En la mayoría de los casos, si un ransomware logra infectar tu máquina, no hay mucho que puedas hacer. Por suerte, de vez en cuando la policía y las compañías de seguridad cibernética logran neutralizar los servidores de comando y control de ciertos ransomwares y recuperan información de ellos. Esta información es muy útil, ya que ayuda a crear herramientas de descifrado que permiten recuperar archivos de los usuarios que fueron bloqueados por estos malwares. Recientemente, la ciber-policía holandesa y Kaspersky Lab crearon una de estas soluciones para las víctimas del ransomware CoinVault.
Si quieres saber más acerca de CoinVault, puedes leer este reporte detallado de Securelist. Si estás interesando en saber cómo Kaspersky creó la solución que descifrar los códigos criptográficos que bloqueaban los archivos, chequea este artículo. Ahora bien, si quieres saber cómo puedes deshacerte de este ransomware y recuperar tus archivos, continúa leyendo:
Paso 1: comprueba si estás infectado con CoinVault
Primero debes asegurarte de que tus archivos fueron bloqueados por CoinVault y no por otro ransomware. Esto es bastante fácil de determinar: si CoinVault infectó tu sistema, ésta será la imagen que aparece en tu pantalla:
Paso 2: consigue la dirección de la billetera Bitcoin
En la parte de abajo a la derecha de la ventana de CoinVault verás la dirección de la billetera Bitcoin de este ransomware (está marcada con una elipse negra en la imagen de arriba). Es muy importante que copies y guardes esta dirección.
Paso 3: Consigue la lista de archivos encriptados
En la parte superior izquierda de la ventana verás un botón que dice: “View encrypted filelist” -ver la lista de archivos encriptados- (está marcado con una elipse azul en la imagen de arriba). Clickea en este botón y graba la lista en un archivo aparte.
Paso 4: Elimina el ransomware CoinVault
Ingresa en https://kas.pr/kismd-cvault y descarga la versión de prueba de Kaspersky Internet Security. Instálala y elimina CoinVault de tu sistema. Antes de hacer esto, asegúrate de que has cumplido con los pasos 2 y 3.
Paso 5: Ingresa en https://noransom.kaspersky.com
En esta dirección deberás ingresar la dirección Bitcoin que obtuviste en el paso 2. Si tu dirección Bitcoin es conocida, la IV y la clave aparecerán en la pantalla. Es posible que aparezcan muchas IVs y claves. En este caso, guárdalas todas.
Paso 6: descarga la herramienta de descifrado
Descarga la herramienta desde aquí: https://noransom.kaspersky.com y ejecútala en tu PC. Si te aparece un mensaje de error como el que se muestra aquí, ve al paso 7. Si no te aparece nada, omite el paso 7 y continúa con el paso 8.
Paso 7: Descarga e instala las bibliotecas adicionales
Ingresa en http://www.microsoft.com/en-us/download/details.aspx?id=40779 y sigue las instrucciones que aparecen en el sitio web. Luego, instala el software.
Paso 8: ejecuta la herramienta de descifrado
Cuando inicies la herramienta, verás la pantalla que se muestra a continuación:
Paso 9: comprueba si el descifrado funciona correctamente
Cuando ejecutes el programa por primera vez, recomendamos que chequees el funcionamiento del descifrado. Para esto, haz lo siguiente:
- Clickea en el botón “Select File”, ubicado en la casilla “Single File Decryption” y luego selección cualquiera de los archivos que quieras descifrar.
- Ingresa la IV de que obtuviste en la página web
- Ingresa la clave que obtuviste de la página web
- Haz click en el botón “Start” para comenzar.
Verifica si el archivo fue descifrado correctamente.
Paso 10: Descifra todos los archivos bloqueados por CoinVault.
Si todo salió bien en el paso 9, podrás recuperar todos tus archivos a la vez. Para hacer esto, selecciona la lista de archivos encriptados que guardaste en el paso 3, ingresa tu IV y tu clave e inicia el proceso de descifrado. Podrás elegir la opción “Overwrite encrypted file with decrypted contents” para sobreescribir los archivos bloqueados.
Recupera gratis tus archivos robados por el #ransomware #CoinVault
Tweet
Si obtuviste muchas IVs y claves cuando ingresaste la dirección de la billetera Bitcoin, por favor ten mucho cuidado. Al momento, no estamos 100% seguros de dónde provienen las IVs y claves múltiples. En este caso recomendamos no tildar la casilla de “Overwrite encrypted file with decrypted contents”. Si algo saliera mal con el descrifrado, podrás utilizar otra IV+clave hasta lograr completar el descifrado.
Si no recibiste ninguna IV y/o clave, deberás esperar y chequear el sitio https://noransom.kaspersky.com regularmente, dado que la investigación todavía se encuentra en marcha. Todas las claves e IVs faltantes se irán agregando a medida que estén disponibles.
Traducido por: Guillermo Vidal Quinteiro