ELIMINAR RANSOMWARE

PASO 1:
ANTES DE TODO, SE DEBE ELIMINAR EL VIRUS RANSOMWARE, DEJO MI
VERSIÓN DE SPYHUNTER PORTABLE LÍNEAS ABAJO:

http://www.mediafire.com/file/db2c0ufiwbyjaqd/SpyHunter-PORTABLE.rar/file

AL MOMENTO DE REALIZAR LA DESINFECCIÓN CON EL SPYHUNTER,

DESCONECTAR EL INTERNET

PASO 2:
Iniciamos abriendo la opción de “ejecutar” (Windows + R), luego escribimos
msconfig y presione enter. Aparecerá una ventana:

Seleccionamos la pestaña de Servicios y desmarcamos todos los ejecutables

con nombre “Desconocido”
Abrimos nuevamente “Ejecutar” (Windows + R) y escribimos cada uno (por
separado) las opciones detalladas líneas abajo:
1. %AppData%

2. %LocalAppData%

3. %ProgramData%

4. %WinDir%

Del 1 al 4, es para verificar carpetas, archivos con el nombre del rasonware que
tengan en su computadora. (consulten con alguien que tenga mayor
conocimiento informático).
5. %Temp%

Borre todo lo que haya en “Temp”. En el caso del resto, solamente compruebe
si hay algo que se haya añadido recientemente.

PASO 3:
Cómo verificar si la clave en línea o fuera de línea se usó en el cifrado

Si ha sido atacado por este ransomware después de agosto de 2019, debe

determinar si se usó una clave en línea o fuera de línea para bloquear sus
archivos.

El ransomware actualizado encripta archivos usando claves en línea (diferentes

para cada víctima) si logra conectarse a su Servidor de Comando y Control
durante el ataque. De lo contrario, utiliza una clave fuera de línea, que es la
misma para todas las víctimas de una variante de ransomware (con la misma
extensión).

Si se utilizó una clave fuera de línea, tiene posibilidades de restaurar los

datos ahora o más adelante. Si son víctimas afectadas por las claves en
línea, no se puede recuperar la información

Para determinar qué teclas se usaron (los hackers), siga estos pasos.

Vaya a C: disco y luego abra la carpeta SystemID .

Aquí, abra el archivo PersonalID.txt y mire las claves enumeradas aquí.

Si ALGUNO de ellos termina con t1 , significa que puede recuperar al menos

parte de los datos con STOP Decryptor.
PASO 4:
Descifrar archivos bloqueados por STOP / DJVU Ransomware

Método 1. Descifrar archivos bloqueados con clave OFFLINE

Las víctimas de estas versiones recibieron notas de rescate llamadas

_readme.txt con dichos contenidos. Tenga en cuenta que las nuevas versiones
como .nakw o .derp usan nuevos correos electrónicos de contacto:
salesrestoresoftware@firemail.cc ó salesrestoresoftware@gmail.com .

Entonces, ¿cómo sé si el rasonware es OFFLINE?

El mensaje que te aparece es como este:

Si es el caso tenemos que realizar los siguientes pasos:

1. Descargar STOP / DJVU Decryptor.

https://www.mediafire.com/file/7b9q9z3tgwxr2r1/decrypt_STOPDjvu.exe/file

2. Abre el descifrador. Deberá hacer clic en Sí en la ventana Control de

cuentas de usuario.
3. Acepte los Términos de licencia haciendo clic en Sí .
Luego, agregue la ubicación para descifrar haciendo clic en Add folder (Agregar
carpeta) y seleccionando ubicaciones desde su computadora. Por defecto,
agregas la partición C:\

Haga clic en Decrypt (Descifrar) para comenzar a descifrar sus archivos.

Método 2. Descifrar archivos cifrados con clave en línea (ONLINE)

necesita conexión a internet

Antes de que pueda comenzar a descifrar los archivos bloqueados por el ransomware
STOP / DJVU, necesitará un par de copias de archivos cifrados y no cifrados para
todos los tipos de archivos que está dispuesto a descifrar.
Hay tres requisitos para los pares de archivos:
1. Debe tener al menos 150 Kb de tamaño
2. Debe ser el mismo archivo que se cifró
3. Para descifrar diferentes tipos de archivos, necesita pares de archivos para ellos,
por ejemplo, .jpg, .doc, .mp3, etc.
¿Cómo encontrar pares de datos?
Una manera fácil de encontrar algunos pares es verificar los archivos cifrados en sus
descargas y rastrear la fuente desde donde los descargó. Por ejemplo, si ha descargado
algunos archivos desde un correo electrónico o un sitio web específico recientemente,
puede descargar una copia del correo electrónico y verificar la versión encriptada en sus
descargas.
Es probable que sus descargas contengan varios tipos de archivos que haya descargado
de Internet. Intente recordar exactamente de dónde los obtuvo para poder descargarlos
nuevamente y tener pares de datos para la mayor cantidad posible de extensiones de
archivo diferentes.
Por ejemplo, es necesario imagen.jpg a par con image.jpg.reco , video.mp4 a par con
video.mp3.reco , y así sucesivamente.
Tan pronto como tenga algunos pares de archivos cifrados y originales, siga los pasos a
continuación para descifrar los archivos bloqueados por el ransomware STOP / DJVU.
1. Cargue un par de archivos originales y cifrados a través de la página de descifrado
de Emsisoft y haga clic en ENVIAR . El formulario le informará si está cargando
archivos demasiado pequeños.
https://decrypter.emsisoft.com/submit/stopdjvu/
 2. Una vez que haga clic en ENVIAR, espere pacientemente hasta que se
procesen sus archivos.
3. En este punto, se le proporcionará el enlace de descarga de la
herramienta de descifrado STOP / DJVU. Descárguelo y, una vez
completado, ábralo.
4. En el indicador UAC, presione Sí .
5. A continuación, haga clic en Agregar carpeta (Add folder) y elija las
ubicaciones de archivos que desea escanear y descifrar archivos con una
extensión de archivo específica.

6. Haz clic en Descifrar (Decrypt).

7. Si el descifrador no será capaz de recuperar tipos de archivos específicos,
capacítelo cargando otro par de archivos en el enlace proporcionado en
el Paso 1. Repita con diferentes pares de tipos de archivo hasta que
restaure tantos archivos como sea posible.

Método 3. Descifrar archivos .puma, .pumas, .pumax, .INFOWAIT,

.DATAWAIT

Las víctimas de estas variantes de ransomware recibieron notas de rescate llamadas

Readme.txt con tales contenidos:
Para descifrar archivos bloqueados por las variantes STOP / DJVU Puma, siga estas instrucciones:

1. Cree pares de archivos como se explica en el Método 2 (líneas arriba)

2. Descargar DJVU Puma Decryptor de Emsisoft.
3. https://www.mediafire.com/file/c2bo20hnamqghtx/decrypt_STOPPuma.exe/file
4. Abra el descifrador y haga clic en Sí en el indicador de Control de cuentas de usuario.
5. De acuerdo con los términos de uso.
Cargue copias cifradas y originales del archivo en el descifrador y, si es necesario, en el
archivo de la nota de rescate. Haga clic en Inicio.
 6. El descifrador STOP / DJVU mostrará los detalles de descifrado. Presione OK .
7. Elija Agregar carpeta y elija incluir archivos, ubicaciones o simplemente particiones
para escanear y recuperar archivos bloqueados.

8. Haz clic en Descifrar (Decrypt)

NOTA: LES DEJO LA LISTA DE RASONWARE QUE DJVU

DECRYPT PUEDE DECIFRAR:
.peet, .mbed, .kodg, .zobm, .msop, .hets, .gero, .hese, .grod, .seto, .peta, .moka, .meds, .kvag,
.domn, .nesa, .nols , .werd, .coot, .derp, .meka, .mosk, .bora, .reco, .kuub, noos, .karl, .shadow,
.djvu, .djvur, .djvuu, .udjvu, .uudjvu, .djvuq , .djvus, .djvur, .djvut, .pdff, .tro, .tfude, .tfudet,
.tfudeq, .godes, .rumba, .adobe, .adobee, .blower, .promos, .promoz, .promorad,. promock,
.promok, .promorad2, .kroput, .kroput1, .pulsar1, .kropun1, .charck, .klope, .kropun, .charcl,
.doples, .luces, .luceq, .chech, .proden, .drume, .tronas, .trosak, .grovas, .grovat, .roland,
.refols, .raldug, .etols, .guvara, .browec, .norvas, .moresa, .vorasto, .hrosas, .kiratos, .todarius,
.hofos , .roldat, .dutan, .sarut, .fedasot, .berost, .forasom, .fordan, .codnat, .codnat1, .bufas,
.dotmap, .radman, .ferosas, .rectot, .rezuc, .stone,. mapa del cielo, .mogera, .redmat,.lanset,
.davda, .poret, .pidom, .pidon, .heroset, .boston, .muslat, .gerosan, .vesad, .horon, .neras,
.truke, .dalle, .lotep, .nusar, .litar, .besub, .cezor, .lokas, .budak, .vusad, .herad, .berosuce,
.gehad, .gusau, .madek, .darus, .tocue, .lapoi, .todar, .dodoc, .bopador, .novasof , .ntuseg,
.ndarod, .access, .format, .nelasod, .mogranos, .cosakos, .nvetud, .lotej, .kovasoh, .prandel,
.zatrov, .masok, .brusaf, .londec, .krusop,. mtogas, .nasoh, .nacro, .pedro, .nuksus, .vesrato,
.masodas, .cetori, .stare, .carote, .gero, .hese, .seto, .peka, .puma, .pumax, .pumas,
.DATAWAIT, .INFOWAIT.bopador, .novasof, .ntuseg, .ndarod, .access, .format, .nelasod,
.mogranos, .cosakos, .nvetud, .lotej, .kovasoh, .prandel, .zatrov, .masok, .brusaf, .londec,
.krusop, .mtogas, .nasoh, .nacro, .pedro, .nuksus, .vesrato, .masodas, .cetori, .stare, .carote,
.gero, .hese, .seto, .peka, .puma, .pumax , .pumas, .DATAWAIT, .INFOWAIT.bopador, .novasof,
.ntuseg, .ndarod, .access, .format, .nelasod, .mogranos, .cosakos, .nvetud, .lotej, .kovasoh,
.prandel, .zatrov, .masok, .brusaf, .londec, .krusop, .mtogas, .nasoh, .nacro, .pedro, .nuksus,
.vesrato, .masodas, .cetori, .stare, .carote, .gero, .hese, .seto, .peka, .puma, .pumax , .pumas,
.DATAWAIT, .INFOWAIT.