Mejores herramientas para desencriptar Ransomware

En un mundo que está constantemente en línea y en el cual diariamente debemos estar ingresando múltiple información delicada no estamos susceptibles de caer en manos de los atacantes y como prueba de ello hace poco pudimos comprobar como ransomware uso su ataque Wannacry con el cual ataco de forma simultánea a empresas y usuarios encriptando su información y exigiendo a cambio un pago, siendo el valor mínimo de USD 30, por obtener la contraseña de recuperación de la información lo cual no es siempre confiable en un 100%.

 

Conoce tipos de Ransomware (WannaCry, Wanna Decrypt0r 2.0, MBR, Winlocker, Jigsaw, Maktub etc. Cómo recuperar archivos y protegerte del ataque.

 

El punto fundamental del ataque de ransomware consiste en encriptar todos los archivos del equipo para posteriormente exigir el dinero en un tiempo solicitado o de lo contrario se irán eliminando cierta cantidad de archivos y el valor a pagar irá en aumento:

 

 

Por esta razón hoy Solvetic analizará en detalle las mejores aplicaciones para desencriptar los archivos afectados y lograr recuperar la mayor cantidad de archivos obteniendo la integridad y disponibilidad de estos.

 

Antes de hacer uso de estas herramientas debemos tener en cuenta lo siguiente:

  • Cada tipo de encriptación posee un tipo de encriptación diferente por lo cual debemos identificar cual es el tipo de ataque para usar la herramienta apropiada.
  • El uso de cada herramienta cuenta con un nivel de instrucciones diferente por lo cual debemos analizar en detalle el sitio web del desarrollador.

 

RakhniDecryptor

 

Desarrollado por una de las mejores compañías de seguridad como lo es Kaspersky Lab, esta aplicación ha sido desarrollada con el fin de desencriptar algunos de los tipos de ataque más fuertes de ransomware.

 

Algunos de los tipos de malware que RakhniDecryptor ataca son:
  • Trojan-Ransom.Win32.Rakhni
  • Trojan-Ransom.Win32.Agent.iih
  • Trojan-Ransom.Win32.Autoit
  • Trojan-Ransom.Win32.Aura
  • Trojan-Ransom.AndroidOS.Pletor
  • Trojan-Ransom.Win32.Rotor
  • Trojan-Ransom.Win32.Lamer
  • Trojan-Ransom.Win32.Cryptokluchen
  • Trojan-Ransom.Win32.Democry
  • Trojan-Ransom.Win32.Bitman version 3 and 4
  • Trojan-Ransom.Win32.Libra
  • Trojan-Ransom.MSIL.Lobzik
  • Trojan-Ransom.MSIL.Lortok
  • Trojan-Ransom.Win32.Chimera
  • Trojan-Ransom.Win32.CryFile
  • Trojan-Ransom.Win32.Nemchig
  • Trojan-Ransom.Win32.Mircop
  • Trojan-Ransom.Win32.Mor
  • Trojan-Ransom.Win32.Crusis
  • Trojan-Ransom.Win32.AecHu
  • Trojan-Ransom.Win32.Jaff

 

Recordemos que para cuando ransomware ataca e infecta un archivo edita su extensión añadiendo una línea adicional de la siguiente manera:

Antes: archivo.docx / después: archivo.docx.bloqueado
Antes 1.docx / después 1.dochb15
Cada uno de los malware mencionados anteriormente posee una serie de anexos de extensión con los cuales se encripta el archivo afectado, estas son dichas extensiones las cuales es importante conocer para tener un conocimiento más detallado de estas:

 

Trojan-Ransom.Win32.Rakhni
Cuenta con las siguientes extensiones:
  • <nombre del archivo>.<extensión original>.<locked>
  • <nombre del archivo>.<extensión original>.<kraken>
  • <nombre del archivo>.<extensión original>.<darkness>
  • <nombre del archivo>.<extensión original>.<oshit>
  • <nombre del archivo>.<extensión original>.<nochance>
  • <nombre del archivo>.<extensión original>.<oplata@qq_com>
  • <nombre del archivo>.<extensión original>.<relock@qq_com>
  • <nombre del archivo>.<extensión original>.<crypto>
  • <nombre del archivo>.<extensión original>.<helpdecrypt@ukr.net>
  • <nombre del archivo>.<extensión original>.<pizda@qq_com>
  • <nombre del archivo>.<extensión original>.<dyatel@qq_com>
  • <nombre del archivo>.<extensión original>.<nalog@qq_com>
  • <nombre del archivo>.<extensión original>.<chifrator@gmail_com>
  • <nombre del archivo>.<extensión original>.<gruzin@qq_com>
  • <nombre del archivo>.<extensión original>.<troyancoder@gmail_com>
  • <nombre del archivo>.<extensión original>.<coderksu@gmail_com_id373>
  • <nombre del archivo>.<extensión original>.<coderksu@gmail_com_id371>
  • <nombre del archivo>.<extensión original>.<coderksu@gmail_com_id372>
  • <nombre del archivo>.<extensión original>.<coderksu@gmail_com_id374>
  • <nombre del archivo>.<extensión original>.<coderksu@gmail_com_id375>
  • <nombre del archivo>.<extensión original>.<coderksu@gmail_com_id376>
  • <nombre del archivo>.<extensión original>.<coderksu@gmail_com_id392>
  • <nombre del archivo>.<extensión original>.<coderksu@gmail_com_id357>
  • <nombre del archivo>.<extensión original>.<coderksu@gmail_com_id356>
  • <nombre del archivo>.<extensión original>.<coderksu@gmail_com_id358>
  • <nombre del archivo>.<extensión original>.<coderksu@gmail_com_id359>
  • <nombre del archivo>.<extensión original>.<coderksu@gmail_com_id360>
  • <nombre del archivo>.<extensión original>.<coderksu@gmail_com_id20>

 

Trojan-Ransom.Win32.Mor
Posee la siguiente extensión:
<nombre del archivo>.<extensión original>_crypt

 

Trojan-Ransom.Win32.Autoit
Posee la siguiente extensión:
<<nombre del archivo>.<extensión original>.<_crypt@india.com_.caracteres aleatorios>

 

Trojan-Ransom.MSIL.Lortok
Incluye las siguientes extensiones:
  • <nombre del archivo>.<extensión original>.<cry>
  • <nombre del archivo>.<extensión original>.<AES256>

 

Trojan-Ransom.AndroidOS.Pletor
Posee la siguiente extensión:
<nombre del archivo>.<extensión original>.<enc>

 

Trojan-Ransom.Win32.Agent.iih
Posee la siguiente extensión:
<nombre del archivo>.<extensión original>+<hb15>

 

Trojan-Ransom.Win32.CryFile
Posee la siguiente extensión:
<nombre del archivo>.<extensión original>.<encrypted>

 

Trojan-Ransom.Win32.Democry
Posee las siguientes extensiones:
  • <nombre del archivo>.<extensión original>+<._date-time_$email@domain$.777>
  • <nombre del archivo>.<extensión original>+<._date-time_$email@domain$.legion>

 

Trojan-Ransom.Win32.Bitman versión 3
Posee las siguientes extensiones:
  • <nombre del archivo>.<xxx>
  • <nombre del archivo>.<ttt>
  • <nombre del archivo>.<micro>
  • <nombre del archivo>.<mp3>

 

Trojan-Ransom.Win32.Bitman versión 4
Posee la siguiente extensión:
<nombre del archivo>.<extensión original> (el nombre y extensión no se ve afectado)

 

Trojan-Ransom.Win32.Libra
Posee las siguientes extensiones:
  • <nombre del archivo>.<encrypted>
  • <nombre del archivo>.<locked>
  • <nombre del archivo>.<SecureCrypted>

 

Trojan-Ransom.MSIL.Lobzik
Posee las siguientes extensiones:
  • <nombre del archivo>.<fun>
  • <nombre del archivo>.<gws>
  • <nombre del archivo>.<btc>
  • <nombre del archivo>.<AFD>
  • <nombre del archivo>.<porno>
  • <nombre del archivo>.<pornoransom>
  • <nombre del archivo>.<epic>
  • <nombre del archivo>.<encrypted>
  • <nombre del archivo>.<J>
  • <nombre del archivo>.<payransom>
  • <nombre del archivo>.<paybtcs>
  • <nombre del archivo>.<paymds>
  • <nombre del archivo>.<paymrss>
  • <nombre del archivo>.<paymrts>
  • <nombre del archivo>.<paymst>
  • <nombre del archivo>.<paymts>
  • <nombre del archivo>.<gefickt>
  • <nombre del archivo>.<uk-dealer@sigaint.org>

 

Trojan-Ransom.Win32.Mircop
Posee la siguiente extensión:
<Lock>.<nombre del archivo>.<extensión original>

 

Trojan-Ransom.Win32.Crusis
Posee la siguiente extensión:
  • .ID<…>.<email>@<server>.<domain>.xtbl
  • .ID<…>.<email>@<server>.<domain>.CrySiS
  • .id-<…>.<email>@<server>.<domain>.xtbl
  • .id-<…>.<email>@<server>.<domain>.wallet
  • .id-<…>.<email>@<server>.<domain>.dhrama
  • .id-<…>.<email>@<server>.<domain>.onion
  • .<email>@<server>.<domain>.wallet
  • .<email>@<server>.<domain>.dhrama
  • .<email>@<server>.<domain>.onion

 

Trojan-Ransom.Win32. Nemchig
Posee la siguiente extensión:
<nombre del archivo>.<extensión original>.<safefiles32@mail.ru>

 

Trojan-Ransom.Win32.Lamer
Posee las siguientes extensiones:
  • <nombre del archivo>.<extensión original>.<bloked>
  • <nombre del archivo>.<extensión original>.<cripaaaa>
  • <nombre del archivo>.<extensión original>.<smit>
  • <nombre del archivo>.<extensión original>.<fajlovnet>
  • <nombre del archivo>.<extensión original>.<filesfucked>
  • <nombre del archivo>.<extensión original>.<criptx>
  • <nombre del archivo>.<extensión original>.<gopaymeb>
  • <nombre del archivo>.<extensión original>.<cripted>
  • <nombre del archivo>.<extensión original>.<bnmntftfmn>
  • <nombre del archivo>.<extensión original>.<criptiks>
  • <nombre del archivo>.<extensión original>.<cripttt>
  • <nombre del archivo>.<extensión original>.<hithere>
  • <nombre del archivo>.<extensión original>.<aga>

 

Trojan-Ransom.Win32.Cryptokluchen
Posee las siguientes extensiones:
  • <nombre del archivo>.<extensión original>.<AMBA>
  • <nombre del archivo>.<extensión original>.<PLAGUE17>
  • <nombre del archivo>.<extensión original>.<ktldll>

 

Trojan-Ransom.Win32.Rotor
Posee las siguientes extensiones:
  • <nombre del archivo>.<extensión original>.<.-.DIRECTORAT1C@GMAIL.COM.roto>
  • <nombre del archivo>.<extensión original>.<.-.CRYPTSb@GMAIL.COM.roto>
  • <nombre del archivo>.<extensión original>.<.-.DIRECTORAT1C8@GMAIL.COM.roto>
  • <nombre del archivo>.<extensión original>.<!______________DESKRYPTEDN81@GMAIL.COM.crypt>
  • <nombre del archivo>.<extensión original>.<!___prosschiff@gmail.com_.crypt>
  • <nombre del archivo>.<extensión original>.<!_______GASWAGEN123@GMAIL.COM____.crypt>
  • <nombre del archivo>.<extensión original>.<!_________pkigxdaq@bk.ru_______.crypt>
  • <nombre del archivo>.<extensión original>.<!____moskali1993@mail.ru___.crypt>
  • <nombre del archivo>.<extensión original>.<!==helpsend369@gmail.com==.crypt>
  • <nombre del archivo>.<extensión original>.<!-==kronstar21@gmail.com=--.crypt>

 

Trojan-Ransom.Win32.Chimera
Posee las siguientes extensiones:
  • <nombre del archivo>.<extensión original>.<crypt>
  • <nombre del archivo>.<extensión original>.<4 random characters>

 

Trojan-Ransom.Win32.AecHu

Posee las siguientes extensiones:
  • <nombre del archivo>.<aes256>
  • <nombre del archivo>.<aes_ni>
  • <nombre del archivo>.<aes_ni_gov>
  • <nombre del archivo>.<aes_ni_0day>
  • <nombre del archivo>.<lock>
  • <nombre del archivo>.<decrypr_helper@freemail_hu>
  • <nombre del archivo>.<decrypr_helper@india.com>
  • <nombre del archivo>.<~xdata>

 

Trojan-Ransom.Win32.Jaff
Posee las siguientes extensiones:
  • <nombre del archivo>.<jaff>
  • <nombre del archivo>.<wlu>
  • <nombre del archivo>.<sVn>

 

Podemos ver que son bastantes extensiones y es ideal tenerlas presentes para identificar en detalle el tipo de archivo afectado.
Esta aplicación la podremos descargar en el siguiente enlace:

 

 

Una vez descargado extraemos el contenido y ejecutaremos el archivo en el equipo infectado y será desplegada la siguiente ventana:

 

 

Podemos pulsar en la línea Change parameters para definir en qué tipo de unidades se ha de ejecutar el análisis tales como Unidades USB, discos duros o unidades de red. Allí pulsaremos en Start scan con el fin de iniciar el análisis y respectiva desencriptacion de los archivos afectados.

 

Nota:
En caso de que algún archivo este afectado con la extensión _crypt el proceso puede llegar a tardar hasta 100 días por lo cual se recomienda contar con paciencia.

 

 

 

Rannoh Decryptor

 

Esta es otra de las opciones que nos ofrece Kaspersky Lab la cual está enfocada en desencriptar archivos que han sido atacados con el malware Trojan-Ransom.Win32. Adicional puede detectar malware como Fury, Cryakl, AutoIt, Polyglot aka Marsjoke y Crybola.

 

Para identificar las extensiones afectadas por estos ransomware debemos tener presente lo siguiente:

 

Trojan-Ransom.Win32.Rannoh
Las extensiones que añade este malware son:
<nombre_original>. <Cuatro_letras_aleatorias>

 

Trojan-Ransom.Win32.Cryakl
Con esta infección tendremos la siguiente extensión:
<nombre_original>. {CRYPTENDBLACKDC} (Esta etiqueta será añadida al final del archivo)

 

Trojan-Ransom.Win32.AutoIt
Este ataque afecta servidores de correo y presenta la siguiente sintaxis:
<Nombre del archivo>@<servidor de correo>_.<Numero aleatorio de caracteres>

 

Trojan-Ransom.Win32.CryptXXX
Al ser infectados con este ransomware tendremos alguna de las siguientes extensiones:
  • <nombre_original> .crypt
  • <nombre_original> .crypz
  • <nombre_original> .cryp1

 

Esta herramienta podremos descargarla en el siguiente enlace:

 

 

Al extraer el archivo ejecutable basta con ejecutar el archivo y pulsar en el botón Start scan para iniciar el proceso de análisis y desencriptacion de los archivos afectados.

 

 

 

 

WanaKiwi

 

Esta sencilla pero útil herramienta está basada en wanadecrypt la cual nos permite llevar a cabo las siguientes tareas:

  • Descifrar archivos infectados
  • Recuperar la clave privada del usuario para posteriormente almacenarla como 00000000.dky.
Esta herramienta usa el método de extracción Primes el cual brinda la oportunidad de recuperar los números primos que no se limpiaron durante el proceso de CryptReleaseContext (). La ejecución de esta herramienta está basada en línea de comandos y su sintaxis será la siguiente:
wanakiwi.exe [/pid:PID|/Proceso:programa.exe]
En esta sintaxis el PID es opcional ya que Wanakiwi buscara los PID en cualquiera de los siguientes procesos:
  • Wnry.exe
  • Wcry.exe
  • Data_1.exe
  • Ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa.exe
  • Tasksche.exe

 

Wanakiwi podrá ser descargada en el siguiente enlace:

 

 

Wanakiwi solo es compatible con los siguientes sistemas operativos, Windows XP, Windows Vista, Windows 7, Windows Server 2003 y 2008. Algo importante a tener en cuenta es que Wanakiwi basa su proceso en el escaneo de los espacios que han sido generados por dichas claves, en caso de haber reiniciado el equipo después de una infección o haber eliminado un proceso lo más posible es que Wanakiwi no pueda llevar a cabo su tarea de forma correcta.

 

 

 

 

Emsisoft

 

Emsisoft ha desarrollado diversos tipos de desencriptadores para ataques de malware como:

  • BadBlock
  • Apocalyse
  • Xorist
  • ApocalypseVM
  • Stampado
  • Fabiansomware
  • Filadelfia
  • Al-Namrood
  • FenixLocker
  • Globe (versión 1, 2 y 3)
  • OzozaLocker
  • GlobeImposter
  • NMoreira
  • CryptON Cry128
  • Amnesia (versión 1 y 2)
Cada una de estas herramientas podrán ser descargadas en el siguiente enlace:

 

 

Algunas de las extensiones que encontraremos con:

 

Amnesia:
Es uno de los ataques más comunes, está escrito en Delphi y encripta los archivos usando AES-256 y esta añade la extensión *.amnesia al final del archivo infectado. Amnesia añade la infección en el registro de Windows con el fin de que este sea ejecutado en cada inicio de sesión.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

 

Cry128:
Cey128 fundamenta su ataque en las conexiones RDP y encripta los archivos usando versiones personalizadas de AES y RSA.
Los archivos infectados tendrán las siguientes extensiones:
  • .fgb45ft3pqamyji7.onion.to._
  • .id__gebdp3k7bolalnd4.onion._
  • .id__2irbar3mjvbap6gt.onion.to._
  • .id-_[qg6m5wo7h3id55ym.onion.to].63vc4

 

Cry9:
Cry9 es la versión avanzada del ransomware CryptON y realiza los ataques a través de conexiones RDP usando los algoritmos de encriptación AES, RSA y SHA-512.
Los archivos infectados con Cry9 tendran las siguientes extensiones:
  • .-juccy[a]protonmail.ch.
  • .id-
  • .id-_[nemesis_decryptor@aol.com].xj5v2
  • .id-_r9oj
  • .id-_x3m
  • .id-_[x3m-pro@protonmail.com]_[x3m@usa.com].x3m
  • .-sofia_lobster[a]protonmail.ch
  • ._[wqfhdgpdelcgww4g.onion.to].r2vy6

 

Damage:
Este ransomware esta escrito en Delphi usando los algoritmos SHA-1 y Blowfish encriptando los primeros y últimos 8 Kb del archivo afectado.

 

Los archivos con esta extensión poseen la extensión .damage.

 

CryptON

Es otro de los ransomware que realizan sus ataques a través de RDP usando algoritmos RSA, AES-256 y SHA-256. Los archivos afectados con dicho ransomware tendrán las siguientes extensiones:
  • .id-_locked
  • .id-_locked_by_krec
  • .id-_locked_by_perfect
  • .id-_x3m
  • .id-_r9oj
  • .id-_garryweber@protonmail.ch
  • .id-_steaveiwalker@india.com_
  • .id-_julia.crown@india.com
  • .id-_tom.cruz@india.com_
  • .id-_CarlosBoltehero@india.com_

 

En el siguiente enlace podemos ver información detallada de las diversas extensiones de los demás tipos de ransomware que ataca Emsisoft:

 

 

 

 

 

Avast Decryptor Tool

 

Otro de los líderes en el desarrollo de software de seguridad es Avast el cual, aparte de las herramientas antivirus nos ofrece múltiples herramientas para desencriptar archivos en nuestro sistema que han sido afectados por múltiples tipos de ransomware.

 

Gracias a Avast Decryptor Tool podremos hacer frente a diversos tipos de ransomware como:
  • Bart: Añade la extensión .bart.zip a los archivos infectados
  • AES_NI: Añade las extensiones .aes_ni, .aes256 y .aes_ni_0day a los archivos infectados usando encriptación AES de 256 bits.
  • Alcatraz. Añade la extensión Alcatraz usando encriptación AES-256 de 256 bits.
  • Apocalypse: Añade las extensiones .encrypted, .FuckYourData, .locked, .Encryptedfile, o .SecureCrypted a los archivos infectados.
  • Crypt888: Añade la extensión Lock. Al inicio del archivo infectado
  • CryptopMix_: Añade las extensiones .CRYPTOSHIELD, .rdmk, .lesli, .scl, .code, .rmd a los archivos usando encriptación AES de 256 bits
  • EncriptTile: Añade la palabra encripTile en alguna parte del archivo.
  • BadBlock: este ransomware no añade extensiones pero despliega un mensaje llamado Help Decrypt.html.
  • FindZip: Añade la extensión .crypt en los archivos afectados especialmente en ambientes macOS.
  • Jigsaw: Este ransomware añade alguna de las siguientes extensiones en los archivos afectados .kkk, .btc, .gws, .J, .encrypted, .porno, .payransom, .pornoransom, .epic, .xyz, .versiegelt, .encrypted, .payb, .pays, .payms, .paymds, .paymts, .paymst, .payrms, .payrmts, .paymrts, .paybtcs, .fun, .hush, .uk-dealer@sigaint.org, o .gefickt.
  • Legion: Añade las extensiones ._23-06-2016-20-27-23_$f_tactics@aol.com$.legion o .$centurion_legion@aol.com$.cbf a los archivos infectados.
  • XData: Añade la extensión .~xdata~ a los archivos encriptados.

 

Para descargar alguna de las herramientas para cada uno de estos tipos de ransomware podemos visitar el siguiente enlace:

 

 

Nota:
Allí encontraremos algunos otros tipos de ataque adicionales.

 

 

 

 

AVG Ransomware Decryption Tools

 

Para nadie es un secreto que otra de las empresas líderes en materia de seguridad es AVG la cual nos permite descargar de forma gratuita múltiples herramientas que han sido desarrolladas especialmente para los siguientes tipos de ataques:

 

Tipos de ataques
  • Apocalypse: Este ataque añade las extensiones .encrypted, .FuckYourData, .locked, .Encryptedfile, o .SecureCrypted a los archivos afectados.
  • Badblock: Añade el mensaje Help Decrypt.html en el equipo infectado.
  • Bart: Este ataque añade la extensión .bart.zip en los archivos infectados.
  • Crypt888: Añade al inicio de los archivos infectado la extensión Lock.
  • Legion: Este ataque añade al final de los archivos afectados las extensiones ._23-06-2016-20-27-23_$f_tactics@aol.com$.legion o .$centurion_legion@aol.com$.cbf
  • SZFLocker: Este ransomware añade la extensión .szf en los archivos
  • TeslaCrypt: Este tipo de ataque no encripta los archivos pero despliega el siguiente mensaje una vez encriptados los archivos.

 

 

Alguna de estas herramientas podrán ser descargados en el siguiente enlace.

 

 

 

NoMoreRansom

 

Esta aplicación ha sido diseñada en conjunto por compañías como Intel, Kaspersky y la Europool y se concentra en desarrollar y crear herramientas que están enfocadas en ataques de ransomware como:

 

Tipos de ataques
  • Rakhni: Esta herramienta desencripta archivos afectados por Jaff, XData, AES_NI, Dharma, Crysis, Chimera, Rakhni, Agent.iih, Aura,Autoit, Pletor, Rotor, Lamer, Lortok, Cryptokluchen, Democry, Bitman (TeslaCrypt) versión 3 y 4.
  • Mole: Encripta archivos con la extensión mole
  • Cry128
  • BTC
  • Cry9
  • Damage
  • Alcatraz
  • Bart entre muchas otras.

 

En el siguiente enlace podremos descargar cada una de estas herramientas y conocer en detalle como estas afectan los archivos:


Muchas de estas aplicaciones son, como hemos mencionado, desarrolladas en conjunto con otras empresas.

 

 

 

De esta forma tenemos múltiples opciones para contrarrestar los ataques de ransomware y contar con la disponibilidad de nuestros archivos.

 

Como todos sabemos estamos en un mundo rodeado de información que día a día requiere mejores niveles de seguridad, nosotros como administradores y jefes de IT somos los directos responsables de brindar la seguridad para que los datos de nuestra organización, o los nuestros, estén a salvo.

Solvetic Seguridad

(Staff)
Soy redact@r oficial de Solvetic.com!
Te Puede Interesar
Últimas Recopilaciones