Desencriptar archivos encriptados por el Wrui Ransomare.

Hola, FideleA:

Normalmente las notas de rescate son creadas en el escritorio y en las distintas carpetas donde tenga archivos cifrados. Suelen ser archivos de texto plano con nombres de archivo:

!!!YourDataRestore!!!.txt, !!!RestoreProcess!!!.txt, !!!INFO_RESTORE!!!.txt, !!RESTORE!!!.txt, !!!RESTORE_FILES!!!.txt, !!!DATA_RESTORE!!!.txt, !!!RESTORE_DATA!!!.txt, !!!KEYPASS_DECRYPTION_INFO!!!.txt, !!!WHY_MY_FILES_NOT_OPEN!!!.txt, !!!SAVE_FILES_INFO!!!.txt, !readme.txt, _openme.txt, _readme.txt (este último el más habitual en las últimas variantes).

Si esto no ha ocurrido, es posible que el ransomware fallara en algún punto del proceso, bien porque usted reiniciara o apagara el Sistema antes que terminara el proceso, o bien por un bug en el proceso de cifrado, y haya algunos archivos que en realidad no hayan sido cifrados (pero esto es una teoría que tendría que comprobarse). Cabe otra posibilidad y es que realmente no se le dejara ninguna de rescate por algún bug en el código del proceso.

Por otra parte, olvídese actualmente de recuperar sus archivos cifrados si han sido realmente cifrados al 100%, no hay ninguna posibilidad ni ninguna empresa tiene ningún método mágico, ya que como le indiqué anteriormente las claves de descifrado se encuentran en los servidores de los ciberdelincuentes y no es posible acceder a estas claves sin acceder al servidor de las claves físicamente.

El mayor experto en esta familia de ransomwares y en otras familias de ransowmares que utilizan el mismo y otro tipos de cifrado, es Michael Gillespie - @demonslay33 y él ya ha estudiado el código del ransomware varias veces en estos años, y sabe cómo funciona perfectamente de arriba a abajo, pero esto no sirve para recuperar las claves de descifrado. 

Por ejemplo, aquí tiene la información que ofreció en Twitter ante las preguntas que le realizaron sobre la variante que afectó a su equipo: #STOP #Djvu #Ransomware w/ extension ".wrui" (v0294) spotted on ID Ransomware.

De cualquier forma, su única salvación como le indiqué anteriormente es que el cifrado no se haya completado al 100%, o que las copias en la sombra no hayan sido eliminadas (cosa muy poco probable) en donde el software ShadowExplorer podría ayudarle a recuperar los archivos, o por último probar con software de recuperación de datos tipo Ontrack® EasyRecovery o EaseUS® Data Recovery Wizard.

No obstante, si lo desea puede comunicarse con el Centro Criptológico Nacional, para comentarle el problema que tiene al igual que hizo en esta Comunidad.

Un saludo.

Hola, FideleA:

Siento mucho lo que le ha sucedido, es una situación muy frustante.

Antes de nada, agradecer al compañero Dante Martino, la información y la ayuda que le ha proporcionado.

Contestando directamente a su pregunta de si sus archivos cifrados son recuperables actualmente, la respuesta desafortunadamente es que no.

La ID Personal que nos ha indicado no termina en "t1", por lo que el cifrado de sus archivos es de tipo online. Esto significa que usted estaba conectado a Internet cuando se produjo el cifrado de sus archivos, y la clave de descifrado para todos estos tipos de cifrados online es única para cada usuario afectado (no existe una clave general como tal que se pueda conseguir por alguien que pague para todos los usuarios afectados por un cifrado online), y esta clave únicamente se encuentran en el servidor de los ciberdelincuentes.

Por tanto, es lógico que la herramienta Decryptor for STOP Djvu, no descifre sus archivos, ya que esta herramienta para las nuevas variantes del ransomware STOP Ransomware, solamente puede descifrar claves de de cifrado offline (que es una clave de descifrado generica para todos los afectados que no estaban conectados a Internet en ese momento, o que simplemente tuvieron la suerte de que el servidor de los ciberdelincuentes falló en ese momento y no  se pudo establecer la conexión) que los expertos en seguridad han logrado conseguir a través de alguien que haya pagado por recuperar sus archivos.

En su caso, como el tipo de cifrado es online , la clave como le digo es única para cada usuario afectado, por lo que no es posible que los expertos en seguridad puedan hacer nada por ayudarle actualmente, a no ser que ocurra algo inesperado.

Lo que si existe es una clave RSA privada maestra general para todos los usuarios afectados (tanto para cifrados online, como cifrados offline). Aunque lo más probable es que a esta clave de descifrado RSA privada maestra nunca se pueda conseguir, al menos hasta que los cuerpos de seguridad no detengan a estos ciberdelincuentes e intervengan los servidores de las claves. Esta clave RSA privada maestra, nunca la mandan los ciberdelincuentes a los que pagan, ya que digamos así que es la llave que abre todos los cifrados. 

Podrían darse otras circunstancias más complejas para acceder a estas claves de descifrado online como que se encuentre un fallo en el código de alguna nueva variante que pueda servir como brecha para acceder a los servidores de las claves, pero esto es algo dificil que ocurra ya que esta gente ya lleva mucho tiempo realizando este tipo de prácticas malintencionadas.

También podría ocurrir que por problemas internos en la organización, si se sienten presionados de estar cerca de ser detenidos, o han alcanzado una cifra de dinero lo suficientemente importante como para dejar el "negocio"), decidan publicar la clave maestra. Es algo que ha ocurrido en ransomwares importantes que afectaron a millones de personas.

Como información adicional, comentarle que no busque soluciones milagrosas para poder recuperar sus archivos cifrados, ya que se están distribuyendo a través de la red herramienta fraudulentas de descifrado de archivos para esta familia de ransomware, que lo que hacen realmente es engañar al usuario y volverle a cifrar los archivos con otro cifrado de ransomware (se produciría un doble cifrado de archivos), lo que haría ya extremadamente complicado el poder algún día recuperar los archivos cifrados.

Algunos usuarios afectados ante la desesperación de haber perdido sus archivos, instalan antivirus y anti-malwares fraudulentos empeorando el problema o provocando problemas en el Sistema. Por favor, no instale ningún producto antivirus o anti-malware sin antes consultar con nosotros, ya que muchas empresas utilizan técnicas agresivas de marketing para posicionar blogs y páginas webs de sus productos fraudulentos.

Si quiere hacer pruebas con esta herramienta o con alguna otra parecida, siempre hágalo con una copia de los archivos cifrados y nunca con los archivos cifrados originales.

Podría probar (aunque probablemente no tenga éxito), si con la herramienta ShadowExplorer

puede encontrar alguna copia previa de algún día anterior de alguno de sus archivos. Aunque los ransomwares lo primero que hacen es eliminar esas copias ocultas que guarda el sistema, por lo que a no ser que el ransomware haya fallado al realizar este proceso, no le va a servir de nada el utilizar esta herramienta. Pero bueno, si quiere probarla... no va a perder nada.

Si sus archivos son vitales, siempre tiene la opción de pagar a los ciberdelincuentes por la recuperación de los archivos, pero lógicamente también corre el riesgo de que no reciba la clave de descifrado y pierda su dinero. Esto es algo que ha ocurrido a algún que otro usuario y a alguna que otra empresa.

Por ahora, si no quiere pagar, solamente pueda hacer una copiade seguridadde sus archivos cifrados y esperar a que aparezca alguna solución, o que los ciberdelincuentes sean detenidos por las fuerzas de seguridad.

Puede seguir todas las novedades que se vayan produciendo, a través del siguiente Hilo de discusión del foro de BleepingComputer (en inglés):

STOP Ransomware (.STOP, .Puma, .Djvu, .Promo, .Drume) Help & Support Topic

De cualquier forma, si se produjese alguna novedad, se lo haré saber, aunque estos ciberdelincuentes, ya llevan mucho tiempo con este tipo de prácticas.

Como consejo adicional, recuerde siempre el hacer copias de seguridad de sus archivos personales en varios dispositivos (discos duros externos, pendrives, dvd's o blu-rays...) y desconectarlas del equipo cuando no las esté utilizando. Es la única manera de que nuestros documentos y archivos personales importantes estén lo máximo protegidos, ya que los virus y ransomwares no son la única amenaza y un disco duro puede fallar electrónicamente o mecánicamente y estaríamos en un problema similar. La seguridad al 100% no existe en ningún ámbito de nuestra vida.

Un saludo.

Hola, Fidel.

Mi nombre es Dante Martino, asesor de la Comunidad.

Revisa las indicaciones que doy en esta conversación, y especialmente las del moderador Jesús Ruiz:

https://answers.microsoft.com/es-es/protect/for...

En esta otra conversación tienes más información de cómo resolver ete problema:

https://answers.microsoft.com/es-es/protect/for...

Revisa este enlace de Malwaretips:

https://malwaretips.com/blogs/remove-wrui-ranso... (en inglés)

He visto tanta extension de este virus. Mi pregunta es si la extencion .wrui tiene solucion o sea existe un metodo de desencriptarlo? 

Gracias