Cómo eliminar el ransomware CoinVault y recuperar tus archivos

14 Abr 2015

Si eres víctima de un ransomware, en la mayoría de los casos no hay mucho que hacer. Por suerte, de vez en cuando la policía y las compañías de ciberseguridad desactivan los servidores de comando y control de éste u otro ransomware, recuperando la información de éstos. Esta información es muy útil, ya que ayuda a crear herramientas de cifrado para finalmente recuperar los archivos de los usuarios. Recientemente, la ciberpolicía holandesa y Kaspersky Lab crearon esta solución para las víctimas de CoinVault.

coinvault-logo

Si quieres saber más sobre CoinVault, puedes leer nuestro informe detallado en Viruslist. Si estás interesado en saber cómo creamos exactamente este sistema para descifrar los archivos, también hemos hablado del tema en este post. Y si estás buscando un manual para saber cómo deshacerte de este ransomware y restaurar tus archivos, entonces vamos directos al tema.

Paso 1: ¿Tu ordenador está infectado con CoinVault?
Primero, asegúrate de que tus archivos han sido robados por CoinVault y no por otro tipo de ransomware. Es muy fácil saberlo: si tu ordenador está infectado con CoinVault, verás una imagen como ésta:

Paso 2: Consigue la dirección de tu monedero Bitcoin
En la parte inferior derecha de CoinVault verás la dirección de tu monedero Bitcoin (está marcada con un círculo negro en la imagen de arriba). ¡Es muy importante que la copies y la guardes!

Paso 3: Consigue el listado de archivos cifrados
En la esquina superior izquierda de la ventana del malware podrás ver un botón que dice “View encrypted filelist” (ver listado de archivos cifrados), marcado con un círculo negro como en la imagen de arriba). Haz clic en este botón y guárdalo en un archivo.

Paso 4: Elimina CoinVault
Ve a https://kas.pr/kismd-cvault y descarga la versión de prueba de Kaspersky Internet Security. Instálala, eliminará el CoinVault de tu sistema. Asegúrate de haber guardado toda la información recuperada en los pasos 2 y 3.

Paso 5: Asegúrate con https://noransom.kaspersky.com
En https://noransom.kaspersky.com debes introducir la dirección de tu monedero Bitcoin del paso 2. Si el sistema la reconoce, te aparecerá el IV (Vector de Inicialización) y la clave en la pantalla. Ten en cuenta que pueden aparecer varias claves e IVs. Si éste es el caso, guárdalas en tu ordenador, las necesitarás más tarde.

Paso 6: Descarga la herramienta de descifrado
Descarga la herramienta para descifrar los archivos en https://noransom.kaspersky.com y ejecútala en tu ordenador. Si te aparece un mensaje de error, como se muestra abajo, dirígete al paso 7 y luego al 8.

Paso 7: Descarga e instala bibliotecas adicionales
Accede a http://www.microsoft.com/es-ES/download/details.aspx?id=40779 y sigue las instrucciones de la página web. Luego instala el software.

Paso 8: Activa la herramienta de descifrado
Activa la herramienta y verás una pantalla como la siguiente:

Paso 9: Comprueba que el descifrado funciona correctamente
Te recomendamos que al ejecutar la herramienta por primera vez compruebes que funcione el descifrado. Haz lo siguiente:

  • Haz clic en “Select file” (seleccionar archivo) en la casilla “Single File Decrpytion”(descifrado de archivo único) y selecciona el archivo que quieras descifrar;
  • Introduce el IV del sitio web en la barra de texto de IV;
  • Introduce la clave del sitio web en la barra de texto de la clave;
  • Haz clic en el botón de “Start”.

Verifica si el nuevo archivo creado está descifrado correctamente.

Paso 10: Descifra todos los archivos robados por CoinVault
Si todo ha ido bien hasta el paso 9, entonces podrás recuperar todos tus archivos. Para hacerlo, selecciona el listado de archivos cogido en el paso 3, introduce el IV y la clave y haz clic en iniciar. Puedes seleccionar la opción de “Overwrite encrypted file with decrypted contents” (sobrescribir archivo cifrado con contenidos descifrados).

Si has recibido muchos IVs y claves al introducir la dirección de tu monedero Bitcoin, ten mucho cuidado. Hasta el momento no estamos 100% seguros de dónde vienen. En este caso recomendamos que no selecciones la casilla “Overwrite encrypted file with decrypted contents”. Si algo va mal con el descifrado puedes intentarlo con otro par de IV+clave hasta que el archivo se descifre con éxito.

Si no recibiste el IV y la clave, debes esperar e ir a https://noransom.kaspersky.com. La investigación sigue en desarrollo, y continuaremos añadiendo nuevas claves en cuanto estén disponibles.