courier24.biz
sda-courier24.com
sda-courier24.net 
Abril 2016:

http://birrificiotuderte.com/5Q0C6yxNV/0sI6NdTXOfq.php?id=correo@dominio.net
http://faam.com/xxxx

O añadir una entrada al fichero hosts de Windows (127.0.0.1 [TAB] dominio)

¿Qué es lo primero que debo hacer?

 Una vez has sido "infectado" (has ejecutado el .exe) y te has dado cuenta que te la han colado, lo primero que debes hacer es desconectar el cable de red (para aislar el ordenador de la red y que no siga encriptando o cifrando los documentos de toda la red) y desconectar los discos duros o pendrive si están conectados al ordenador.

Lleva cierto tiempo cifrar todos tus archivos, por lo que puedes detenerlo antes de que logre tergiversarlos a todos. Esta técnica no es en absoluto infalible, y debes tener la suerte suficiente de moverte más rápido que el malware; pero aún así, desconectarse de la red es mejor que no hacer nada.

  • Desconecta inmediatamente el cable de red del ordenador. Desactiva la conexión Wifi (Wireless, apagando la conexión inalámbrica)

El segundo paso es con mscconfig o autoruns eliminar el "virus" para que no se vuelva a iniciar cuando reiniciemos Windows.

¿Cómo recuperar los archivos y ficheros secuestrados?

  • Usando un backup (copia de seguridad física o en la nube, Google Drive, Dropbox, etc)
  • Usando versiones anteriores
  • Shadow copy (Volume Snapshot Service, Volume Shadow Copy Service, VSS)
  • Usar herrmientas específicas. Ver en Otras soluciones

¿Cómo restaurar archivos cifrados por Crypt0L0cker?


Método 1: copias de seguridad

El primer y mejor método para restaurar los datos es una copia de seguridad reciente. Si no tienes backup ¿qué estas esperando para hacerlo?

Método 2: Software de recuperación de archivos

Parece que cuando CTB-Locker cifra un archivo, primero hace una copia del mismo, codifica la copia y luego elimina el original. Debido a este procedimiento se puede usar un software de recuperación de archivos como R-Studio o Photorec para intentar recuperar algunos de los archivos originales. Es importante tener en cuenta que cuanto más se utilice la computadora, más difícil será recuperar los archivos eliminados sin cifrar.

Método 3: Instantáneas de volumen de Windows (Shadow Volume Copies)

Como último recurso, puede tratar de restaurar los archivos a través de las instantáneas de volumen automática de Windows, siempre y cuando las mismas se encuentren activadas en el sistema operativo. Desafortunadamente, el malware intentará eliminar las instantáneas, pero a veces no logra hacerlo y esta copia puede utilizarse para restaurar los archivos.

¿Cómo restaurar archivos cifrados por Crypt0L0cker con instantáneas de volumen?

El servicio Shadow Copy de Windows, también conocido como Volume Snapshot Service (VSS), permite hacer copias automáticas periódicas de los datos almacenados en recursos compartidos así como unidades del equipo (sobre sistemas de ficheros NTFS). Para ello el VSS crea copias ocultas de los cambios que experimentan bloques de datos del sistema de ficheros, permitiendo así recuperar información individual (por ejemplo ficheros) en el caso de pérdida o borrado accidental.

A diferencia del sistema implementado en Windows XP (restauración del sistema), el VSS mantiene snapshots de volúmenes del sistema; por ejemplo, de toda la unidad C. De esta forma se protegerían no sólo los ficheros del sistema sino todos los datos contenidos en dicha unidad, incluyendo los documentos de los usuarios, ficheros de programas, etc.


Si se encuentra activada la opción "Restaurar sistema" del equipo, Windows crea copias instantáneas del sistema (Shadow Copy). Esta opción está disponible desde Windows XP Service Pack 2 en adelante.
Estos snapshots permiten restaurar una versión anterior de los archivos, antes de que fueran cifrados. Sin embargo, los archivos recuperados seguramente no serán la última versión del archivo.

Existen dos métodos que pueden utilizarse para restaurar archivos y carpetas desde el Volume Shadow Copy. El primer método es usar las funciones nativas de Windows y el segundo método es utilizar la aplicación gratuita como Shadow Explorer. No hace daño probar ambos métodos y ver qué cual funciona mejor.

Para restaurar archivos individuales se puede hacer clic derecho sobre el archivo, ir a propiedades y seleccionar la versión anterior que se desea recuperar.


Click con el botón derecho en cualquier archivo cifrado o carpeta entera y click en "EXPORT..."



Utilidades para eliminar ransomware sin tener que pagar rescate


Otras soluciones

Herramienta de Kaspersky para descifrar los ficheros secuestrados
https://noransom.kaspersky.com/

DecryptoLocker.exe
https://www.decryptcryptolocker.com/Decryptolocker.exe

Cabe destacar que en Junio de 2014, a raíz de la Operación Tovar, los responsable de la desarticulación de la infraestructura de Gameover Zeus y CryptoLocker, las compañías FireEye y Fox-It crearon el servicio http://www.decryptcryptolocker.com/ para tratar de ayudar a los usuarios víctimas de este ransomware.

Dicho servicio utiliza las claves extraídas de la base de datos interceptada en dicha operación. Para conocer si la víctima puede recuperar sus documentos, únicamente tiene que subir uno de los ficheros cifrados al servicio e indicar su correo electrónico. En el caso de contar con la clave privada correspondiente, recibirá un correo en el que se le especificará dicha clave así como las instrucciones a seguir para descifrar el resto de ficheros por medio de la herramienta Decryptolocker.exe.

Herramientas de Descifrado

Fuente:
CCN-CERT, - Medidas de Seguridad contra el Ransomware (Enero 2016)


¿Cómo evitar o prevenir infección con CryptoLocker?


Consejo básico de seguridad en Windows: Mostrar la extensión real de un archivo


Una extensión de nombre de archivo es un conjunto de caracteres que se agregan al final de un nombre de archivo para determinar qué programa debería abrirlo.

  1. Para abrir Opciones de carpeta, haga clic en el botón InicioImagen del botón Inicio, en Panel de control, en Apariencia y personalización y, por último, en Opciones de carpeta.
  2. Haga clic en la ficha Ver y, a continuación, en Configuración avanzada, realice una de las acciones siguientes:
    • Para mostrar las extensiones de nombre de archivo, desactive la casilla Ocultar las extensiones de archivo para tipos de archivo conocidos y, a continuación, haga clic en Aceptar.
Desmarcar Ocultar las extensiones de archivo para tipos de archivo conocidos

Antes: .pdf

Ahora mostrará: .pdf.exe

CryptoLocker no es detectado por ningún antivirus (técnicamente no es un virus).

Pequeña utilidad de  Foolish IT para modificar los permisos de Windows y prevenir la infección:




CryptoPrevent también protege contra otras variantes como CryptoWall, CryptoFortress


Una buena recomendación, siguiendo la norma de la balanza (seguridad – usabilidad), es empezar a limitar la ejecución de aplicaciones desde las carpetas de los perfiles de los usuarios.

Para sistemas operativos Windows Vista o superiores:
  • %AppData%\*.exe
  • %AppData%\*\*.exe
  • %LocalAppData%\Temp\rar*\*.exe
  • %LocalAppData%\Temp\7z*\*.exe
  • %LocalAppData%\Temp\wz*\*.exe
  • %LocalAppData%\Temp\*.zip\*.exe
Y con mucho cuidado porque pueden dejar de funcionar las actualizaciones e instalaciones de aplicaciones que si queremos:
  • %LocalAppData%\Temp\*.exe
  • %LocalAppData%\Temp\*\*.exe

Para el sistema operativo Windows XP, La lista de bloqueo corresponde a la siguiente:
  • %AppData%\*.exe
  • %AppData%\*\*.exe
  • %UserProfile%\Local Settings\Temp\rar*\*.exe
  • %UserProfile%\Local Settings\Temp\7z*\*.exe
  • %UserProfile%\Local Settings\Temp\wz*\*.exe
  • %UserProfile%\Local Settings\Temp\*.zip\*.exe
  • %UserProfile%\Local Settings\Temp\*.exe
  • %UserProfile%\Local Settings\Temp\*\*.exe
Añadir las reglas para la extensión .scr (salva pantallas) para los nuevos métodos de ataque.

  • %AppData%\*.scr
  • %AppData%\*\*.scr
  • %UserProfile%\Local Settings\Temp\rar*\*.scr
  • %UserProfile%\Local Settings\Temp\7z*\*.scr
  • %UserProfile%\Local Settings\Temp\wz*\*.scr
  • %UserProfile%\Local Settings\Temp\*.zip\*.scr
  • %UserProfile%\Local Settings\Temp\*.cab\*.scr
  • %UserProfile%\Local Settings\Temp\*.scr
  • %UserProfile%\Local Settings\Temp\*\*.scr


34 comentarios :

Llorenç Lopez dijo...

Podeis añadir en los siguienter remitentes:
sda-courier24.org
sda-courier24.biz
sda-courier24.com
sda-courier24.net

el-brujo dijo...

¡Gracias!. Aquí una lista actualizada:

http://red.cow.cat/blacklists/cryptolocker.txt

José Antonio Arranz dijo...

Hola, soy José Antonio yo tengo la solución para desencriptar los archivos afectados por CRYPTOLOCKER: Virus de correos.

Recupere los archivos encriptados de su ordenador, red y/o cloud
El coste de la herramienta oscila entre los 165 y los 225 euros
No cobramos nada si no conseguimos la desencriptación.
Necesitamos que nos haga llegar 2 archivos encriptados para su estudio a la siguiente dirección de correo soporte@bmatika.es: Un archivo con la extensión .doc (imprescindible) y otro archivo con la extensión .pdf. Ambos inferiores a 1 Mb.

¡El 95% de los casos los hemos resuelto en 48 horas!

Solicite información llamando al 933637353 (ATENCIÓN PERMANENTE)

http://bmatika.es/solucion-para-cryptolocker/

el-brujo dijo...

¿Solución? ¿Qué solución? Si los archivos están cifrados con una clave asimétrica y no se tiene la llave privada no se pueden descifrar......

José Antonio Arranz dijo...

Nuestro departamento de ingeniería ha desarrollado una herramienta específica que consigue el descifrado de los archivos infectados por cryptolocker.

Si quieres hacer una prueba, sin ningún coste, sigue las instrucciones que indicamos en este link http://bmatika.es/solucion-para-cryptolocker/
Saludos!

el-brujo dijo...

Cada archivo se cifra con una llave AES única, que a su vez se cifra con la clave pública RSA recibida desde el servidor C2. La clave cifrada, junto con una pequeña cantidad de metadatos y el contenido de archivos cifrados se vuelven a escribir en el disco, reemplazando el archivo original. Los archivos cifrados sólo se pueden recuperar mediante la obtención de la clave privada RSA retenida exclusivamente por los creadores del malware.

Joe Hernandez dijo...

Sera que José Antonio Arranz es parte de la creacion de ese virus o es estafador ??? haha

jak dijo...

pues yo lo he conseguido chicos. con ayuda de varios programas y mucha paciencia.
he tenido que instalar Recuva, cryptoPrevent y fileRepair y el antivirus de microsoft, pero lo he conseguido quitar de mi ordenador y de un disco duro.
es posible sin tener que pagar un sólo céntimo
doy fe

Nieves dijo...

Saludos. ¿Cómo recupero mis archivos que han modificado y acaban en .ccc?
No tengo copias de seguridad en Windows para restaurar archivos anteriores. ¿Como los desencripto?

Milo dijo...

Hola, se me ha presentado el caso de que una maquina aparentemente se infecto con un virus similar y renombro archivos y los encripto como .mp3, alguien sabe como puedo recuperarlos? gracias.

Kaele dijo...

Hola:
Yo he estado en contacto con Jose Antonio de B-MATIKA después de ver su publicidad en muchos comentarios de foros y a pesar de que en muchos comentarios dice:

“Nuestro departamento de ingeniería ha desarrollado una herramienta específica que consigue el descifrado de los archivos infectados por cryptolocker.”

realmente ellos no desarrollan nada sino que proporcionan la solución de DR WEB pero a un precio bastante alto e intenta a la vez colocarte la versión profesional del antivirus. Recomiendo buscar a otros distribuidores de Dr Web en España, seguramente consigáis un precio mucho mejor.

La lista de distribuidores está aqui:
http://partners.drweb.com/?lng=en

A nosotros Jose Antonio de B-MATIKA nos pidió mas de 400€ y sin embargo en otro distribuidor nos han cobrado alrededor de 100€.

Kaele dijo...

Hola:
Yo he estado en contacto con Jose Antonio de B-MATIKA después de ver su publicidad en muchos comentarios de foros y a pesar de que en muchos comentarios dice:

“Nuestro departamento de ingeniería ha desarrollado una herramienta específica que consigue el descifrado de los archivos infectados por cryptolocker.”

realmente ellos no desarrollan nada sino que proporcionan la solución de DR WEB pero a un precio bastante alto e intenta a la vez colocarte la versión profesional del antivirus. Recomiendo buscar a otros distribuidores de Dr Web en España, seguramente consigáis un precio mucho mejor.

La lista de distribuidores está aqui:
http://partners.drweb.com/?lng=en

A nosotros Jose Antonio de B-MATIKA nos pidió mas de 400€ y sin embargo en otro distribuidor nos han cobrado alrededor de 100€.

Tavete dijo...
Este comentario ha sido eliminado por el autor.
Tavete dijo...
Este comentario ha sido eliminado por el autor.
Tavete Teva dijo...

Muchas gracias, ha sido de mucha utilidad, además lo explicas perfecto! Gran tutorial!!!
Luego de buscar y leer en muchos foros; he encontrado la solución. Hay una manera de descargar 12 desencriptadores (todos funcionan), con sus respectivas identificaciones y manuales. Los hacker hacen esto para ganar dinero, eso está claro; ahora que existan empresas que te cobren entre 180 € y 400 € + IVA + antivirus (un tal José Antonio de B-MATIKA); eso me parece una estafa. Y más cuando Internet te proporciona los mismos programas y gratis. Al tener instalado Dropbox, me encriptó todas mis carpetas en la nube. Les pedí ayuda en sus foros y por correo electrónico al servicio técnico que me envió un mensaje automático diciendo que la seguridad es muy importante y bla bla bla, pero no resolvían mi problema.

Si alguien tiene problemas de encriptado por Crypt0L0ker o similares; no dudes en ponerte en contacto conmigo y te doy el enlace para que resuelvas tus problemas. GRATIS!!!!

kathya torres dijo...

hola tavete tengo un problrma com .encrypted se me ha codificado tienes la solucion te lo agradeceria email nicorobin120@hotmail.com

Carlos María dijo...

Tavete: he sido infectado por cryptovirus. Me puedes ayudar? carlosmaria@zonajar.net

Jaime Romanillos dijo...

Hola Tavete, yo también he sido infectado por el virus cryptolocker y me ha encriptado los archivos añadiendo la extensión .encrypted. Puedes enviarme el enlace con la solución a jaime_galvito@hotmail.com Gracias anticipadas.

Emilio José Herráez Ávila dijo...

Hola Tavete se me ha infectado un portátil con este virus, puedes por favor, mandarme la solución? Muchísimas gracias de antemano. ejha79@gmail.Com

Unknown dijo...

Hola tengo toda la tesis de la Facultad encriptada, y me va a dar un yuyu, Sr, Tavete, si pudiese enviarme la información estaria agradecido. mi email es mikemaik2016@gmail.com Eternamente agradecido

Unknown dijo...

Tavete, me podrías pasar el link que dices? Ya estoy desesperada y no encuentro solución para recuperar mis archivos. Gracias. Mi mail es may_gon@hotmail.com

Unknown dijo...

Tavete, si me lo puedes enviar te lo agradeceria mucho
sonsoles.personal@gmail.com

José Luis dijo...

Hola he intentado varias cosas pero no hay manera. Sabéis de alguna herramienta que permita obtener la clave de encriptado a partir de un fichero y que luego permita desincriptar el resto de ficheros. Mi correo leolamela@gmail.com

R.Lucas Jong dijo...

Buenos días! Habéis recibido el link de Tavete para recuperar los ficheros? Y os ha funcionado?

R.Lucas Jong dijo...

Buenos días! Habéis recibido el link de Tavete para recuperar los ficheros? Y os ha funcionado?

REPORTERS DEL ROSER dijo...

Tavete. Estoy desesperado me puedes mandar la solución. Muchas gracias: solmeda@hotmail.com

Prueba dijo...

Tavete, me podrías enviar la información para acabar con el encriptado de los archivos ?
ajg812@gmail.com
Gracias

master dijo...

Tavete, si me podes ayudar te lo agradecería, tengo mis archivos encriptados con extencion .crypt. mi dirección es adrianmoyano85@gmail.com
Estaría muy agradecido.

Rafael Polanco dijo...

Si en realidad fuera gratuito el enlace y no hay trabas, por que no lo publicas directamente en la discusion y listo. punto pelota

Tavete dijo...

Buenas tardes a todos,

Antes de descargar nada, tienes que quitar el virus, Norton Power Eraser es una muy buena herramienta y es gratis. Para quedarte 100% tranquilo, lo mejor es formatear el pc. Restaura la compu a una fecha anterior y puede que no necesites los desencriptadores.

Aquí tienes el link,

https://bitbucket.org/jadacyrus/ransomwareremovalkit/downloads

Te recomiendo que mires este video antes:

https://www.youtube.com/watch?v=_O6D1ibwvBM

Espero les sirva como a mi.

Saludos


TAVETE

Tavete dijo...

Perdonen por no responder antes, estuve enfermo! Ya tienen el link por si la palmo (Rafael Polanco)!

Hay un chico que hace videos en YouTube (el Kintano....) que entiende mucho del virus y al tener pocos suscriptores, si le escribes, te responde en poco tiempo! Ese es un crack!! Saludos pájaros!

Tavete dijo...

Perdonen por no responder antes, estuve enfermo! Ya tienen el link por si la palmo (Rafael Polanco)!

Hay un chico que hace videos en YouTube (el Kintano....) que entiende mucho del virus y al tener pocos suscriptores, si le escribes, te responde en poco tiempo! Ese es un crack!! Saludos pájaros!

Yo mismo dijo...

La solución es gratuita bien en http://www.solucioncryptolocker.com/ o al correo de incidencias del INCIBE, tardaron una hora en enviarme el programa para desencriptar

Pablo Fernandez dijo...

El virus que yo tengo es el crypt0l0cker y no sale en el link de Tavete (gracias de todos modos).
En solucioncryptolocker.com dudo que lo hagan de forma gratuita, ya que son partners de DrWeb que cobra 180euros por ello.
Alguien sabe alguna otra forma de descrifarlo?

Publicar un comentario en la entrada

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.