Recuperar archivos “locked” encriptados por virus GEMA / Policia / SGAE

En fin, sigo con el virus GEMA que ya ha dado para dos entradas (Policía y SGAE). Hoy me las estoy viendo con una de las secuelas de dicho virus.

La “gracietta” te la está haciendo el troyano Ransom, que tiene el mal vicio de encriptar los archivos y renombrarlos como “locked-nombre del archivo.extesión aleatoria”.

Lo primero, lo básico, es tener una copia sin encriptar de alguno de los archivos bloqueados, ya que ambas herramientas que he utilizado requieren de una. La idea es que los programas que usaremos para recuperar utilizarán el par de archivos para extraer la clave de encriptación, comparando el “sano” con el encriptado.

Primero recurriremos a San Kaspersky y su Ranoh Decryptor que podéis bajar desde ese enlace. Lo ejecutáis con permisos de administrador, entráis en Change Parameters, y ahí elegís qué discos queréis inspeccionar y si queréis que se borren las copias encriptadas de los archivos que se van recuperando. Al pulsar Start Scan os pedirá primero la ruta del archivo “sano”, el que no ha sido bloqueado y encriptado, y luego os pedirá la del mismo archivo pero bloqueado. Tras elegir los dos, irá buscando y recuperando los archivos encriptados.

En la prueba que hice logró recuperar 19 archivos. No es moco de pavo, pero era un porcentaje muy bajo. Lo siguiente fue descargar Avira-Ramson File Unlocker y descomprimirlo. En este caso la interfaz es más clara: arriba el archivo encriptado, abajo la copia “limpia”. Seleccionáis ambos y luego tenéis dos opciones. El botón Unlock folder, que deja elegir una carpeta, y el botón Unlock Single File que nos deja ir uno por uno. En la prueba encontró 3 al usar la selección de toda la carpeta (decepcionante), pero si vas uno por uno los va a arreglando. Parece que falla al reconocer el nombre de los archivos bloqueados. El problema de ir uno por uno, además de que es un coñazo, es que no te permite borrar automáticamente los archivos reparados, y además, la copia recuperada la guarda con el nombre de archivo segido de la extensión .decrypted, por lo que tienes que ir cambiando el nombre a mano a los archivos para que funcionen. Un coñazo, pero si sólo quieres recuperar lo importante y cargarte la paja, es una solución.

En fin, que ya van tres entrada sobre el tema, espero que no de para más.

Anuncios

77 comentarios en “Recuperar archivos “locked” encriptados por virus GEMA / Policia / SGAE

  1. elena

    Muchisimas gracias por la información, he conseguido desencriptar mis archivos, TODOS y eran muchísimos, lo que hice fue ejecutar el Ranoh Decryptor desde modo seguro y como por arte de magia los “locked” desaparecieron, estoy contentísima. GRACIAS

  2. urur

    perodn pero no tengo encriptadas algunas cancines y he hecho una copia de una y hago lo ke me dices pero no me pide que seleccione los dos archivos ¿ que hago?

    1. Los dos programas te piden que selecciones dos archivos. En el de Kaspersky te pide primero el “limpio” y después el encriptado y en el segundo ya ves dos campos de texto con el botón browse al lado.

      1. Como ya se ha comentado por ahí abajo, existe una posibilidad. Copia la música de muestra, o las imágenes de muestra, de otro equipo con el mismo Windows que el tuyo (si es Vista, Vista, si es 7, 7) y úsalos como “original”.

  3. Paco

    Gracias por la ayuda.
    166.991 archivos procesados.
    5401 encontrados. 5401 desencriptados
    Solo se le han escapado 15
    Hay otro aspecto de la infección que todavía no he logrado solucionar. He desinfectado el ordenador con Panda Rescue Disk y aparentemente me ha eliminado el virus, pero permanece deshabilitado el administrador de tareas, el editor de registro y otras utilidades win. No he encontrado ninguna referencia en este sentido.
    ¿alguien sabe como solucionarlo?

  4. ines

    Buenas.
    he intentado arreglar un pc con lo que habéis comentado anteriormente pero no me sirvn los programas, ya que los archivos que tengo son mayores de 4kb y no tengo los archivos limpios como lo hago

    1. crs

      seguro que tienes algún archivo, ya sea que te lo enviaron por mail y lo guardaste, el que guardaste estará contaminado pero el que te descargues de tu mail estará limpio pruebalo a mi me funcionó

  5. sergio

    hola he sido infectado por este virus, el cual tambien me ha infectado mi copia de seguridad en dropbox, me paso lo mismo que ha mucha gente, tengo una copia guardada en un disco duro con los originales pero sin guardar cambios desde hace dos semanas……si yo pruebo con estos archivos, me recuperará los originales que han sido encriptados? ayuda que es mi Proyecto Fin de Grado el cual entrego en un mes…..gracias

  6. Hibryd

    Muy buenas, no he posteado nunca pero he tenido una idea que me ha funcionado e igual os vale. Soy tecnico de una tienda de informatica y la verdad es que la reparacion de estos archivos es algo que nos piden habitualmente. En mi caso suelo repararlo de la siguiente manera. Si no tienes ninguna arvhico “original” lo que puedes hacer es coger la musica de prueba de otro pc (con el mismo S.O) y ahi ya tienes un original para compararlo con el que tendras en el PC infectado. La musica de muestra al final nos va a valer para algo 😀

  7. Buenas noches,
    llevo dos días intentando quitar este virus. Se da el caso de que es una versión nueva y ninguno de los antivirus que he probado lo detecta. He probado con el Avira Rescue System y con Malwarebytes iniciando desde un USB con MiniXP. Alguien sabe cómo se cuela en el arranque este virus? Tengo acceso al registro del sistema offline y he mirado por todas partes, pero no encuentro cómo narices se inicia. Eso aparte de cantidad de archivos de datos de la empresa encriptados. Bueno para estos seguiré los pasos que he leído aquí y por los que estoy muy agradecido.

    Gracias
    Un saludo

    1. sergio

      Buenas noches,

      yo elimine un programa de inicio que localice en msconfig-inicio. En mi pc aparecia una aplicacion llamada algo asi como FB8C43S23…Marque la opcion de inicio selectivo para probar desmarcando el inicio de esa aplicacion. Luego lo busque en REGEDIT y lo elimine del registro. No me ha vuelto a aparecer la pantalla de la policia. Espero que te sirva de algo.

  8. Javi

    gracias por la informacion, yo he pasado malware desde modo seguro en red (lo descargue todo en modo seguro), despues he pasado Ranoh decriptor tambien en modo seguro y ya esta, recupere todos los archivos encriptados directamente
    tengo win7 y mi portatil es HP. al final pase el norton y detecto algo pero eran cokies. no ha vuelto a aparecer el problema pero, ¿tengo forma de asegurarme q esta limpio del todo?
    gracias por la ayuda

  9. javi

    Muchas gracias por la información, con la primera opcion he recuperdo todos los archivos 13.000 solamente…. Perfecto. No entiendo como se colo el virus, estaba navegando, tenia el antivivus y el windows actualizado.

  10. MTeDaCandela

    Bueno lo primero agradecer todos y cada uno de los aportes es la primera vez que posteo: lo primero trabajo en la reparación de pc y por intuición hice casi todas las opciones que comentan y todas me han servido. Así que seguod posteando que esto es una gran ayuda para los que no entienden tanto del tema por ello presento mis respetos y haber si puedo colaborar en algo

  11. leticia

    Hola…
    He podido recuperar los archivos,pero luego cuando les abro me pone que está dañado…uso el segundo programa que habeis dicho pero me pone algo de que debe ser más de 4k o algo así…¿¿podeis ayudarme??

    1. MTeDaCandela

      Busca cualquier archivo de mas de 4Kb que tengas limpio y bloqueado (encriptado) puedes elejir la opcion que dijo el compañero hibryd : “lo que puedes hacer es coger la musica de prueba de otro pc (con el mismo S.O) y ahi ya tienes un original para compararlo con el que tendras en el PC infectado. La musica de muestra al final nos va a valer para algo :D”

      1. leticia

        Hola de nuevo,
        He recuperado todos los archivos,pero por ejemplo cuando abro una foto “recuperada” me pone que el archivo está dañado o que no sea compatible…Si he recuperado unas 200 fotos, 180 cuando las abro me pone eso,en otras no…¿alguna solución?

        Muchas gracias

  12. leticia

    Hola de nuevo,
    He recuperado todos los archivos,pero por ejemplo cuando abro una foto “recuperada” me pone que el archivo está dañado o que no sea compatible…Si he recuperado unas 200 fotos, 180 cuando las abro me pone eso,en otras no…¿alguna solución?

    Muchas gracias

  13. leticia

    Hola otra vez…
    he ido restaurando a fecha de antes del virus algunas fotos y por fin las he podido ver,pero cual es mi sorpresa que se ha creado un nuevo punto de resturación a hoy y no puedo selecionar el punto de restauración desde el que podía recuperar archivos…¿alguna ayuda?

    un saludo

  14. Hibryd

    Buenas! Completando un poco la informacion que puse anteriormente (coger musica o imagenes de muestra) podreis pensar, ¿y si he borrado la musica de muestra? Pues no os preocupeis, porque la musica de muestra nunca esta en vuestro usuario, siempre esta en el usuario “all users”, por lo tanto siemplemente tendreis que entrar en ese usuario y comparar ese archivo con el original que no este infectado. Saludos y animo! 😀

  15. Sonia

    Eres una maravilla, gracias de verdad. Limpiar el virus fue una odisea pero los archivos ya los daba por perdidos, he recuperado la mayoria de fotos que era de lo unico que no tenia copias de seguridad. Has sido como un angel de la guarda para una inutil en esto de los ordenadores como yo

  16. juantal

    Muchas gracias ese puto virus me lockeo todo el dropbox del curro y me querian linchar gracias al karspersky y tus consejos rockanroleros me he librado de una buena, muhas gracias donnie

  17. luismi

    muy buenas
    El problema que tengo es que tengo un monton de fotos locked que no puedo “comparar” con otras buenas. Me pordrían ayudar?
    Gracias adelantadas

  18. Darkwizard

    Tu blog de cabeza a los marcadores… Me pasaron tres equipos infectados, los dos primeros simplemente con el malwarebytes entrando en modo a prueba de fallos quedaron “funcionales”, el tercero no entraba a modo prueba de fallos, solucionado eso y pasado el malwarebytes cuando iba a avisar a la dueña… locked-file! Ahora probaré esto que has puesto. Me empieza a caer mal el virus GEMA

  19. Blanco

    Hola a todos, a ver si me entero …. si yo tengo 20 carpetas de fotografías….y no tengo copia de seguridad ni nada de esas fotos…ejecuto el programa del Kapersky qué comparo con qué? por favor que alguien me ayude….necesito recuperar esas fotos

    1. Necesitas una copia sin encriptar de uno de los archivos encriptados, que ocupe más de 4kb. Como se ha dicho por ahí arriba, si en la carpeta de “Música de muestra” o en la de “Imágenes de muestra” se te han comprimido los datos, puedes copiar la música o las imágenes de muestra de otro equipo y usar uno de ellos como “muestra limpia”.

  20. Blanco

    pues arreglado, pero no sé porque este programa necesita un solo archivo de los “sanos”, en fín, no busquemos los por qués de las cosas. Gracias

    1. Hibryd

      Buenas de nuevo, te aclaro porque necesitas simplemente un archivo para desencriptar todos. Lo que hace el virus es aplicar un algoritmo de encriptacion. Lo que hace es aplicar ese algoritmo de la misma manera para todos los archivos que infecta. Para que me entiendas, imaginate que tus archivos son numeros (1,2,3,4,etc..) y este “virus” lo que hace es multiplicarlos todos x5. si tienes unos sano puedes sacar el factor de multiplicacion. Ejmpl: archivo.sano x “factor del virus” = archivo.infectado. Con esto, si tienes 3 factores y sabes 2 de ellos (archivo.sano y archivo.infectado) despejas ya puedes sacar el factor. Por lo tanto ya puedes desencriptar el resto de los archivos, que como he dicho antes, estan todos encriptados de la misma manera (manera aleatoria para cada infeccion).

      Si os pego chapa me avisais y paro xD. Suerte a todos.

  21. Muchas gracias por toda vuestra información y comentarios. El maldito virus se me coló ayer (aún no tengo claro cómo pero intuyo que por algo de una actualización de Java). He pasado la noche en vela pero he podido limpiar y recuperar todo.
    Saludos y suerte!

    1. Bueno, vuelvo a ser yo…
      Hay que ver qué poco me ha durado la alegría 😦
      Aparentemente los archivos parecían estar recuperados pero, ahora que me lo he mirado con tranquilidad, me he percatado de que todos los documentos de Word (*.doc), a pesar de haber recuperado el nombre y de conservar su tamaño, están corruptos.
      También he encontrado varias imágenes/fotografías (*.jpg) que sólo muestran manchas de colores.
      Por si acaso no miro nada más por hoy o la mala leche no me dejará dormir.

      Por favor, si a alguien se le ocurre o sabe alguna forma de poder solucionar lo de los documentos de Word, le estaré eternamente agradecida (la herramienta “Abrir y reparar” no abre ni repara).
      Muchas gracias.

      Saludos

  22. Gio

    Hola,
    gracias por las informaciones, estoy ejecutando el programita y me está haciendo el scan, lo único es que en ningún momento me ha pedido el archivo “sano”, ¿Será que lo pide después? Me ha pasado mi hermano una canción de música de muestra y lo iba a hacer con esa, pero nada, no me lo ha pedido.
    Supongo que el scan irá para largo, espero mañana tenerlo solucionado… Aunque leyendo los comentarios me quedo bastante desanimada al ver que es dificil recuperar todo 😦

    Un saludo

  23. fran

    He seguido los pasos con los dos programas para la desencriptación del virus locked las fotos, al intentat abrir, me dice que el archivo o está dañado o no es compatible. Alguien sabe como poder solucionarlo. Gracias

  24. Antonio

    Buenas!! El otro día se infectó mi pc con una variante del virus por lo que veo aquí, ya que “sólo” me ha encriptado los archivos tipo “.txt” y “.doc” (“.docx”). He usado varios programas para desencriptarlos, pero, cual es mi sorpresa cuando veo que los documentos originales sin infectar y los infectados fallan en varios bytes de tamaño!!!! Si es el mismo, descargado del mismo sitio, no modificado, cómo es que tienen tamaños distintos aunque sea solo 20 bytes??? Ya no sé qué hacer porque todas las copias sin infectar difieren en varios bytes con los archivos encriptados… a alguien se le ocurre algo???

  25. Silvia

    Hola!! me pasa lo mismo que a Fran, “las fotos, al intentat abrir, me dice que el archivo o está dañado o no es compatible”, alquien sabe como solucionarlo?

  26. jacko

    gracias por la ayuda, con el Ranoh Decryptor en modo seguro fue genial,mas de 16.000 archivos recuperados en 30 min. El archivo limpio que usé fué una de las “imagenes de muestra” de windows bajada desde google imagenes,gracias de nuevo

  27. ea7

    olaaa llevo un odias con este problema ya he ejecutado el karperski y me ha desencriptado muchas cosas pero tngo 2 problemas nsoe dodne se guarda lo ke me a desencriptao y sigo tneindo la pantalla en negra y no ve qe esto este bien del todo algien me peude ayudar gracias

  28. Silvia

    Hola!! ¿Nadie ha encontrado solucción para recuperar archivos corruptos o dañados una vez desencriptados? He probado de todo, a ver si alguien sabe si se puede hacer algo. Gracias!!!

  29. Andrés

    Hola

    hace un par de meses abri la pagina http://www.boxset.ru, con el solo abrirla se metio el virus SGAE. desafortunadamente en esos momentos tenia conectado al ordenador el disco duro ext con toda mi musica de 10 años (360 GB) de esfuerzo en formato Mp4a en itunes. el virus me dejo todos los archivos en locked y con un programa que no lo recuerdo pude salvar todas las fotos y la musica quedo activa para escucharse en VLC y en Winamp, pero no abre por itunes, queria preguntar a algun buen samaritano si sabe como recuperar esos archivos en Mp4a o como poderlos pasar a mp3 o pasarlos a estos otros formatos y podelos volver a meter en el IPOD

    agredeceria cualquier ayuda y podria enviar por email algun archivo (no esta infectado, sol oque no abre con itunes)

    por favor ayuda, estare atento a cualquier ayuda

    mi email andresmerinov@gmail.com

    Gracias!!

    Andrés

  30. Loly

    Hola!! ¿Nadie ha encontrado solucción para recuperar archivos corruptos o dañados una vez desencriptados? He probado de todo, a ver si alguien sabe si se puede hacer algo. Gracias!!!

  31. Marcos

    Hola, yo he sido infectado por el virus GEMA y he pasado el kaspersky rescue, me ha encontrado algunos virus troyanos, y despues de reiniciar el ordenador, nuevamente me sigue saliendo la pantalla en negro, no hay manera. En modo a prueba de fallos con conexion tambien sale la pantalla en negro, solo se ve el puntero del raton. ¿Alguien puede ayudarme, por favor?. Todavia no he llegado a eso de los archivos encriptados, pues tengo la pantalla totalmente en negro. Muchas gracias anticipadas por vuestra ayuda.
    Un saludo.

  32. Jose

    Hola !!

    He sido uno de los infectados por el asqueroso virus y he conseguido desinstalarlo del ordenador con el Malwarebytes Anti-Malware, desencriptar todos los ficheros automaticamente con el rannohdecryptor y recuperar los corruptos de manera MANUAL con Avira-RansomFileUnlocker-1.0.1.
    Principalmente no podia abrir ficheros bitmap… jpg,tif,dpx,nef..etc…

    Para los que pregunteis la forma de recuperar los archivos corruptos una vez desencriptados….ejecutar el Avira-RansomFileUnlocker-1.0.1, introducir el fichero corrupto donde pida el encriptado / locked y el fichero legible en donde os pida el original…..armaros de paciencia porque ha de ser uno a uno y tendreis que quitarle la extension que automaticamente os genera.

    Mucho animo y paciencia !!!
    Lo mas importante es que son RECUPERABLES.
    Gracias a todos por compartir vuestros concimientos.

  33. jorge

    hola me ha entrado algo y me ha creado una extension .done y me he vuelto loco y aunque utilizo el pograma de karspesky para desemcriptar no hace nada me podeis dar una idea, gracias

  34. Buenas! tengo muchos archivos que han pasado a la extension .done
    le intento pasar el RannohDecryptor pero me dice el error “encrypted file does not equal to original” aunque si que pesan lo mismo….la diferencia es de pocos bytes….
    el original es:
    121 KB (124.153 bytes
    el encriptado es:
    121 KB (124.165 bytes)
    y el tamaño en disco es el mismo.
    como puedo hacer que sean exactamente iguales para que se puede ejectura el RannohDecryptor.exe?? no son todos los archivos los que están infectados. los de la musica de muestra están bien por ejemplo.
    son archivos de la empresa así que si que tengo copias de algunos de ellos por ahi pero con todos los que he probado siempre me dice que no pesan igual
    alguna idea please??

  35. Carismatiko

    Intento hacerlo con la música de muestra, con un word que tenía en el correo afortunadamente y me dice que no son el mismo archivo. Estoy un poco desesperado. ¿Alguna solución? Gracias.

  36. Antonio V

    Buenas noches, mi servidor ha sido infectado por un virus children o algo asi y me ha encryptado todos los archivos txt.bmp.y la base de datos de sql , mi sistema operativo es SERVER 2003, hemos probado con varios programas para desencryptar Kasperky , Panda, Archpr, y algunos mas pero no hay manera, tengo archivos originales pero aparece ser que la encryptacion es muy larga y no consiguen descifrarla, el mensaje que sale me dice que pague y me envian los codigos, pero ya me han dichos muchos que eso no funciona.
    Alguien me puede ayudar ya que si no recupero la base de datos estoy muerto, pues mi trabajo depende de acceder a ella
    Gracias

  37. juan carlos

    Hola amigo, yo tengo un problema ya que todos mis archivos de word, jpg etc… estan convertidos en .html los cuales fueron dañados por un virus que te manda a una pagina que dice que tienes que depositar cierta cantidad para que ellos te los desbloqueen. crees que este programa pueda con ese tipo de problema??
    Saludos!!!!

  38. Jimmy

    hola mi problema es que ningun programa me reconoce los archivos encriptados y es que tengo uno limpio. es decir cuando escojo los archivos me dice que no se desencripto el archivo, otro me dice que un virus lo modifico. alguien podria ayudarme gracias

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s