En la mayoría de los casos, si un ransomware logra infectar tu
máquina, no hay mucho que puedas hacer. Por suerte, de vez en cuando la
policía y las compañías de seguridad cibernética logran neutralizar los
servidores de comando y control de ciertos ransomwares y recuperan
información de ellos. Esta información es muy útil, ya que ayuda a crear
herramientas de descifrado que permiten recuperar archivos de los
usuarios que fueron bloqueados por estos malwares. Recientemente, la
ciber-policía holandesa y Kaspersky Lab crearon una de estas soluciones
para las víctimas del ransomware CoinVault.
Si quieres saber más acerca de CoinVault, puedes leer este reporte detallado de Securelist.
Si estás interesando en saber cómo Kaspersky creó la solución que
descifrar los códigos criptográficos que bloqueaban los archivos,
chequea este artículo. Ahora bien, si quieres saber cómo puedes deshacerte de este ransomware y recuperar tus archivos, continúa leyendo:
Paso 1: comprueba si estás infectado con CoinVault
Primero
debes asegurarte de que tus archivos fueron bloqueados por CoinVault y
no por otro ransomware. Esto es bastante fácil de determinar: si
CoinVault infectó tu sistema, ésta será la imagen que aparece en tu
pantalla:
Paso 2: consigue la dirección de la billetera Bitcoin
En
la parte de abajo a la derecha de la ventana de CoinVault verás la
dirección de la billetera Bitcoin de este ransomware (está marcada con
una elipse negra en la imagen de arriba). Es muy importante que copies y
guardes esta dirección.
Paso 3: Consigue la lista de archivos encriptados
En
la parte superior izquierda de la ventana verás un botón que dice:
“View encrypted filelist” -ver la lista de archivos encriptados- (está
marcado con una elipse azul en la imagen de arriba). Clickea en este
botón y graba la lista en un archivo aparte.
Paso 4: Elimina el ransomware CoinVault
Ingresa en https://kas.pr/kismd-cvault y descarga la versión de prueba de Kaspersky Internet Security. Instálala y elimina CoinVault de tu sistema. Antes de hacer esto, asegúrate de que has cumplido con los pasos 2 y 3.
Paso 5: Ingresa en https://noransom.kaspersky.com
En
esta dirección deberás ingresar la dirección Bitcoin que obtuviste en
el paso 2. Si tu dirección Bitcoin es conocida, la IV y la clave
aparecerán en la pantalla. Es posible que aparezcan muchas IVs y claves.
En este caso, guárdalas todas.
Paso 6: descarga la herramienta de descifrado
Descarga la herramienta desde aquí: https://noransom.kaspersky.com
y ejecútala en tu PC. Si te aparece un mensaje de error como el que se
muestra aquí, ve al paso 7. Si no te aparece nada, omite el paso 7 y
continúa con el paso 8.
Paso 7: Descarga e instala las bibliotecas adicionales
Ingresa en http://www.microsoft.com/en-us/download/details.aspx?id=40779 y sigue las instrucciones que aparecen en el sitio web. Luego, instala el software.
Paso 8: ejecuta la herramienta de descifrado
Cuando inicies la herramienta, verás la pantalla que se muestra a continuación:
Paso 9: comprueba si el descifrado funciona correctamente
Cuando
ejecutes el programa por primera vez, recomendamos que chequees el
funcionamiento del descifrado. Para esto, haz lo siguiente:
- Clickea en el botón “Select File”, ubicado en la casilla “Single File Decryption” y luego selección cualquiera de los archivos que quieras descifrar.
- Ingresa la IV de que obtuviste en la página web
- Ingresa la clave que obtuviste de la página web
- Haz click en el botón “Start” para comenzar.
Paso 10: Descifra todos los archivos bloqueados por CoinVault.
Si
todo salió bien en el paso 9, podrás recuperar todos tus archivos a la
vez. Para hacer esto, selecciona la lista de archivos encriptados que
guardaste en el paso 3, ingresa tu IV y tu clave e inicia el proceso de
descifrado. Podrás elegir la opción “Overwrite encrypted file with
decrypted contents” para sobreescribir los archivos bloqueados.
Recupera gratis tus archivos robados por el #ransomware #CoinVault
Si
obtuviste muchas IVs y claves cuando ingresaste la dirección de la
billetera Bitcoin, por favor ten mucho cuidado. Al momento, no estamos
100% seguros de dónde provienen las IVs y claves múltiples. En este caso
recomendamos no tildar la casilla de “Overwrite encrypted file with
decrypted contents”. Si algo saliera mal con el descrifrado, podrás
utilizar otra IV+clave hasta lograr completar el descifrado.
Si no recibiste ninguna IV y/o clave, deberás esperar y chequear el sitio https://noransom.kaspersky.com
regularmente, dado que la investigación todavía se encuentra en marcha.
Todas las claves e IVs faltantes se irán agregando a medida que estén
disponibles.
No hay comentarios:
Publicar un comentario