¿Aún no formas parte de nuestro canal de noticias de Telegram?
¡Únete y mantente al día de toda la actualidad tecnológica!

Cryptolocker es un troyano ransomware, es decir, malware que se instala en nuestro ordenador para restringirnos el acceso a las zonas que infecta, en este caso, encriptando nuestros archivos. Como no puede ser de otra manera, el creador de este ataque busca su beneficio económico, así que nos pide una cuantiosa suma por darnos la clave que desencripte nuestros archivos.

Los gobiernos utilizan la expresión “No negociamos con terroristas“, y en Microsoft Insider, creemos que no hay que negociar ni ceder al chantaje de los creadores de este tipo de software. Por lo tanto, vamos a intentar explicaros el proceso para la eliminación del malware y la recuperación de vuestros archivos.

Estos últimos días, Cryptolocker se ha vuelto muy popular en España debido al incremento de la tasa de ciberataques de este tipo durante el mes de abril, según el Instituto Nacional de Ciberseguridad. Cryptolocker entra a nuestro equipo haciéndose pasar por un email de Correos, el usuario lo toma como original, sigue los pasos y finalmente acaba descargando un archivo ejecutable que parece ser un documento PDF. El texto vendría a ser el siguiente:

Su paquete ha llegado 29 de abril. Courier no pudo entregar una carta certificada a usted. Imprima la información de envío y mostrarla en la oficina de correos para recibir la carta cerficiada.

Descargar información sobre su envío.

Si la carta certificada no se recibe dentro de los 30 días laborables Correos tendría derecho a reclamar una indemnización a usted para el está manteniendo una cantidad de 8,95 euros por cada día de cumplir. Usted puede encontrar la información sobre el procedimiento y las condiciones de la carta de mantener en la oficina más cercana. Este es un mensaje generado automáticamente.

En esta parte deberíamos empezar a sospechar, primero porque el archivo descargado viene comprimido como ZIP y segundo, porque normalmente cuando abrimos un documento de PDF, Windows no nos pide permisos de administrador. En cuanto damos permisos de administrador al “inocente” archivo, estamos perdidos.

Así somos infectados por Cryptolocker, por Microsoft Insider

Cómo eliminar a Cryptolocker

Para acabar con Cryptolocker, vamos a necesitar dos herramientas: Norton Power Eraser y Malwarebytes Anti-Malware, con el primero eliminaremos el malware y con el segundo, los restos que queden una vez eliminado. A la hora de descargarlas, guardamos sus archivos de instalación en un pendrive, y reiniciamos el ordenador en modo seguro con funciones de red.

Los usuarios de Windows Vista y Windows 7, únicamente deben pulsar F8 durante el arranque de su equipo, y seleccionar Modo seguro con funciones de red con las flechas del teclado y pulsar Enter una vez esté resaltada dicha opción.

Modo seguro con funciones de red Windows 7

En Windows 8.1, el procedimiento es algo más largo aunque bastante simple, para empezar pulsamos la tecla Mayus mientras hacemos clic en Reiniciar. Pulsamos sobre Solucionar problemas, y a continuación sobre Opciones avanzadas, después en Configuración de inicio y en el botón Reiniciar. Una vez se reinicie, cuando nos aparezca la pantalla de configuración de inicio, pulsamos F5.

Modo Seguro Windows 8.1 por Microsoft Insider

Dentro del modo seguro, conectamos el pendrive y ejecutamos Norton Power Eraser con permisos de administrador, al ser portable, no requerirá de instalación. Aceptamos el acuerdo de licencia de Norton y clicamos en el botón Analizar en busca de riesgos. Nos aparecerá un mensaje diciendo que es necesario reiniciar, damos a Aceptar, y volvemos a reiniciar en modo seguro con funciones de red.

Norton Power Eraser para eliminar Cryptolocker por Microsoft Insider

Tras el reinicio, Norton Power Eraser se abrirá automáticamente, si no empieza el análisis, pulsamos nuevamente en Analizar en busca de riesgos. Una vez finalizado el análisis, hacemos clic en Reparar ahora, tras lo cual tendremos que reiniciar, aunque esta vez realizaremos un reinicio normal.

Norton Power Eraser para eliminar Cryptolocker por Microsoft Insider

Como podréis observar, Windows ahora se iniciará de forma normal y no nos aparecerá ninguna ventana emergente relacionada con Cryptolocker, aunque aún tendremos muchos archivos con una extensión .encrypted que tendremos que recuperar.

Por último, para asegurarnos de que no quede ningún resto de Cryptolocker en nuestro equipo, instalamos Malwarebytes Anti-Malware y hacemos un análisis. Así nos aseguramos de que no quede ninguna amenaza latente, y quién sabe si así descubrimos también algún malware oculto que no fuese este ransomware.

Cómo recuperar nuestros archivos

Windows Vista y Windows 7

Si sois usuarios de Windows Vista o Windows 7, nos vamos a ver beneficiados por la característica “Versiones de archivo anteriores”. En estos sistemas operativos, Windows al instalar actualizaciones suele crear un punto de restauración y con él, una copia oculta de nuestros archivos para restaurarlos en caso de que algo fuese mal durante la instalación de las actualizaciones.

Lo más sencillo en este caso suele ser abrir la ubicación que contiene la copia oculta de nuestros archivos, para ello hacemos clic derecho sobre la unidad en la que se encontraban, pulsamos en Propiedades y vamos a la pestaña Versiones anteriores donde seleccionaremos una copia con fecha anterior a la entrada de Cryptolocker y clicaremos en Abrir.

Versiones anteriores Windows 7 por Microsoft Insider

Aparecerá una ventana con todos nuestros archivos tal cual estaban en ese volumen del disco duro antes de la infección, de ahí copiaremos aquellos que necesitamos, ya sean todos o simplemente los de nuestras carpetas de documentos, música, imágenes… a nuestras carpetas habituales. Dentro de la ubicación de la copia oculta, recordad que las carpetas mencionadas anteriormente suelen encontrarse en la carpeta Usuarios > Nombre del usuario.

En la siguiente imagen podéis ver en el lado izquierdo, los archivos de la carpeta Mis documentos dentro de la copia de versión anterior, y en la derecha, la carpeta Mis documentos que utilizamos normalmente en la que ya se han copiado los archivos de la versión anterior, por lo que conviven los archivos encriptados con los que hemos rescatado.

Versión anterior y versión después de copia

Cuando hayamos terminado de copiar todos nuestros archivos, en el cuadro de búsqueda de la unidad o de las carpetas que hayamos restaurado escribiremos *.encrypted, esto hará que solo se muestren los archivos encriptados, que como ya habremos restaurado los archivos no encriptados, podremos eliminar directamente.

A continuación, tenéis una captura del mismo proceso de búsqueda para eliminar los archivos pero con la extensión .qeqhobk, archivos cifrados por CTB-Locker, una variante aún más despiadada de Cryptolocker, ya que si no pagas el rescate de tus archivos antes del final de una cuenta atrás, los destruye. Este tutorial es válido también para dicha variante.

CTB-Locker, Archivos qeqhobk por Microsoft Insider

Es necesario aclarar que al utilizar copias que Windows crea durante la instalación de actualizaciones, con este proceso y el siguiente para Windows 8.1, perderemos nuestros archivos y modificaciones realizadas desde que se creó la copia oculta, que bien podría ser del día anterior o de hace una semana.

Windows 8.1

A partir de Windows 8, Microsoft eliminó el acceso a la copia oculta como característica del sistema, aunque mantuvo los puntos de restauración y por lo tanto, se siguen haciendo copias ocultas de nuestros archivos. La dificultad aquí es que tendremos que utilizar un programa de terceros llamado ShadowExplorer.

Al haber cambiado Cryptolocker las extensiones de nuestros archivos a .encrypted, ShadowExplorer no reconocerá las copias ocultas de nuestros archivos, por lo que tendremos que eliminar dicha extensión de los archivos que queremos recuperar.

Como renombrar cada archivo puede ser un proceso tedioso, en Microsoft Insider, hemos creado un script .bat que lo hace por vosotros. Lo único que tenéis que hacer es copiarlo y ejecutarlo en cada carpeta cuyos archivos queréis recuperar. Podéis descargarlo desde aquí.

A continuación, abrimos ShadowExplorer, nos dirigimos a las carpetas que contienen los archivos a restaurar, los seleccionamos, pulsamos con el botón derecho sobre ellos y clicamos sobre Export. Elegimos la carpeta en la que queremos restaurar la copia de los archivos, pudiendo ser la original en la que estaban los archivos .encrypted u otra cualquiera. Si elegimos la original, nos preguntará si queremos sobrescribir los archivos, le decimos que sí. Repetimos este proceso con todas las carpetas que queramos recuperar.

ShadowExplorer por Microsoft Insider

Cómo evitar ser infectados por Cryptolocker

En el caso de Cryptolocker, el sentido común es nuestro amigo. Correos no suele enviar email para avisarnos de la llegada de una carta certificada, suele ser el cartero quien nos deja un aviso en el buzón de nuestra casa. Si encontramos más de dos faltas gramaticales claras deberíamos empezar a sospechar.

Normalmente en cualquier web semejante a la de Correos, a la hora de descargar un PDF, nos lo descarga directamente o nos lo muestra dentro del navegador, pero no nos pedirá descargar un archivo ZIP comprimido. Y, por último, si lo que en teoría debería ser un documento PDF, Windows lo muestra como aplicación, deberíamos temernos lo peor.

Si habéis sido infectados por Cryptolocker, espero que este tutorial os haya servido para recuperar vuestros archivos y si no habéis sido infectados, que os sirva para evitar serlo. Podéis dejarnos cualquier duda en los comentarios. Además, si tenéis cualquier otro problema con vuestro equipo Windows, estaremos encantados de ayudaros en el foro.

  • Vaya pedazo de curro con el tutorial. Está increíble.
    Saludos!

    • Jairo Martínez Antonio

      De puro gusto infecto mi máquina para aplicar el tuto… :P

      • Rosalhes

        Jajaja xD

      • Cuando quieras te paso el enlace para descargarte Cryptolocker ;)

  • David

    OffTopic: Se actualizó BlackBerry Messenger

  • Checo

    Gracias!

    Aún tengo la suerte de no haberme topado con este malware, pero está tan bueno el tuto, que no tendría problema alguno en caso lo pesque.

  • Pablo Jiménez

    Muy buen tutorial, si señor

  • Pablo

    Muy buen trabajo

  • Juan Carlos Cross Castle

    Al infectarse con CryptoLocker y si se tiene instalado OneDrive de escritorio ¿Sincroniza también los archivos a la nube? ._.

  • Gabriel

    Y cuando los archivos infectados estén en un servidor?? Lo único es recuperar de copia de seguridad

  • Gabriel

    Muy buen artículo para los pc’s infectados. Pero falta la parte de los servidores. De momento no hay solución por parte de los fabricantes de antivirus. Pero añadiría un apartado que indique deshabilita el pc de la red. Límpialo, asegúrate de que el resto de pc’s también estén limpios. Eliminar el mail recibido con el link que causa el problema….Limpiar el servidor y volver a conectarlos. E informar y enseñar a los usuarios que tienen que evitar en un futuro.

  • Eni

    Todo muy bonito y sencillo, pero hay variantes del virus que se cargan las shadow copies, que es lo que pasó en mi empresa. ¿algún tuto para desencriptar los archivos?

    • Puedes probar con herramientas como DecryptCryptolocker (https://decryptcryptolocker.com/), en la que cargas cada archivo y te da una clave para desencriptarlo aunque solo funciona con algunas variantes. También es posible recuperar los archivos encriptados por ciertas variantes que borran las copias originales de los archivos y lo que dejan es una copia infectada con programas como Recuva (http://download.piriform.com/rcsetup152.exe)

  • Antonio Marmol

    ami tambien se me cargo las shadow copias podre recuperar mis archivos gracias?

    • Prueba con la misma solución que le he dado a Eni en el comentario que aparece justo debajo. Salu2

  • javier

    Hola a ver si podéis ayudarme, el tutorial está muy bien, he seguido los pasos y creo que he conseguido eliminar el virus pero a la hora de recuperar archivos y usar el shadow explorer, exporto los archivos pero aun asi no se me abren, que puedo hacer, a mi me ha atacado a prácticamente la totalidad de archivos que tenía, fotos de hace años, documentos importantes, video, musica, etc

    • Si Shadow Explorer no te recupera la copia oculta, puedes probar con Recuva. Si necesitas más ayuda, te podré responder con más facilidad en este hilo de nuestro foro: http://foro.microsoftinsider.es/index.php?threads/%C2%BFtus-archivos-han-sido-cifrados-por-cryptolocker-te-ense%C3%B1amos-c%C3%B3mo-recuperarlos.1157/

    • José Antonio Arranz

      Hola Soy José Antonio, Nosotros podemos ayudarte a recuperar todos tus archivos, sólo necesitmos que nos envíes un .doc y un .pdf, si puedes un .jpg y otro documento con otra extensión, todos entre 1mb y 2 mb y conseguimos darte la solución y desencriptar todos tus archivos, en unas 24-48 horas lo tendrías todo recuperado. El coste va desde los 110 euros a los 225 euros, dependiendo de la encriptación, pero por probar no pierdes nada. Aquí tienes el enlace donde poder enviarnos los archivos http://bmatika.es/solucion-para-cryptolocker/. Puedes contactar con nosotros en 933637353. Muchas gracias por tu atención y esperamos poder ayudarte.

    • Tavete

      Muchas gracias, ha sido de mucha utilidad, además lo explicas perfecto!
      Luego de buscar y leer en muchos foros; he encontrado la solución. Hay una manera de descargar 12 desencriptadores (todos funcionan), con sus respectivas identificaciones y manuales. Los hacker hacen esto para ganar dinero, eso está claro; ahora que existan empresas que te cobren entre 180 € y 300 € + IVA + antivirus; eso me parece una estafa. Y más cuando Internet te proporciona los mismos programas y gratis. Al tener instalado Dropbox, me encriptó todas mis carpetas en la nube. Les pedí ayuda en sus foros y por correo electrónico al servicio técnico que me envió un mensaje automático diciendo que la seguridad es muy importante y bla bla bla, pero no resolvían mi problema.

      Si alguien tiene problemas de encriptado por Crypt0L0ker o similares; no dudes en ponerte en contacto conmigo y te doy el enlace para que resuelvas tus problemas. GRATIS!!!!!

  • Samuel

    Hola, alguien sabe cómo intentar recuperar los archivos si el sistema operativo el XP ?

  • Patricio Castro

    Hola, el virus no me permite arrancar en modo seguro pues nunca aparece la ultima pantalla azul. Que hago?

  • Natalia Ramos

    Gracias a ustedes he podido recuperar los documentos de mi empresa, ayer pensé que se me venía el mundo encima! Mil gracias

  • Gracias por la guía, yo también he escrito en relación a este virus.
    https://www.queesbitcoin.info/solucion-desencriptar-virus-cryptolocker-2016/

  • Tavete

    Muchas gracias, ha sido de mucha utilidad, además lo explicas perfecto! Gran tutorial!!!

    Luego de buscar y leer en muchos foros; he encontrado la solución. Hay una manera de descargar 12 desencriptadores (todos funcionan), con sus respectivas identificaciones y manuales. Los hacker hacen esto para ganar dinero, eso está claro; ahora que existan empresas que te cobren entre 180 € y 400 € + IVA + antivirus (un tal José Antonio de B-MATIKA); eso me parece una estafa. Y más cuando Internet te proporciona los mismos programas y gratis. Al tener instalado Dropbox, me encriptó todas mis carpetas en la nube. Les pedí ayuda en sus foros y por correo electrónico al servicio técnico que me envió un mensaje automático diciendo que la seguridad es muy importante y bla bla bla, pero no resolvían mi problema.

    Por cierto, la web http://www.decryptoloker.com ya no está operativa.
    Si alguien tiene problemas de encriptado por Crypt0L0ker o similares; no dudes en ponerte en contacto conmigo y te doy el enlace para que resuelvas tus problemas. GRATIS!!!!!

  • Asun Agulló

    Hola, a mí se me infectó el portátil, no sólo los archivos que tenía en el mismo, sino también los de OneDrive; o sea que me quedé sin copia de seguridad, porque como los archivos pesaban mucho no tenía copia en soporte externo.

    Me puse en contacto con una empresa catalana que se llama B-MATIKA, con todas las dudas del mundo, porque no sabía si iba a tirar el dinero.

    Hablé con ellos el viernes por la mañana, les envié dos archivos, me dijeron que sí podían ayudarme, que los archivos se podían desinfectar y les pagué el mismo viernes por la noche. El domingo por la mañana me enviaron el programa y las explicaciones que tenía que usar para desinfectar mis archivos. Lo pasé y se desinfectaron todos los documentos gráficos, lo volví a pasar y se desinfectó el resto.

    La verdad es que tenía muchas dudas, pero me parecía más serio pagar a una empresa son su CIF, que es española, que hace facturas, que tiene una dirección física y un teléfono que mandar mi dinero en bitcoins a vete tú a saber quién (un delincuente anónimo), que además del dilema ético que te plantea, te deja sin posibilidad de reclamar si algo falla.

    No son unos estafadores, son de verdad eficientes y te atienden muy bien. Yo no puedo tener una mejor experiencia, y no tengo NADA que ver con ellos.

    • Tavete

      Son unos ladrones!!! Si bien te resuelven el problema, te cobran más que los hackers por arreglarlo. Lo más curioso de todo, es que si lees artículos en Internet, el Crypt0L0ker es del 2011-12, teniendo en cuenta que estamos en el 2016; quién crees que distribuye el virus??? Piénsalo!!

      Me extraña mucho que las grandes empresas de antivirus hayan dado por finalizado el problema del Crypt0L0ker (kaspersky Lab y Norton) y B-MATIKA siga facturando con un virus modificado de hace años!

      El programa que te manda y las instrucciones de su uso, son las mismas que se pueden descargar por la red. A diferencia que B-MATIKA cobra lo que quiere a personas desesperadas (y en tu caso nacionalistas), que pagan lo que sea por desencriptar sus documentos.

      Con lo contenta que has quedado por la rápida operación de B-MATIKA, podrías compartir lo que te han cobrado, así tu comentario estaría más completo!!! Por cierto, a ti que tanto te gusta lo español, que hagan facturas y que tenga una dirección física; mira en Google Maps sus oficinas: No hay cartel, ni local, ni nada! Un edificio de ladrillos que en la primera planta hay oficinas (que pueden ser B-MATIKA o Abogados SL). Su página web parece que la haya hecho mi madre (fotos de galerías de imágenes, diseño de los ´80-´90 pasado de moda, alquilan oficinas…etc). En fin, me alegra que a ti te hayan resuelto el problema. A mi me dió mucha desconfianza y me pareció usurero el mail de respuesta a mi problema. No los conozco ni tengo intención de hacerlo; pero al infectarme, me puse en contacto con José Antonio. Su respuesta fué abusiva y me hizo pensar si eran ellos los que distribuían nuevamente el virus. Busqué opiniones de B-MATIKA y preferí buscar la solución. La encontré al cabo de 8 horitas (un día laboral).

      • Sergio

        Podrías ayudarme con una idea de cual fue la solución.
        De antemano, muchas Gracias

        • Begoña Ariño Irujo

          Yo lo he solucionado. Mira mi entrada de ayer.

  • Begoña Ariño Irujo

    Es posible recuperar los documentos encriptados. Acabo de conseguirlo. He eliminado el virus Cryptolocker con malwarebytes anti-malware. Una vez reiniciado el equipo he ido a C:. Desde allí a mi usuario. Con el botón derecho he pinchado restaurar versiones anteriores y he seleccionado la más reciente que tengo de copia de seguridad al realizarse las actualizaciones automáticamente. He indicado ABRIR y he recuperado los ficheros que había perdido. Así de fácil. He borrado todos los documentos encriptados. Espero que a ustedes también les funcione
    .

  • Begoña Ariño Irujo

    Adjunto pantallazo para facilitar los pasos: Disco C -> USUARIO -> Carpeta de USUARIO: Begoña -> Boton derecho sobre la carpeta y RESTAURAR versiones anteriores > Seleccionar una de las anteriores -> abrir las carpetas para seleccionar los archivos eliminados, si no han sido muchos uno a uno, o restaurar todo. Yo he ido copiando las carpetas afectadas y pegándolas.

  • Begoña Ariño Irujo

    Esto es lo que recibí hoy así que mucho cuidado. Yo me percaté enseguida y lo eliminé rápido. Me afectó a fotografías y algunos documentos de excel y word. Espero haberles ayudado.

  • Begoña Ariño Irujo

    Se me olvidó comentarles que yo tengo un ordenador con Windows 7 instalado. El que realice copia de seguridad con las actualizaciones me ha salvado.

  • korazh

    Hola a todos, muy bueno el tutorial. Pero mi problema con cryptolocker es en un disco duro externo que me encriptó. En este caso que puedo hacer? Además tengo otra pregunta… El disco duro encriptado es susceptible de contener también el virus… Es decir tengo miedo de conectarlo a otro pc limpio y que infecte éste a la hora de realizar algún tipo de tarea para recuperarlo. Gracias por cualquier tipo de ayuda o sugerencia. Un saludo.

    • José Antonio Arranz

      Buenos días, puedes enviarnos unos archivos encriptados tipo doc, o xls, o ppt y un pdf y nosotros lo estudiamos y podemos desencriptar todos los archivos ahora encriptados, sólo tienes que abrir un ticket aquí http://www.bmatika.es/soporte

  • paco

    Buenos días mi pregunta es la siguiente el ordenador infectado esta en XP entonces no tengo la opcion de las copias anterior que haog paso los antivirus y restauro a un anterior?? gracias de antemano

  • Adrian

    Muy bueno el instructivo pero tengo inconvenientes con el ShadowExplorer, cuando lo ejecuto me aparece todo en blanco, no me lee nada del C:. Que puede ser?