Desencriptores para descifrar archivos crypted000007

Desencriptores para descifrar archivos crypted000007

Hoy voy a hablar de un virus que le ocurrió recientemente a un conocido mío. Su ordenador estaba infectado con el virus desencriptador crypted000007.

Como resultado, se perdieron muchos archivos importantes y hubo que recuperarlos. Un conocido se dirigió entonces a mí en busca de ayuda.

Tras una búsqueda exhaustiva de varias utilidades y servicios disponibles en Internet, conseguí encontrar un descifrador para crypted000007 de Kaspersky «ShadeDecryptor».

Además de esta utilidad, veamos algunos métodos adicionales que no sólo ayudarán a encontrar y eliminar el virus, sino también a recuperar algunos de los archivos encriptados. Pero antes de eso, nos gustaría hablar de cómo el ransomware entró en el sistema y de lo que deberías hacer primero si tu ordenador está infectado.

Cómo se produjo la infección

Recibí un correo electrónico de una agencia de seguros en el que se me informaba de la importancia de una carta en la que se me pedía que leyera el documento informativo adjunto. Esta es la forma más común de infectar un ordenador. Los atacantes recurren a varios trucos para asustar o interesar al usuario.

Casualmente, un conocido trabajaba como agente de seguros y, sin sospecharlo, abrió el documento adjunto. Ahí es donde empezó todo.

Al cabo de un rato, empezó a aparecer una ventana pidiendo permiso para hacer cambios. Si das permiso, las copias sombra de los archivos se eliminan y es poco probable que se pueda recuperar la información.

En Windows XP no existen las copias en la sombra, por lo que la ventana de permisos no aparece.

Tras numerosos intentos de rechazo, la ventana desapareció y no volvió a aparecer. Pero al cabo de un tiempo un conocido se dio cuenta de que la extensión de algunos archivos había cambiado a crypted000007, haciéndolos ilegibles.

Algunos usuarios desactivan la ventana de permisos «UAC» por comodidad, dando a varias aplicaciones acceso automático al sistema. Entonces el software peligroso empezará a actuar sin previo aviso.

Así es exactamente como funciona el software de encriptación. Su objetivo es encriptar tus datos y crear en tu escritorio muchos documentos de texto idénticos, que contienen información de contacto para contactar con el creador del virus crypted000007. Normalmente se te pide que envíes un código especial a pilotpilot088@gmail.com y luego recibirás más instrucciones.

Más concretamente, el ciberdelincuente promete enviarte el desencriptador o devolverte tus datos después de que hayas transferido una determinada cantidad de dinero a su cuenta. No caigas en esto bajo ningún concepto.

LEER   Como Descongelar Parabrisas

Sin darme cuenta de lo que estaba pasando, me llamaron inmediatamente y me pidieron ayuda.

Sobre cómo detectar y eliminar la amenaza

Antes de empezar a desencriptar los archivos crypted000007, tienes que encontrar y eliminar el virus de tu ordenador.

Por lo tanto, recomiendo encarecidamente lo siguiente:

  1. Tras detectar al menos un archivo encriptado, apaga el ordenador inmediatamente.
  2. A continuación, descarga un software antivirus desde otro dispositivo, incluyendo una utilidad gratuita de Doctor Web, Malwarebytes Anti-Malware y AVZ.
  3. Entra en el modo seguro. De este modo, desactivarás el ransomware. Para iniciarlo al arrancar el ordenador, pulsa la tecla «F8» hasta que aparezca la ventana correspondiente.
  4. Ejecuta un escaneo completo del sistema y cura el ordenador de cualquier amenaza encontrada.

En casos raros, el software peligroso sigue ejecutándose incluso en modo seguro, entonces los Live CDs antivirus como el Kaspersky Rescue Disc vienen al rescate.

Método de detección manual:

  1. La mayoría de las veces, el encriptador crypted000007 está incrustado en el componente del sistema csrss.exe para llevar a cabo su actividad maliciosa. Sin embargo, en algunos casos, también se pueden utilizar otros nombres. Las amenazas potenciales se pueden identificar abriendo el Administrador de Tareas y yendo a la pestaña Procesos.
  2. Ordena los valores y mira qué proceso está consumiendo más recursos de CPU o RAM.
  3. Haz clic con el botón derecho y selecciona «Abrir ubicación de almacenamiento». También puedes utilizar la búsqueda normal a través de «Mi PC».
  4. Retira el componente encontrado de la unidad.
  5. Abre el editor del registro con la combinación «WIN+R» ejecutando el comando «regedit». Te recomiendo que hagas una copia de seguridad antes de empezar a trabajar con el registro.
  6. Pulsa «Ctrl+F» y busca por el nombre, en mi caso es csrss.exe.
  7. Elimina las referencias encontradas en el registro y reinicia el ordenador.
  8. Vuelve a abrir el Administrador de Tareas y asegúrate de que el proceso peligroso ha sido eliminado con éxito del sistema.

Una vez que la eliminación del virus crypted000007 se haya completado con éxito, puedes empezar a desencriptar los archivos.

Desencriptación de archivos criptados000007 con «ShadeDecryptor»

Ha aparecido el tan esperado software gratuito de Kaspersky llamado «ShadeDecryptor». Es versátil y adecuado para recuperar varios tipos de archivos. Puedes descargarlo desde el sitio oficial. También hay una lista de extensiones con las que funciona la herramienta.

Instrucciones de uso:

  1. Descarga el archivo, descomprímelo en cualquier lugar y ejecuta la aplicación. No requiere instalación.
  2. Haz clic en «Iniciar exploración». Buscará datos encriptados en todos los soportes. Si es necesario, puedes especificar sólo la partición deseada pulsando «Cambiar configuración».
  3. En la ventana que se abre, especifica el archivo encriptado y haz clic en «Abrir». En algunos casos, cuando Kaspersky no puede detectar la versión de la amenaza, pide un documento readme.txt con la información de contacto que contiene para contactar con el estafador.
LEER   Cómo activar, desactivar o eliminar los subtítulos de la programación en el televisor JVC

Espera a que termine la búsqueda y comprueba el resultado.

Buscando un decodificador para crypted000007 a través de «Nomoreransom»

Encuentra el desencriptador crypted000007 a través del servicio online «Nomoreransom«.

Cómo utilizarlo:

  1. Visita el servicio online contra el ransomware en el enlace anterior.
  2. Pulsa el botón «Sí».
  3. Sube un par de archivos encriptados, da los datos de contacto o las credenciales del atacante y haz clic en «Verificar».
  4. Después, obtendrás un enlace para descargar el desencriptador.

Que yo sepa, no hay otros servicios online similares para descifrar crypted000007. En cuanto estén disponibles, complementaré este artículo lo antes posible.

Además, puede ser útil ver una lista de desencriptadores ya disponibles en este momento en este enlace. Son gratuitos y pueden ser adecuados para otras tareas.

Recuperación de archivos

Pero, ¿qué hacer cuando el virus crypted000007 ha encriptado los archivos y todavía no hay un desencriptador normal que funcione en la red? Sólo hay una opción, utilizar métodos manuales de recuperación de archivos.

A saber:

  1. Utiliza la función de copia oculta integrada en el sistema Windows. Debes tener activada la copia en la sombra, de lo contrario no funcionará.
  2. Utiliza un software especial para recuperar los datos eliminados, por ejemplo, la utilidad «Comfy File Recovery».

La herramienta de copia oculta sólo está disponible para los usuarios de Windows 7 y superiores. No está disponible en versiones anteriores.

Recuperar datos con la utilidad ShadowExplorer

  1. Lo primero que debes hacer es asegurarte de que has habilitado estas copias. Para ello, ve a las propiedades de tu ordenador y abre la sección de Protección del Sistema. La unidad deseada debería estar activada y, si es así, sigue adelante.
  2. Descarga la última versión de ShadowExplorer desde este enlace y ponlo en marcha.
  3. Inmediatamente después de la apertura, se seleccionará la unidad con la última copia disponible. Si es necesario, puedes cambiar la partición y seleccionar otro volcado donde se encuentre la versión más actual con la información requerida.
  4. Marca los archivos necesarios con el ratón, haz clic con el botón derecho, selecciona «Exportar» y especifica una nueva ubicación para guardar.

Las carpetas se restauran siguiendo el mismo principio. Si tienes copias sombra, puedes recuperar casi todos los archivos. Tal vez algunos de ellos sean mayores, pero es mejor que nada.

Software de recuperación de archivos Comfy

Este programa debe utilizarse más bien para recuperar información borrada que para desencriptarla. La comodidad no es siempre la respuesta, pero si otros métodos no ayudan, definitivamente vale la pena usarla.

Instrucciones de uso:

  1. Descarga y ejecuta la utilidad.
  2. Selecciona «Asistente» en el menú superior.
  3. Pulsa «Siguiente».
  4. Selecciona la unidad deseada donde se encontraba la información perdida.
  5. Realiza un «análisis profundo».
  6. Marca la opción «Todos los archivos».
  7. Marca la casilla de los datos eliminados.
  8. Espera a que se complete el proceso. El proceso de búsqueda puede llevar mucho tiempo. Esto depende del estado y de la capacidad total del disco duro.
  9. Una vez completada la búsqueda, marca la información que deseas y haz clic en «Recuperar».
LEER   ¿Cómo puedo personalizar mi escritorio de Windows 10?

El programa muestra el mejor rendimiento en la detección y recuperación de información borrada. Por lo tanto, «Comfy File Recovery» será útil en los casos en los que el encriptador crypted000007 haya eliminado los datos de trabajo antes de la encriptación y haya dejado sólo la versión encriptada.

No todas las modificaciones de este virus funcionan así, pero quizá tengas suerte y en tu caso aumenten tus posibilidades de éxito.

Como alternativa, con Comfy File Recovery puedes intentar recuperar copias anteriores de datos encriptados de, por ejemplo, hace meses. Probablemente no será tan relevante, pero es mejor que nada.

La utilidad tiene análogos: Hetman Partition Recovery, EaseUS Data Recovery, 7-Data Recovery y otros.

Dónde acudir en busca de ayuda

En el transcurso de la resolución del problema tuve en cuenta no sólo mi propia experiencia personal, sino también las opiniones de otros usuarios de varios sitios web y foros, en los que se anunciaba muy bien un servicio «dr-shifro.ru», que ofrecía sus servicios de descifrado.

Para ser sincero, después de haber buscado en un montón de sitios de Internet, nunca vi ningún comentario positivo sobre el trabajo de este servicio, así que no me arriesgué a contactar con ellos personalmente. Probablemente porque los datos perdidos no eran tan valiosos.

Si decides ponerte en contacto con ellos, intenta enviar un par de archivos encriptados antes de pagar por sus servicios y asegúrate de su contenido. Y mira cómo los técnicos del servicio manejan el descifrado del crypted000007.

Recomendaciones para una mayor protección informática

Te daré algunos consejos para ayudar a proteger tu dispositivo de varios virus.

  1. Utiliza un antivirus completo, preferiblemente uno de los más populares. Aunque sea una versión gratuita. Por supuesto, ningún antivirus proporcionará una protección del 100%, pero reducirá en gran medida el riesgo de que entre la amenaza.
  2. Utiliza un cliente de correo electrónico como Outlook. Muchos antivirus tienen un escáner de correo electrónico que encuentra fácilmente el malware en el contenido del correo electrónico, evitando la infiltración en el sistema.
  3. Intenta no hacer clic en enlaces dudosos ni descargar software de recursos desconocidos, incluidos los archivos adjuntos de los correos electrónicos. Pero si es necesario, compruébalo con el antivirus antes de instalar o ejecutar cualquier utilidad.
  4. Instala la extensión «WOT» en tu navegador. De este modo, puedes evaluar la calidad de un recurso concreto. Muchos antivirus tienen un escáner web que te bloquea el acceso a un sitio peligroso. Esta es otra gran ventaja para ellos.

Espero que el artículo haya sido suficientemente informativo y útil. Pero si me he olvidado de algo, escríbelo en los comentarios. Tal vez tu experiencia sea un salvavidas para muchos usuarios.

Sin embargo, si no se puede recuperar la información perdida, guarda los archivos encriptados de todos modos, puede que haya un desencriptador normal de crypted000007 disponible muy pronto.

En este vídeo se explican más formas

[youtubomatic_search]