por desencriptar los archivos o recuperar el control del sistema operativo. El sistema de difusión de este troyano es a través del correo electrónico. La idea es engañar al usuario para que abra un link que se suministra en el mismo mail cuyo origen es de "Correos" informándonos de que tenemos un paquete a la espera de ser entregado y que la demora en la recogida será castigada pagando un plus por día transcurrido. Cryptolocker secuestra tu sistema y comienza el proceso de encriptación de los datos usando una clave pública RSA-2048 y luego pide un rescate en Bitcoins

de alrededor de unos USD300$ que deberán ser abonados antes de 72 horas o se perderá la contraclave para poder recuperar los archivos. Los consejos para no caer en este tipo de infecciones es la misma de siempre en cuanto a seguridad en correo electrónico se refiere: Reparación de ordenadores

· Extremar las precauciones ante emails de remitentes no esperados, especialmente para aquellos que incluyen ficheros adjuntos o con enlaces externos
· Desactivar la opción de Windows que oculta las extensiones conocidas también ayudará a reconocer un ataque de este tipo
· Es muy importante tener un sistema de backup de nuestros ficheros críticos, lo que nos garantiza que no solo en caso de infección podamos mitigar el daño causado por el malware, sino que también nos cubrimos antes problemas del hardware
· Si no tenemos un backup y nos hemos infectado, no hay que pagar el rescate. Esta nunca debería ser la solución para recuperar nuestros ficheros, ya que convierte a CryptoLocker en un modelo de negocio rentable, lo que impulsará el crecimiento y la expansión de este tipo de ataque
[Fuente: Panda Security]

Mientras estoy escribiendo el artículo me informo de que al parecer un grupo de informáticos unidos a empresas de seguridad han descubierto mediante ingeniería inversa una forma de contrarrestar la encriptación sufrida por los datos y han colgado en la web una herramienta gratuita para las victimas de Cryptolocker que permite desencriptar los archivos. La Web es la siguiente: https://www.decryptcryptolocker.com y nos pedirá que introduzcamos uno de los archivos encriptados (a poder ser alguno donde no aparezca información personal ni importante ya que sólo servirá para sacar la clave privada necesaria para desencriptar) junto con una dirección de correo electrónico. Una vez lo estudien te enviarán la herramienta de desencriptación junto con la clave privada de tu caso donde ambos deberían ser capaces de desencriptar los demás archivos del ordenador.

Según la BBC un 1,3% de las víctimas del ramsomware han pagado la recompensa, que en principio puede significar poca cosa, pero resulta que la cifra que esta banda ha logrado conseguir es de USD$3 millones. Pagar no significa que consigamos que nos devuelvan la contraseña que desencripta los datos (no hay seguridad) sino que financias a este grupo a seguir con sus actividades o apoyas a otros a que hagan lo mismo así que es mejor no hacer frente al pago.

<ACTUALIZACIÓN 13 abril 2015> Existen muchas variantes de este virus. Cuando escribí este artículo, la página que desencriptaba los archivos funcionaba para una variante en especial pero mucha gente me llama diciendome que ya no funciona porque el virus que le ha infectado es más nuevo y esta herramienta funciona para la versión antigua del virus.

Puede que pasado un tiempo alguien saque la herramienta necesaria para una variante específica de este virus, a medida que me vaya encontrando estas herramientas las iré añadiendo a continuación. Espero que alguna pueda ayudar:

http://support.kaspersky.com/sp/downloads/utils/xoristdecryptor.zip

http://tmp.emsisoft.com/fw/decrypt_mblblock.exe

http://tmp.emsisoft.com/fw/decrypt_cryptodefense.zip

http://www.foolishit.com/

http://download.bleepingcomputer.com/cryptorbit/Anti-CryptorBitV2.zip

Otras 5 de Kaspersky que van actualizando: http://support.kaspersky.com/viruses/utility

<ACTUALIZACIÓN 6 mayo 2015>

Kaspersky ha iniciado un proyecto en el cual se recopila en una base de datos las claves de desencriptación. Para ello deberemos abrir el fichero TXT con las instrucciones que el virus nos indica que debemos hacer para el rescate de los datos, en él hay una dirección de una web donde copiaremos y pegaremos en nuestro navegador. Puede que nos indique que es un sitio no seguro (seguro que no lo es pero no tenemos más remedio que entrar) y nos saldrá una web indicándonos la cantidad a pagar y los métodos de pago. Nos interesa el apartado donde dice "cartera BitCoin personal" o "bucket", una línea de datos alfanuméricos parecida a esta '1FNmr3fT4CTWyiqYsmBAqMB4AlJKcwES'. Copiamos este código y nos dirigimos a la web de Kaspersky https://noransom.kaspersky.com/.

Pegamos los datos que hemos copiado anteriormente en la caja de texto y le damos al botón 'Check'. Si tenemos suerte tendremos nuestros datos de desencriptación, de lo contrario habría que ir accediendo diariamente a la web para verificar si tenemos la solución.

En el caso de que sí tengamos suerte y la web nos indique las claves de desencriptación nos indicará un link para descargarnos un programa de desencriptación (https://noransom.kaspersky.com/static/kaspersky-coinvault-decryptor.exe(el link ya no funciona)) donde deberemos facilitar el IV y el KEY que Kaspersky nos ha dado y seguir las instrucciones de pantalla.

Búsquedas relacionadas al post

• cryptolocker 2018

• cryptolocker recuperar archivos

• cryptolocker 2019

• cryptolocker descargar

• trojan.cryptolocker como eliminarlo

• ransomware

• cryptolocker ransomware

• crypt0l0cker7