cifrado en linea o clave sin conexión
Si desafortunadamente tienes la variante .djvu o una de las que abajo te ponemos hay una mala noticia: tus archivos muy difícilmente podrán ser descifrados, sólo existe una posibilidad y es mínima.
Dentro de estas variantes existen claves de cifrado conocidas como claves en línea o clave sin conexión y lamento decirte que los archivos encriptados con claves en línea son imposibles de descifrar.
Identificar si los archivos esta´n encriotados en linea o sin conexión
¿Como puedes identificar si tus archivos están infectados con la encriptación en línea o sin conexión? Primero busca el archivo personal y de txt ubicado en la carpeta de sistema en el ordenador infectado y verifica si sólo hay una o hay varias y de si la identificación de estos archivos termina con t1.
Existe la posibilidad de que algunos de sus archivos hayan sido cifrados con la clave sin conexión y sean recuperables por ejemplo si ninguna de las identificaciones enumeradas termina con t1, lo más probable es que todos tus archivos se cifraron con una clave en línea y no se pueden recuperar porque una encriptación con clave en línea es imposible de recuperar.
¿Cómo funciona la encriptación?
encriptación en linea
En las variantes más nuevas de este virus los delincuentes cambiaron a una nueva clave criptográfica fuertemente protegida por el algoritmo rsa.
Cada archivo se genera de forma segura con una nueva clave que internamente usa clip en random que no puede ser forzado.
El cifrado es exactamente el mismo independientemente si se trata de una clave en línea o clave sin conexión. Si lo que cifró tus archivos puede conectarse o comunicarse con sus servidores de comando y control, obtendrá y utilizará una clave en línea única generada aleatoriamente que le permitirá seguir cifrando archivos.
Con esa clave de la memoria el malware está programado para ejecutarse sólo al inicio y con una tarea programada cada cinco minutos lo que le permite seguir repitiendo los intentos de comunicarse con los servidores y recuperar una clave en línea.
Sin la clave rsa privada maestra que se puede usar para descifrar tus archivos, el descifrado es imposible, si el malware no puede conectarse o comunicarse con sus servidores y no obtiene una clave en línea se dará por vencido y recurrirá al uso de una clave sin conexión.
encriptación sin conexión
La clave sin conexión es una clave de cifrado integrada codificada que se utiliza con unidades sin conexión integrado en el momento en que el ransomware cifró sus archivos. Cada extensión de variante solo tiene una idea sin conexión una cadena de números y letras que identifica la computadora infectada ante el ransomware que generalmente termina en tf1 por lo que suelen ser fáciles de identificar dado que la clave sin conexión solo cambian con cada variante.
Las personas cuyos archivos se hayan cifrado con la misma variante tendrán la misma idea y los archivos se podrán descifrar con la misma clave o clave privada en el caso de cifrado rsa.
El descifrado de nuevas variantes de este es posible si está infectado con una clave sin conexión sólo después de obtener y compartir la clave privada correspondiente de las víctimas que pagaron el rescate por una variante específica.
Las claves sin conexión funcionarán para todas las víctimas que fueron encriptados con la misma clave si no hay claves sin conexión disponible para ninguna variante específica sus archivos no se pueden descifrar.
Listado de extensiones que pueden tener este ransomware
Aquí os pongo una lista de las diferentes extensiones que puede tomar este destructivo virus (ransomware).
Si tienes la mala suerte de que tu equipo se haya infectado, los archivos corrompidos pueden tomar alguna de las siguientes extensiones. Pincha en la imagen para hacerla mas grande
Puede ser de gran ayuda copiar os archivos en un sitio seguro por si en algun momento puedes volver a ellos y tratar de desinfectarlos. Tambien te puede servir de ayuda en caso de que borres algo que quizás no deberías.
Si tienes copia de seguridad vas aa poder restauarlo.
