Ransomware CBT Locker ou como desencriptar ficheiros encriptados

El ransomware CTB Locker (que algunas veces se muestra bajo el nombre Critoni) fue detectado por primera vez en julio de 2014. Este virus tiene como objetivo encriptar archivos y pedir dinero con el fin de desencriptarlos. Casi todas las versiones de Windows, incluyendo Windows XP, Windows Vista, Windows 7 y Windows 8 pueden ser afectados por este ransomware. Algunas características exclusivas de este malware es que se comunica con el servidor de comandos y controles de TOR. Una característica interesante – cualquiera puede comprar CTB Locker (CBT Locker) en línea por alrededor de $3,000 dólares estadounidenses. Por esta cantidad de dinero se puede obtener el kit básico y soporte completo de los desarrolladores de CTB, donde mencionan como configurar todo correctamente. Esto significa que pueden aparecer versiones de este virus con apariencias diferentes.

Todos los archivos encriptados por Critoni se modifican con el formato CTBL y no se pueden abrir. Cuando este ransomware está instalado, escanea la computadora para reconocer los archivos existentes y posteriormente encriptar la mayoría (no necesariamente tienen que ser todos). Lo que pasará después es que se mostrará una ventana en tu pantalla. La cual se ve como esta (ver abajo). Te dirá que tus archivos están encriptados y si quiere recuperarlos, tienes que pagar un rescate de $120 dólares. Los pagos se realizan por medio del sistema de pagos Bitcoin.

CTB locker

Si tu computadora está infectada con Critoni, te será posible ver una carpeta con un nombre aleatorio en la carpeta %Temp% de tu computadora. Este malware se iniciará cada vez que enciendas tu equipo. CTB Locker utiliza criptografía de curva elíptica para encriptar los archivos de los usuarios, la cual es una forma muy particular de hacer esto. Una vez que CTB (CBT Locker) Locker termina de escanear el sistema y después de encriptar los archivos, aparecerá un mensaje con las instrucciones para realizar el pago. Además, tu fondo de pantalla se cambiará al archive %MyDocuments%AllFilesAreLocked .bmp, donde encontrarás información detallada sobre cómo hacer el pago. Otros archivos, que también se generarán y serán accesibles para el usuario son – %MyDocuments%DecryptAllFiles <user_id>.txt y %MyDocuments%.html. Ahí encontrarás la información necesaria para acceder al sitio oficial del malware y completar el pago. Debido a la relación comandos y controles, el servidor se ejecuta únicamente a través de TOR y no en Internet, esto resulta más complicado para la ley para rastrear este ransomware. Sin embargo, no es imposible. También debes de saber que cada vez que inicies tu sistema, el malware CTB Locker se copiará a si mismo con nuevos nombres aleatorios en %Temp% así que es posible que se muestran toneladas de archivos con nombre extraños.

Ahora, el primer paso que debes llevar a cabo cuando detectes que tu computadora está infectada con Citroni – es escanear tu sistema con un anti-malware confiable como por ejemplo Spyhunter o malwarebytes. Mientras más pronto hagas esto mejor. Es complicado detectar esta aplicación maliciosa en tu computadora, hasta que aparece el mensaje en la pantalla, diciendo que tus archivos están encriptados, así que es recomendable escanear tu computadora cada cierto tiempo para evitar que esto suceda. Sin embargo, si todos tus archivos están encriptados, aun puedes realizar el escaneo de tu PC y por lo menos eliminar las infecciones para evitar que se generen nuevos archivos cada vez que inicies Windows. En caso de que quieras realizar esto manualmente, tienes que eliminar todos los archivos ejecutables de la carpeta %Temp% y eliminar las tareas ocultas del calendario de tareas de Windows. Toma en cuenta que esto solo eliminará el virus, pero no lo desencriptará los archivos que ya están encriptados. Hasta el momento no hay un método conocido para desencriptar los archivos afectados por CTB Locker. Hay diversas herramientas elaboradas para desencriptar archivos de otros malware, pero no son capaces de desencriptar los archivos afectados por CTB Locker. Solo hay dos manseras para recuperar tus archivos – ya sea pagando la cuota o restablecer los archivos desde algún respaldo. Abre el archivo %MyDocuments%.html para saber cuáles son os archivos encriptados que tiene que restaurarse.

El mensaje mostrad por CTB locker menciona lo siguiente:

Tus archivos personales están encriptados .%f0%%c0%

Tus documentos, fotos, bases de datos y otros archivos importantes han sido encriptados con un método fuerte de encriptación y se generó una clave única para esta computadora.

La clave para desencriptar está almacenada en un servidor secreto en internet y nadie puede desencriptar tus archivos hasta que pagues y obtengas la clave privada.

Si ves la pantalla principal, sigue las instrucciones. De lo contrario, puede que tu antivirus haya eliminado el programa. Ahora solo tienes una última oportunidad para desencriptar tus archivos.

  1. Escribe la dirección %c1%http://torproject.org%c0% en tu navegador de internet. Esto abre el sitio de Tor.
  2. Presiona ‘Descargar Tor’, y haz clic en ‘DOWNLOAD Tor Browser Bundle’, instálalo y ejecútalo.
  3. Ahora tienes el navegador Tor. En el navegador Tor abre %c1%http://%onion%/%c0%.

Ten en cuenta que este servidor solo está disponible en el navegador Tor.

Vuelve a intentar en 1 hora si el sitio no está disponible.

  1. Escribe la siguiente clave pública en la forma del servidor. Trata de evitar errores.

%f1%%c1%%key%%f0%%c0%

  1. Sigue las instrucciones en el servidor.

Estas instrucciones también se guardaran en el archivo llamado DecryptAllFiles.txt en la carpeta Documentos. Puedes abrirla y utilizar copiar-pegar para la dirección y la clave.

Como desencriptar los archivos

ShadowExplorer

Como ya se mencionó, no hay posibilidades para desencriptar los archivos afectados por CTB Locker. Si no piensas pagar el rescate a los cibercriminales, puedes restaurar tus archivos de algún respaldo realizado previamente. Hay diversas maneras para hacer esto.

La mejor opción es simplemente restaurando el sistema desde una copia de seguridad de Windows. Sin embargo, esto es posible solo si cuentas con un respaldo realizado previamente. Si no realizaste esto, no te será posible restaurar el sistema. Aun cuando tengas un archivo de restauración valido, puede que no te sea posible recuperar los archivos perdidos, esto puede suceder si el directorio en el que estaban guardados no está cubierto por el respaldo de Windows (esto puedes seleccionarlo en la configuración).

dropbox

El método siguiente también puede resultar efectivo. CTB locker no solo encripta los archivos – también hace una copia de ellos, estos los encripta y después elimina los originales. Por esta razón, puedes utilizar software específico para restablecer los archivos perdidos. Por ejemplo, R-Studio o Photorec pueden realizar esta tarea. Si te preguntas por que no se recomienda esperar mucho después de que CTB locker se infiltró en el sistema, es porque mientras más esperes, será más difícil para los programas de reautorización recuperar los archivos eliminados y desencriptados.

Shadow Volume Copies

En caso de que no quieras utilizar la opción de restauración del sistema, se puede utilizar shadow copy. Esto almacena copias de tus archivos en un periodo de tiempo cuando se crearon los puntos de partida de restauración. CTB Locker generalmente tratará de eliminar todas las copias de Shadow, pero algunas veces puede fallar al realizar esto. Cabe mencionar que Shadow Volume Copies solo está disponible para Windows XP Service Pack 2, Windows Vista, Windows 7, y Windows 8. Hay dos maneras para recuperar tus archivos por medio de Shadow Volume Copy. Puede hacerse con versiones nativas de Windows Previous Versions o por medio de Shadow Explorer.

native Windows Previous Versions

Versiones previas nativas de Windows

Solo haz clic sobre un archivo encriptado y selecciona propiedades > pestaña de versiones previas. Ahora podrás ver todas las copias disponibles de ese archive en particular y la fecha en la que se almacenó en Shadow Volume Copy. Selecciona la versión del archivo que deseas recuperar y haz clic en copiar si quieres guardarlo en algún directorio tuyo, o haz clic en restaurar si quieres reemplazar el existente. Si primero quieres ver el contenido del archive solo haz clic en abrir.

ShadowExplorer

Shadow Explorer

Se trata de un programa que pueden encontrarse en línea de manera gratuita. Puedes descargar la versión portable o la versión completa de Shadow Explorer. Abre el programa y en la parte superior izquierda selecciona la unidad donde está guardado el archive que estás buscando. Después te mostrará todas las carpetas en esa unidad. Para recuperara una carpeta complete, haz clic derecho y selecciona la opción “Exportar”, después selecciona la ubicación donde deseas guardarlo. Eso es todo.

Como restaurar archivos que han sido encriptados en DropBox

Si acostumbras guardar tus archivos en DropBox (lo cual es muy común, ya que es un servicio de almacenamiento basado en la web) y también están encriptados, puedes utilizar algunos de los tips mencionados a continuación.

dropbox

Para recuperar archivos encriptados que se encuentran en DropBox, simplemente inicia sesión en el sitio de DropBox. Después navega a la carpeta donde se encuentra el archive que deseas. Haz clic derecho sobre el archivo y selecciona la opción versiones previas. Ahora podrás ver todas las versiones previas disponibles de un archive específico (tal como en Shadow Volume Copies). Selecciona la versión deseada y después haz clic en el botón restaurar.

Fuente: https://www.2-viruses.com/ctb-locker-ransomware-or-how-to-decrypt-encrypted-files

Leer "Ransomware CBT Locker ou como desencriptar ficheiros encriptados" en otros idiomas

46 responses to “Ransomware CBT Locker ou como desencriptar ficheiros encriptados

  1. me sucedió lo mismo con ese remansarey busque por todo lado la solución pero no logre encontrarla mediante la WEB, de un momento a otro formatee mi equipo esperando que el virus fuera eliminado y los archivos desencriptados, efectivamente fue eliminado el virus pero mis archivos quedaron encriptados y quede en las mismas.
    no encontré nada en la Web y siguiendo mi instintos informáticos después de un dolor de cabeza logre solucionarlo por completo… lo logre y sin pagar ni un peso porque para mi no era seguro si pagando me dieran tal clave.
    si gustan me pueden escribir a mi correo y le colaborare con la solución.
    [email protected]

  2. Buenas tardes Fernando, puedes compartir cómo hiciste para recuperar los archivos encriptados?
    Es cierto lo que comentas sobre eso de que no es seguro saber si pagando te darán la solución.

  3. No entiendo Fernando Daza si pasaste por lo mismo que todos nosotros, no hay un poco de nobleza en ti y publicas lo que a ti te resultó

    Atte.

    Jacky

  4. Me paso lo mismo… 🙁

    Creo que lo de Fernando Daza solo es una broma, le mande un correo y no contesta. Si alguien encuentra la manera de desencriptar los archivos que por favor comparta la solución.

    Jimmy.

  5. No hay manera de desencriptar los archivos, no sin la cadena original con la que fueron encriptados.

  6. en estos momentos tengo mas de 1000 correos y siguen llegando para que les colabore a desencriptar archivos por el remansarey…. aunq crean que es una «broma» tomenlo como quieran pero creamen que lleva un proceso y en si no puedo hacer todo al mismo tiempo y menos con mas de 1000 correos solicitando lo mismo con diferente cantidad de archivos.

  7. Como hay gente tan ingenua, Fernando Daza les esta tomando el pelo. Toda persona que te diga contactame por correo para que te pase la respuesta es una perdida de tiempo.

  8. Y porque no solo poner la solución en vez de hacer los 1000 correos solicitados??? Deberias de poner las instrucciones para que nostors mismos los hagamos

  9. se pierde menos pagando al cibercriminal que leer egos elevados de este muchco daza, si lo hubiera logrado ya estaria algun video en youtube. si alguien encuentra la solucion por favor comparta.

  10. yo logre recuperar algunos archivos realizando un recovery con phoenix primero formatie el equipo y luego instale el programa de recuperacion el cual me recupero gran parte de los achivos asi como los encriptados

  11. como nada compadres, terrible el virus es pariente del evola vamos a ver de que se trata esta bueno el que le pilla la cura se hace millonario.–

  12. Shadow Explorer o Restaurar a punto de restauracion como forma nativa, Fernando…sos un tarado…

  13. La verdad si alguien a encontrado alguna solucion, compartala varios estamos sufriendo con este tema. Pienso que es mas facil y rapido publicar la solucion que tratar de contestar a miles de usuarios entrampados con esto.

  14. sí, es más fácil si alguien lo publica, esta semana me sucedió a mí y tengo archivos muy importantes.
    gracias.

  15. Estoy de acuerdo para poder solucionar esto por favor si alguen save algo comparta estoy investigando y no encuentro algo concreto

  16. BUE DIA
    ESTOY EN LAS MISN¿MAS SIN ENCONTRAR UNA SOLUCION, ALGUIEN TIENE ALGUNA. PORFAVOR COMPARTANLA

  17. Sera dificil encontrar una solucion gratuita, todos los antivirus no pueden corregir el problema, apoyense con gente que al menos pueda asesorarlos en que hacer, yo tuve un caso y me apoyaron los cuates de http://ransomdecrypters.com.mx , tuve que pagar pero al menos ya restaure la actividad en la empresa, suerte a todos

  18. sera que este men les esta cobrando q no quiere dar la solucion o q??
    en fin busquen una herramienta shadowexplorer en un equipo me recupero 60 Gb de archivos encriptados pero en el server sigo buscando como desencriptar jajaja 🙁

  19. Les comento que yo corri el Shadow Explorer y funciono porque había un copia de seguridad guardad por el sistema, fue realmente muy sencillo es como volver a un punto de restauración, el problema es en el servidor donde esa opción no esta habilitada, por consecuencia no había copias de seguridad, corri un software para restaurar archivos eliminados y tampoco resolvió el problema….

  20. No perder su tiempo, ignorar totalmente a ese Fdo Daza.. Es alquien de baja estima que solo quiere figurar …

  21. HOLA BUENAS TARDES, A MI ME HA PASADO HOY, Y HE RECUPERADO ALGUNOS ,POR LO MENOS LOS QUE MAS UTILIZO.
    PINCHO CON EL DERECHO LA CARPETA QUE QUIERO Y PONGO RESTAURAR , ME SALE LA FECHA DE LA ULTIMA VEZ QUE LO UTILICE Y HASTA ESA FECHA LO PUEDES RECUPERAR.
    PONE OPCIÓN COPIAR Y O COPIO EN DISCO C CON UNA CARPETA QUE
    ABRO PARA RECUPERAR LOS QUE PUEDA .
    ASI UNA A UNA, HE PODIDO RECUPERAR LAS QUE MAS UTILIZO.
    ES UNA FAENA ENTRETENIDA PERO LO HE RECUPERADO CASI TODO.

    UFFFFF

  22. Tenía encriptados casi todos los archivos con CBT Locker, terminación .OSQRQCI y por varios días traté de desencriptarlos y no logré nada. Pero usando Shadow Explorer pude recuperar casi el 100% de los archivos encriptados.

    Gracias por su valiosa ayuda.

  23. Hola a todos, Me acaba de pasar esta misma noche. He intentado reiniciar en modo seguro y ya no me deja. Respecto al Shadow EXplorer, supongo que lo tendríais ya instalado, o lo habéis descargado una vez el ordenador lo teníais encriptado?
    De informática ando justito, y era lo que me faltaba para culminar con una semana plagada de examenes…

    Gracias por vuestra ayuda.

    Y en caso de solucionar y desencriptar los archivos, de qué manera se puede evitar una nueva encriptación del equipo?

    Si alguien sabe, agradezco un montón que comente el posterior control de estos impresentables.

  24. Para evitar el cifrado la próxima vez, siempre mantén tu ordenador asegurada con aplicación anti-malware digno de confianza, como SpyHunter o StopZilla

  25. ayuda porfavor yo al instalar shadow explorer me sale un error alguien me ayuda?

  26. Cuales son los pasos a seguir para abrir los ficheros incriptados virus ransom:html crowti.a

  27. En mi experiencia probé de todo y nada, lo único que me quedó es pagarle el rescate a los rusos, me salió caro pero cumplieron su palabra y me mandaron el .exe y un código para desencriptar los archivos, recuperé casi todo, lo más importante del trabajo.

  28. Solo hay dos formas de recuperar, instataneas de volumen (shadow copy) si las teneis actiadas claro, o tener suerte de haber instalado algun software anterior al ataque y tener un restaurar el sistema a un punto anterior. Cualquier otro metodo ES MENTIRA O DE PAGO (ejemplo http://bmatika.es/solucion-para-cryptolocker/)

    Suerte

  29. Yo tengo un problema mas grave, no investigue sobre el virus y solo formatié sin fijarme en las otras unidades, ahora el pc está limpio pero los archivos de las unidas quedaron todos encriptados, no puedo volver a una copia de seguridad antigua de windows, que puedo hacer? ayuda!! años de perdida de trabajo.

  30. Me encriptaron los archivos el 16/11/2015 y pedian dinero. a los 6 días se volvieron a conectar y dejaron mensaje de que desencriptaban todo sin pedir a cambio nada.

  31. hola jorge, a mi me lo encriptaron todo el sabado recien pasado, 21/11….. crees que si espero 6 dias todo vuelve a la normalidad???? todo tiene extencion .ccc AYUDA… porque tambien me afecto mi dropbox 🙁

  32. Hola Carola, para los archivos de Dropbox puedes iniciar sesión en el sitio de DropBox. Después navega a la carpeta donde se encuentra el archivo que deseas. Haz clic derecho sobre el archivo y selecciona la opción versiones previas. Ahora podrás ver todas las versiones previas disponibles de un archivo específico. Selecciona la versión deseada y después haz clic en el botón restaurar.

    Slds.

  33. aaaaaauxilioooooo aparentemente toooodos mis archivos de fotos, musica y documentos no me abren y me dice q no reconoce el format y que busque uno en internet para poder abrirlos. pero el problema es que mi compu se daño y se saco el disco duro para otra compu y tampoco abren,,,,se ven como si estuviecen encriptados pero no dice si lo estan. hace como dos semanas de esto. La compu al parecer se le daño el motherboard. alguien que me ayude por favor, gracias por adelantado,,,,

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Comentarios recientes

Guías de seguridad

Entradas recientes