Descubren cómo recuperar archivos afectados por TeslaCrypt

Escrito por Adrián Crespo
Seguridad

Paree que los investigadores comienzan a encontrar la luz al final del túnel en lo referido a los ransomware. Aunque aún son muchas las amenazas de este tipo, en esta ocasión expertos de Kasperksy han descubierto la forma de recuperar los archivos afectados por las versiones más antiguas del malware TeslaCrypt.

Tal y como es habitual en este tipo de amenazas, una vez han llegado al equipo realizan el cifrado de un número indeterminado de archivos, modificando posteriormente el fondo de escritorio o bien creando un archivo en el que se explica todo lo sucedido y los pasos a seguir si se está interesado en recuperar el acceso a estos. Son muchos los usuarios que han procedido al pago de la cantidad solicitada y luego no han recibido la clave.

Pero a partir de ahora esto ya no será un problema porque desde Kasperksy han ideado una solución partiendo un problema encontrado durante el proceso de cifrado, pudiéndose aplicar esta solución a todas las versiones del ransomware excepto a la 3.0, aparecida recientemente.

Es decir, los archivos cifrados que se pueden recuperar son aquellos que poseen la extensión .ECC, .EZZ, .EXX, .XYZ, .ZZZ, .AAA, .ABX, .CCC y .VVV, mientras que los que no se pueden recuperar son .TTT, .XXXy .MICRO, es decir, los correspondientes a la última versión a la que hemos hecho referencia con anterioridad.

Distribuyen una nueva versión de TeslaCrypt en una campaña spam

En definitiva, todas las versiones de esta malware que almacenan la clave de cifrado en el propio equipo afectado permiten gracias a un fallo recuperar el acceso a los archivos.

Un fallo en el almacenamiento de la clave

La amenaza utiliza el algoritmo de cifrado AES para convertir los datos en inaccesibles. El autor decidió utilizar la misma clave para todos los usuarios y después proteger esta con un cifrado mucho más seguro. Sin embargo, todo parece apuntar que no ha sido suficiente y se ha conseguido esquivar este y recuperar los archivos afectados.

Cómo recuperar el acceso a los archivos afectados por TeslaCrypt

Si estás afectado por esta amenaza hay que decir en primer lugar que no existe una versión pública que permiat desbloquear los archivos. El motivo no es otro preservar de esta forma que los ciberdelincuentes encuentren el problema y lo resuelvan. Sin embargo, sí que existe un foro de afectados donde se ofrece soporte y se explica cómo se puede recuperar el acceso.

Para recuperar el acceso el sistema es necesario aplicar la fuerza bruta y así hacerse con la clave que cifró los archivos. Se han dado casos en que en cinco minutos el problema resuelto y otros en los que ha sido necesario un proceso de varias horas.

Fuente | Softpedia


Continúa leyendo
  • adrian hernandeaz

    hola adrian, tengo una invasión de este virus ramsoware RSA 4096, a encriptado todos mis archivos con la extension .MICRO, el spyhumter4 al igual de otros antivirus y antimalawares, no pueden desintarlo, trabajo con dos personas de sistemas pero les es imposible poder eliminar este virus ya que no encuentran los registros, tampoco da puntos de restauracion antes de la fecha de haber iniciado la infeccion, el virus de duplica por cada archivo que tengas en tu ordenador no permite entrar en modo seguro.
    tienes tu alguna forma de ayudarme a desencriptar los archivos??

    • Frenetic

      Hola amigo muy buena te ablo para ver que en caso pudiste encontrar soluciòn que tengo el mismo problema te pido por favor en caso de que hayas encontrado la soluciòn lo puedas compartir por favor .

  • Ricardo

    Hola compis. En mi caso me ha encriptado los ficheros añadiendo la extensión .mp3. Además, me ha dañado los ficheros para poder restaurar tanto el sistema, como las versiones anteriores de ficheros.

    A través del Malwarebytes he podido desinfectarlo, pero no he podido ni restaurar el sistema, ni desencriptar los ficheros.

    Conocéis alguna solución?

    Muchas gracias, un saludo.

    • isaac leal colorado

      Buenas yo también se me ha infectados mi Pc. Has podido recuperar los archivos.? Gracias

      • elvis

        igual tengo mis archivos encriptadors a extencion MP3 si alguien sabe estare pendinte tabien para este malware

    • mangelmf

      Echale un vistazo a este video https://www.youtube.com/watch?v=KUwy_9mO42c

      El programa se llama TeslaDecoder, yo consegui recuperar todos los ficheros infectados

    • Roberto

      Buen día, lean detenidamente el artículo que lograran recuperar fotos videos y documentos con la aplicación de ESET !!!! que es gratis. Yo la descargue, la ejecute en mi disco donde guarde mis archivos infectados con extensión MP3 y después de mas de un año logré recuperar todos mis archivos, saludos! gracias Redeszone y Eset!

  • Julia I. Rodriguez

    Tengo todos mis archivos .jpg; txt y Word, con una extensión .Micro que no me deja abrir los archivos,
    qué hago, por favor, mis fotos, mis recuerdos, y algunos documentos importantes.

  • Julia I. Rodriguez

    Hola, alguien puede ayudarme a resolver cómo salvar mis ficheros dañados por el virus que deja una extensión .Micro.

  • José Antonio

    Nosotros podemos desencriptar distintos casos de encriptación no sólo este, si es su caso, si ha sido encriptado, no dude en abrir in ticket de soporte en bmatika.es/solucion-para-cryptolocker/ siguiendo las instrucciones y le haremos un estudio de desencriptación sin compromiso.

  • carmen bonet baiget

    Hola. Por fin han conseguido la herramienta para desencriptar los archivos del Tesla. Me la acaban de enviar y funciona estupendamente. Adjunto los datos:
    Herramienta de descifrado para el Ransomware TeslaCrypt
    Fecha aviso: 19/05/2016
    El CCN-CERT avisa a todos los posibles afectados por el Ransomware TeslaCrypt que tienen a su disposición una herramienta de descifrado desarrollada por la compañía ESET. En concreto para las variantes v3 o v4 de este código dañino diseñado para instalarse en el sistema, comunicarse con un dominio de Internet, cifrar ciertos archivos y extorsionar a la víctima mostrando una notificación con el procedimiento de pago para rescatar los archivos cifrados.
    Si los archivos de su organización cifrados tenían las extensiones .xxx, .ttt, .micro, .mp3 o no tuvieron cambios, la herramienta de ESET gratuita consigue descifrar los archivos afectados por estas variantes.
    Al parecer, los analistas de ESET consiguieron la clave maestra universal de descifrado de este Ransomware lo que les ha permitido desarrollar la herramienta.
    El CCN-CERT desea señalar que el Ransomware es, a día de hoy, una de las ciberamenazas más detectadas por lo que es necesaria una correcta prevención frente a este tipo de ataques. En su informe público CCN-CERT IA-01/16 Medidas de Seguridad contra Ransomware pueden encontrar las principales medidas para protegerse de estas amenazas.
    Más información:
    Comunicado de ESET: http://www.eset.com/us/resources/detail/eset-releases-decryptor-for-recent-variants-of-teslacrypt-ransomware/

    Instrucciones: http://support.eset.com/kb6051/
    Atentamente,
    Equipo CCN-CERT

    • Jorge

      No funciona para .zzz??

  • jagolas

    Por favor.Adia de hoy no hay un desencryptador del cryp1 para los archivos jpg,docx y etc de este ransomware?.
    Les ruego que si existe algo me lo comuniquen.tengo un comercio y he perdido 3 meses de datos en el tpv y no sé qué mas hacer

    • CRISTINA

      Buenos días, hace 3 días me enviaron un virus por gmail, lamentablemente no me di cuenta lo abrí y todos mis documentos de trabajo fueron dañados con ese virus ransomware , si me pueden ayudar seria excelente

  • José Hernández

    Si buscas solución para recuperar los ficheros encriptados con crpytolocker, puedes contactar con nosotros en el email xxxxxxx@gmail.com.

    Te solucionamos tus problemas

Últimos análisis

Valoración RZ
10
Valoración RZ
7
Valoración RZ
9
Valoración RZ
10
Valoración RZ
8
Valoración RZ
10
Valoración RZ
9
Valoración RZ
9
Valoración RZ
10