Cómo descifrar archivos .lock de ransomeware en Windows [cerrado]

No creo que vuelvas a ver esos archivos, a menos que tengas una copia de seguridad.

Puede ver el historial de transacciones de la dirección de Bitcoin que se le pidió que pague a aquí . Como puede ver, hay 303 transacciones en total y muchas de ellas son para 1 BTC.

Eso implica que se ha dado la misma dirección de Bitcoin a múltiples víctimas. Esto, a su vez, significa que es imposible para los perpetradores saber quién ha pagado y qué clave de cifrado debe enviarse. (De ahí la solicitud impar de una captura de pantalla, supongo.)

Entonces, ya sea que sean incompetentes en su manejo del rescate, o, lo que es más probable, no están restaurando ningún archivo, en lugar de eso solo están ordeñando a las víctimas con más y más dinero. Y si no están restaurando ningún archivo, ¿por qué molestarse en cifrarlos cuando puede sobrescribirlos con basura aleatoria?

Por lo tanto, esos archivos probablemente se han ido, no importa si pagas o no.

Editar: Hay algunos puntos positivos en los comentarios. Potencialmente, las capturas de pantalla podrían usarse como prueba de pagos, aunque sea una defectuosa. E incluso si el pago no lleva al descifrado, es posible que los archivos aún estén encriptados.

Pero incluso teniendo esto en cuenta, a menos que aparezca un remedio para esta versión específica de ransomeware, es muy poco probable que pueda restaurar sus archivos. La respuesta de Nkals tiene un gran enlace a un repositorio de dichos recursos.

Edición 2: esta blogpost de Troy Hunt Sigue una línea similar de razonamiento sobre la extorsión y los Bitcoins.

Edit 3: El reciente brote de WannaCry me ha hecho reconsiderar esta respuesta. Al parecer, WannaCry utiliza tres carteras de bitcoin codificadas , pero la gente todavía parece han descifrado sus archivos . Así que creo que la suposición básica de esta respuesta es incorrecta.

Primera línea de defensa: BACKUPS . Restaurar los archivos desde allí. Cuando está disponible, esto tiene un 100% de posibilidades de éxito.

De lo contrario: espero que el ransomware no se haya deshabilitado / solucionado el servicio de instantáneas de Windows y con el que estaba activo, para empezar. Elija uno de los archivos, haga clic derecho, Propiedades, "Versiones anteriores". ¿Hay una versión anterior de antes del ataque?

Si no, espere que los archivos originales se hayan eliminado sin sobrescribirlos y que no se hayan eliminado de la manera más sencilla, una a la vez; o que si sucedió, la estrategia de asignación de espacio de Windows dejó el espacio original sin usar el mayor tiempo posible, en lugar de asignar cada nuevo archivo cifrado al archivo original eliminado de la ronda anterior; lo que significa que necesita que el disco tenga más del 50% de libertad para empezar. Ejecute una utilidad de recuperación de archivos (por ejemplo, Recuva de Piriform).

A veces, los archivos en los que está interesado podrían haber eliminado versiones anteriores antes del ataque de ransomware. Estas versiones eliminadas, aunque no son actuales, podrían ser valiosas y, al no poder verlas (se eliminaron), el ransomware no debería haberlas cifrado.

De lo contrario: el único recurso es la "buena fe" de los atacantes. Lamentablemente, ya verificaste que no funciona, lo que también es un mal presagio para las otras posibilidades. A los estafadores les interesa entregar, tranquilizar a sus otras víctimas y, a veces, también poder tener una infección segunda y ordeñarte de nuevo dentro de un mes. Si no lo hicieron, es probable que no puedan (1).

Por último, las esperanzas más remotas: mantener el disco cifrado en un lugar seguro y reinstalarlo en un disco nuevo . Suponiendo que los atacantes fueran de buena fe y que los datos estén realmente encriptados y sean recuperables, en lugar de simplemente reemplazarlos con ruido aleatorio o irrecuperable (2), puede suceder que en una semana, un mes o algunos años, el comando y el comando el servidor de control se eliminará y las claves se recuperarán, o surgirá un error en la estrategia de cifrado y alguien escribirá una herramienta de recuperación (ha sucedido, para tres familias de ransomware de ... desafortunadamente, varias). Algunos datos podrían ser recuperables entonces.

ACTUALIZACIÓN 2016/12 : (Algunos) Es posible descifrar CryptoLocker 3 .

(1) no es tan fácil escribir un ransomware, o hacerlo "correctamente"; un enfoque más sencillo es modificar uno existente para que muestre su cuenta de bitcoin y un correo electrónico desechable, en lugar de los de los autores originales. Por supuesto, no tienen toda la infraestructura necesaria para realmente recibir las claves de cifrado y devolverlas a las víctimas que pagan, solo están ejecutando un esquema de dinero rápido. Ordeñan a sus víctimas por lo que pueden, sin poder devolverles nunca sus archivos.

(2) por ejemplo porque sí usaron las rutinas de cifrado del sistema, pero administraron mal las claves o las perdieron en la transmisión. O porque, vea la nota anterior, esto no es su ransomware en absoluto.

Europol tiene una página web con un formulario de contacto que puede utilizar para verificar si hay una solución disponible para el problema de su amigo.

enlace

No lo he usado, pero es posible que tenga suerte con esta herramienta gratuita de Trend Micro.

• enlace

Parece que se actualiza con regularidad, por lo que incluso si los archivos no se pueden descifrar hoy, podrán hacerlo en algún momento en el futuro.