Eliminar Virus de la Policia (Ransonware) y descrinptar todos los ficheros «locked-» del equipo aunque no tengas el fichero original desencriptado, funciona 100%
Este famoso virus que esta azotando toda la geografia española es, posiblemente, el peor virus ante el que me he enfrenado en todos los años que llevo dedicandome a este mundo de la informatica.
Si quereis saber mas sobre la cronologia, lo que hace y como lo hace, podeis visitar el fantastico blog de infospyware en donde se detalla la evolucion de este virus, alli tambien encontrareis la guia original para eliminar el virus, tanto si podeis entrar en modo seguro F8 para ejecutar el Polifix 2.0.3 como sino, haciendo uso de un Live CD de Avira o Kaspersky para realizar la desinfeccion.
Ahora voy a deciros como hago yo para dejar el equipo en perfecto estado tras una infeccion de este calibre y sin poder entrar en modo seguro F8 y teniendo miles de archivos encriptados con el famoso prefijo locked-nombrearchivo.extensionaleotoria que tantos quebraderos de cabeza estan dando.
Sigue esta guia paso a paso, necesitaras descargas varios ficheros por lo que es recomendable que imprimas esto y te organices antes de ir al equipo infectado o de conectarlo. Necesitas una memoria USB limpia para guardar los ficheros que te voy diciendo:
1.- Descargar Kaspersky Rescue Disk 10, es una imagen *.ISO, la descargais y la grabais en un CD/DVD
2.- Descargar Polifix 2.0.3, es el programa creado por Infospyware para desinfectar el equipo una vez podamos accder al escritorio, guardarlo en un lapiz usb
3.- Descargar RannohDecryptor.exe de la web oficial de Kaspersky, es el programa que te desencriptara los ficheros locked- de tu equipo, guardalo en un lapiz usb
4.- Descarga este fichero y descomprimelo, es una imagen de muestra localizada en C:\Documents and Settings\tuusuario\Mis imagenes\Imagenes de muestra\invierno.jpg, este sera el fichero original desencriptado que usara el RannohDecrytor.exe para desencryptar TODOS los ficheros del equipo infectado comparandolo con el encriptado. Descargalo, descomprimelo y guardalo en tu lapiz USB como invierno.jpg
Ya tienes todo el material necesario, ahora continua leyendo:
1.- Mete el CD/DVD de Kaspersky Rescue Disk 10 en el equipo infectado y arrancalo, tienes que seleccionar la unidad CD/DVD para esto, sino sabes como, busca por internet como hacer esto segun la marca y tipo de tu BIOS.
2.- Una vez arrancado el CD, pulsa una tecla para entrar en el menu, selecciona el modo grafico, se cargara un escritorio de Linux con varios iconos, no toques nada aun, deja que cargue completamente y saltara el programa de escaneo automaticamente. Una vez lo tengas en pantalla, es recomendable que actualices la base de datos, yo lo hago siempre.
3.- Despues de actualizar la base de datos, dale para que inicie el escaneo, tarda entre 15 y 30 minutos en realizar las operaciones, limpiar, desinfectar, etc. Si te pregunta que quieres hacer con las infecciones detectadas o los archivos infectados, dale SIEMPRE a eliminar, son los ficheros de Java que te jodieron. Elimina todo lo que diga.
4.- Una vez que acabe, reinicia el equipo y saca el cd, deja que el sistema cargue con normalidad, deberia de entrar en el escritorio de forma normal.
5.- Ahora mete el lapiz USB en el cual tienes todas las aplicaciones que descargaste anteriormente.
6.- Vamos a ejecutar el programa Polifix 2.0.3 para eliminar todo rastro del virus, para ello, abre una ventana de comandos Inicio-> Ejecutar -> CMD y pulsa Intro
7.- Dirigite a tu lapiz USB tecleando la letra correspondiente, en mi caso F: Intro
8.- Escribe polifix.exe y aparecera la siguiente ventana:
Deja que actue, cuando acabe se reiniciara solo y tu equipo quedara limpio de todo rastro del virus.
– DESBLOQUEO DE FICHEROS locked –
Ahora llega la parte interesante del tema, desbloquear todos los ficheros encriptados que tenemos en el equipo. Para ello, haremos lo siguiente:
1.- Ejecuta el programa rannohdecryptor.exe que has descargado anteriormente.
2.- Pincha en Change parameters y selecciona la opcion de Detele Crypted files after decryption, lo que nos borrara los ficheros encriptados despues del desbloqueo para evitar tener un monton de ficheros duplicados e inservibles.
3.- Pulsa en «Start scan», nos aparecera una ventana indicando que tenemos que indicarle al programa donde esta un fichero original que NO ESTE ENCRIPTADO y seguidamente el mismo fichero pero ENCRIPTADO por el virus.
ATENCION: Si al pulsar en «Start scan» no os pide la localizacion de los ficheros, no continueis ejecutanto el rannohdecryptor.exe. Eridea nos informa de que esto le ha causado graves perdidas de informacion. Al ejecutar el programa, os tiene que pedir los ficheros, tanto el original como el bloqueado, sino no funcionara correctamente y podeis destruir la informacion del equipo.
Pulsamos en continuar y buscamos el fichero invierno.jpg que habiamos descargado a nuestro lapiz USB, al darle a aceptar, automaticamente nos pedira la ruta de ese mismo fichero pero encriptado, esta ubicado en C:\Documents and settings\tuusuario\Mis Documentos\Mis imagenes\imagenes de muestra\locked-invierno.jpg.extensionaleatorioa, al seleccionarlo iniciaremos el desbloqueo de todos los ficheros de nuestro equipo, el tiempo que tarde dependera de la cantidad de informacion y ficheros encriptados que tengamos, el resultado deberia ser algo como esto:
Despues de esto, tu equipo esta limpio de virus y con los ficheros desbloqueados. Ya puedes respirar tranquilo.
– NOTAS IMPORTANTES –
.- La imagen invierno.jpg es una imagen de muestra que viene por defecto en todas las instalaciones de Windows XP, por lo que sino la has borrado, deberia de estar bloqueada y localizada en la ruta original. Deberia de servir cualquier fichero de Windows XP que puedas conseguir y que tengas bloqueado en tu equipo para poder realizar la comparacion, bien una imagen de muestra, un fichero de audio de windows, cualquier cosa. Lo mismo para Windows 7. Invierno.jpg es solo un ejemplo de como hacerlo.
.- Mucha gente usa el Avira Rescue CD, yo en los dos casos que lo use NO ME FUNCIONO, por eso esta guia esta basada en el Kaspersky Rescue Disk 10 que si se que funciona.
.- Despues de seguir estos pasos y tener tu equipo limpio, es recomdable hacer una pasada con el Dr.Web Cure It y CCleaner, para eliminar posibles «amigos». Tambien es recomendable instalar la ultima version de Java 7 disponible ya que por culpa de una vulnerabilidad de Java 6 tu equipo ha sido infectado por este virus.
.- La ultima recomendacion que os hago, es que tengais un sistema de backup mas o menos regular, por si alguna vez no se pueden recuperar los ficheros por este u otro virus que un futuro nos entren, que no sera la primera ni la ultima vez. Por favor, hacer copias de la documentacion importante de vuestros equipos.
.- Dudas, preguntas, insultos y donativos, a los comentarios de este post y os ayudare en todo lo que este en mi mano.
Un extra, si el rannohdecryptor no os pide los ficheros de muestra es recomendable no continuar. Me dejó gran cantidad de archivos inservibles, eliminó parte de los archivos locked y no hubo forma de recuperarlos. Por supuesto era la rama del virus que solo tenían ficheros locked, ya sabéis que hay otra versión que deja una copia de los archivos ocultos.
Por suerte había copia, sino habría sido desastroso.
PD: felicidades por el blog
Hola Eridea.
Apunto ese «extra» que comentas en NOTAS IMPORTANTES por si a alguien le ocurre.
Un saludo.
Eridea, algo parecido iba a comentar. A la hora de trabajar con discos que tienen datos dañados/ encriptados/ «tocados» la mejor opción es clonar el disco y trabajar con la imagen clonada.
La guia de Mur3 es muy practica, pero el peor de los casos se puede dar, asi que aconsejo trabajar sobre una copia de los datos (en este caso sobre una imagen cloanda), no sobre los datos directamente.
Por cierto, buen blog.
Hola Juan, en este caso es recomendable trabajar sobre un clon como bien decis. Lo tendre en cuenta para futuras reparaciones, que seguro alguna mas tengo que hacer por culpa de este virus.
Saludos.
Creo que te debo un riñon ^^ Me he pasado horas buscando una solucion, esta, la mas eficiente, muchisimas gracias de todo corazon !
Me alegra que te haya servido de ayuda, un saludo.
Muchas gracias por tu ayuda, estoy probando a ver si hay suerte.
Me ha surgido un problema con la actualización de Kaspersky, no me deja actualizar de ninguna de las maneras. Lo único que se me ocurre es que el ordenador no se pueda conectar a internet ¿Hay que hacer algo para que desde el antivirus se pueda acceder a internet?
Un saludo.
Si tienes DHCP deberia de conectar automaticamente, sino, si tienes un direccionamiento LAN con IP fijas deberias de configurar esos datos en tu tarjeta de red dentro del Kaspersky Rescue Disk. Del tipo IP: 192.168.0.1 / 255.255.255.0 / 192.168.0.254 y las DNS de tu operador de internet. Entiendo que sea algo asi.
Un saludo.
AYUDA! necesito recuperarlo… Pero ya en el primer paso, intento descargar la imagen ISO y nada!
El link de descarga funciona perfectamente. Tienes que descargar el archivo y despues grabarlo a un CD con el Imgburn por ejemplo
Un saludo.
Gracias¡¡¡¡ La única solucion que me sirvió… me fue lento toda la operacion (como una hora y media) pero solucionado al 100%.
Gracias de nuevo.
¡Muchas gracias!
Éxito total siguiendo escrupulosamente las instrucciones.
Como en otro Windows 7, también teníamos instalado google Chrome, conseguimos un fichero sin encriptar igual que uno encriptado, en concreto «»C:\Users\xxxxxx\AppData\Local\Google\Chrome\User Data\Default\Media Cache\data_3″»
Me alegra que te sirviera mi ayuda, un saludo.
hola el rannohdecryptor.exe me pide un archivo de mas de 4096 bytes y no tengo de tal tamaño y hasta ahi llega que puede pasar?
Hola Gustavo.
Necesitas este fichero, esta en el post, sigue los pasos tal cual.
http://www.mur3.com/invierno.zip
Pulsamos en continuar y buscamos el fichero invierno.jpg que habiamos descargado a nuestro lapiz USB, al darle a aceptar, automaticamente nos pedira la ruta de ese mismo fichero pero encriptado, esta ubicado en C:\Documents and settings\tuusuario\Mis Documentos\Mis imagenes\imagenes de muestra\locked-invierno.jpg.extensionaleatorioa, al seleccionarlo iniciaremos el desbloqueo de todos los ficheros de nuestro equipo, el tiempo que tarde dependera de la cantidad de informacion y ficheros encriptados que tengamos
He hecho lo que pides , de la imagen de invierno y me dice que no es equal
Hola Alex.
Pues es la unica forma que yo conozco para poder desencriptar los ficheros, si me dices un fichero comun de Windows que tengas encriptado, te lo puedo pasar o lo puedes conseguir por internet facilmente. Por ejemplo la musica de muestra que viene en todas las instalaciones de Windows, un fichero de imagen, algo. Yo no conozco otra forma de hacerlo, bien es cierto que desde hace tiempo no se me presentan equipos con ficheros encriptados. De todas formas, pasate por infospyware, alli te podran ayudar mucho mejor que yo.
Un saludo y suerte.
Hola, muy buenas:
Tengo en un portátil una partición de Ubuntu y en otra W7 con el maldito virus este. ¿Se podría quitar a pelo desde Ubuntu montando el sistema de archivos de Windows?
Gracias de antemano y un saludo.
Lo desconozco. La unica forma que probe y funciona perfecta es la que esta en la entrada.
Un saludo.
Estoy ahora mismo con el disco de rescate de Kaspersky siguiendo al pie de la letra tus indicaciones. Ya te contaré.
Un saludo.
Muchas gracias por esta información he conseguido descriptar todos mis archivos, mi mas sincera admiración por ayudar a la gente!
Me alegra que mi ayuda te sirviera.
Un saludo.
1.- Quiero decir que mis conocimientos informáticos, son bastante limitados.
2.- El problema que tengo, es que por un lado, se ha renombrado los ficheros de la carpeta «datos» de un programa de contabilidad y no tengo otra copia y, por otro, me ha perdido (supongo que lo habrá renombrado) todos los contactos y todas las carpetas de mi correo electrónico (Incredimail), sin copia.
3.- Antes de nada, diré que mi sistema operativo es el windows vista business, por lo que el sistema que me da en las instrucciones, para la «imagen de muestra», no las he podido encontrar.
4.- He hecho, todo el proceso, de sus instrucciones, pero me he atrancado en la ejecución del programa rannohdecryptor, pues cuando compara ficheros me dice que no son iguales.
5.- ¡¡Solicito ayuda para este último paso!!, pues los anteriores, dado que tengo varios antivirus, ya lo había solucionado y al pasar las «nuevas herramientas», apenas he encontrado un fichero o dos, por destruir.
6.- Los ficheros del Incredimail, los tengo en una carpeta, aparte, que perfectamente los puedo llevar al lápiz de USB, para hacerlo todo externo. ¡¡Estoy a un paso de conseguirlo!! ¡¡ Ayuda por favor!!
Espero sus noticias
Algún método para recuperar archivos «pequeños»? Hay archivos que pesan poco que el rannohdecryptor no recupera.
Gracias!
He seguido el tutorial y no he podido deshacerme del maldito virus. De todos modos, muchas gracias. Un saludo
A mi me ha funcionado muy bien!!. Gracias a Mur3.
Me alegra que mi ayuda te fuera util.
Un saludo.
eres un tio grande.
gracias a este post. lo e solucionado.
continua asi
Lo he hecho todo y no me ha funcionado nada. en cada reinicio me ha vuelto a aparecer el pantallazo con la banderita sin dejarme hacer nada y el karspersky rannohdecrypter no lo he podido pasar porque no tengo la carpeta imágenes de muestra, pero de todas formas no creo que me hubiera solucionado nada si lo demás no ha cambiado nada 🙁
Este es el tercer tutorial que pruebo así que está claro que me toca formatear.
Hola Pablo.
¿Has actualizado la base de datos del Kaspersky antes de realizar el analisis? ¿Que te aparece cuando acaba el escaneo? ¿Detecta virus o alguna infeccion o no hace nada?
Un saludo.
tengo un problema. He grabado el Kaspersky Rescue Disk 10 en un cd pero cuando lo inserto se me habre la carpeta pero no consigo abrir el programa. ¿alguien puede ayudarme?
Hola jesus.
Debes iniciar el ordenador desde el CD/DVD, no desde el disco duro principial, el software no se ejecuta bajo Windows u otro sistema operativo.
Entra en tu BIOS y comprueba el orden de arranque, pon primero el CD/DVD.
Muchas gracias, eres un maquina!! tenia mas de 4 años de mi vida infectados con este virus, en esta semana voy a comprar un disco duro portatil para hacer una copia de seguridad
me sale un archivo rar lo descnprimo o lo grabo tal cual
Pingback: how to repair.txt, ficheros cifrados con RSA y extension .done, imposibles de descrifrar « mur3.com
Al especificar los archivos -original- y -encriptado-, que son las imagenes de muestra en win7, me tira un error: «Encrypted file size does not equal to original», pero revisando… SI SON DEL MISMO TAMAÑO!!!!! Alguna idea??? Gracias…
Hola a todos…creo que he conseguido eliminar el virus de la policia que tenia, ahora tengo multitud de archivos «JPG» encriptados (no renombrados ni con locked ni con niguna otra extension rara).El archivo «invierno.jpg» que tengo en windows XP esta desbloqueado y no me sirve, ya que son el mismo y el rannohdecryptor da error.Que mas archivos hay por defecto bloqueados en XP?…
gracias por todo.
hola me pasa lo mismo y aunque pongo a las 2 , 600×800 me da pixeles diferentes y no me deja,,tienes alguna informacion, saludos
n me deja entrar en modo grafico se me habre pantalla en negro con simbolo azul# ayuda pf , gracias saludos
Viejo, muy buena tu información
Pregunta.
Tengo una amiga que le pasó este suceso, estuve buscando el archivo encriptado de invierno pero no le aparece dentro de la carpeta y subcarpetas de imagenes
Mi pregunta es
Es posible si permites la posibilidad de dar un link para descargar los 2 archivos (invierno sano e invierno encriptado) al mezclar el invierno encriptado con los míos y al momento de utilizar la herramienta de kaspersky se podrá desencriptar todos los archivos afectados?
Gracias por la atención prestada!!
Hola Jose Felix.
Busca algun fichero que venga de serie con todos los Windows XP y buscalo para descargar el fichero sano por internet.
Una imagen, un archivo de audio de ejemplo, un txt de sistema, una dll. Tiene que ser con la encriptacion de tu equipo, no con la de otro sistema.
Un saludo.
Hola, no es el virus de la policia pero segun he leido es una variante se trata del CriptorBit …tengo los ficheros word, pdf e imagenes, musica encriptados y no puedo abrirlos me salen dañados y si se abren me sale con un texto ilegible…¿que puedo hacer?
Hola Alex.
Tienes que desencriptar los archivos usando para ello dos ficheros identicos. Uno de ellos tiene que estar bien, y el otro encriptado para poder hacerlo.
Busca en el sistema de archivos de windows algun fichero encriptado que luego puedas conseguir el mismo pero sin encriptar, para compararlos y desencriptar los demas.
Un saludo.
hola!
no sirve el archivo de la imagen de invierno, ya no exite
Hola, en el ultimo paso me pide un archivo mayor a 8192 bytes y tengo 1 y no pasa nada no escanea cuando pongo los archivos dice escan completado
Hola, mi pc ha sido infectado por CryptoWall 2.0 y los archivos se han encriptado, pero no se han renombrado. Me podrías decir algún método para recuperar los archivos. Gracias.
HOla Nerea.
Olvidate de los archivos encriptados por este malware, son IRRECUPERABLES.
http://www.bleepingcomputer.com/forums/t/552103/updated-cryptowall-20-ransomware-released-that-makes-it-harder-to-recover-files/
Es primo-hermano del cryptolocker.
Un saludo.
Gracias por tu respuesta, no es muy alentadora pero bueno. No tenía copia de seguridad, así que he perdido todo.
Muchas gracias y enhorabuena por tu blog.
Saludos,
Hola amigo muy bueno tu block segun lei tus comentarios los PC infectados con el CryptoWall 2.0 no se puede recuperar y otra cosa el ARCHIVO INVIERNO NO ESTA puedes arreglar el enlase
Hola, este procedimiento sirve en windows 8?
A mi me infectó un equipo y no se que hacer, corrí solo el XoristDecryptor pero no solucionó nada, me pide un archivo encriptado se ejecuta y no resuelve nada.
Agradezco su ayuda.
Javier
Desconozco si es valido para Windows 8, solo lo he probado en Windows XP.
Un saludo.
Hola. Acabo de leer acerca de la desencriptaciòn. Un cliente pescò el Criptowell 3.0. He desinfectado la unidad, la formateè y le he pasado el GetDataBack para recuperar lo que haya sido borrado, a ver si recupero la informaciòn. Pero ningùn archivo (aùn cuando no muestran la extensiòn de lo contaminado o encriptado) se pueden abrir. ¿Servirà tu mètodo para estos casos? Me gustarìa poder ayudar a mi cliente con este problema, antes de declarar la informaciòn totalmente perdida y reinstalarle el SO. Gracias de antemano. Saludos desde Hermosillo, Mèxico.