He encontrado una posible solución al problema.
Trabajo en una empresa de backup remoto de Huesca y, aunque no es mi cometido le desencriptar archivos ya que lo que hacemos es guardar la información de nuestros clientes para evitar que les pasen estas cosas, he indagado en el tema porque algún conocido ha sufrido el ataque, no tenía copias con nosotros y quería ayudarle.
La cosa es que esta variación, por lo que veo, es un poco diferente a las anteriores. Muchas empresas de antivirus (panda, kaspersky) tienen herramientas para descifrar el famoso virus. Te piden un archivo original (en claro) y el mismo encriptado. Comparando los dos con una operación matemática te sacan la clave de cifrado.
Para esta última versión no sirve este sistema (o a mí no me ha servido) porque te pide la clave a la hora de abrir el archivo. Os cuento lo que he hecho.
Tras buscar por muchos foros y páginas en Internet he encontrado la página del “DrWeb”, dejo enlace: https://vms.drweb.com/sendvirus/?lng=en
En dicha página me han pedido lo siguiente:
1- Fichero codificado y fichero original (yo los mandé en un rar). En este punto nos pide que le pongamos también la opción que deseamos (marcar opción "petición de cura") y en las observaciones comentarle el correo al cual nos pide el archivo cifrado que enviemos el dinero para que nos den la clave. En este caso es "
[email protected]" (Sale en el nombre del fichero). Tras esto nos contestarán en un correo con el número de la incidencia y otro posterior (varias horas con el paso 2 que explico a continuación).
2- Acceso al sistema operativo infectado y ejecución de los siguientes comandos:
- dir C:\/s/a>"%userprofile%\dirc.log" (Genera un log informativo de los directorios del sistema)
- explorer.exe /select,"%userprofile%\dirc.log" (Busca, encuentra y marca el log en cuestión)
- Envío del log por medio de correo electrónico a la dirección "
[email protected]".
Tras todos estos pasos, si hay suerte y todo está correcto, nos enviarán unas claves de restauración únicamente válidas para nuestro sistema infectado. Cada sistema infecado tiene su propia clave.
Me han comentado que si no tienes acceso al Sistema Operativo infectado para ejecutar este comando es prácticamente imposible recuperar la información y si se puede recuperar, será un proceso muy lento (en tiempo) y costoso (en €).
Espero que os sirva la información. A mí me ha permitido desencriptar los archivos.
Cualquier duda que tengáis podéis contactar conmigo en la dirección de correo electrónico “
[email protected]”.
Un saludo.
Javier