UA-20469404-1
Abr 102015
 

Agradeciendo la colaboración de nuestro amigo y cliente Juan Luis Martín, que se ha encontrado con el cifrado de ficheros por culpa del CRYPTOLOCKER, ha logrado recuperar las copias guardadas por el SHADOWCOPY, que viene activado por defecto en los sistemas Windows 7, ya que por lo visto las ultimas variantes del Cryptolocker Torrent no las borra, ofrecemos la información facilitada sobre la utilidad SHADOWEXPLORER, que ya indicábamos en:

https://www.satinfo.es/blog/2015/ante-la-proliferacion-de-incidencias-con-el-dichoso-cryptolocker-ofrecemos-enlaces-a-noticias-ya-publicadas-sobre-posible-recuperacion-de-ficheros-cifrados/

en el cual ya ofrecíamos la información de los creadores de dicha utilidad:

http://www.shadowexplorer.com/downloads.html

que también puede verse en información existente en:

http://www.smythsys.es/6561/shadow-explorer-busca-versiones-de-los-ficheros-en-las-shadow-copies/

Ofrecemos enlaces de descarga de dicha utilidad SHADOW EXPLORER, directamente en ejecutable o en ZIP, para quienes tengan capada la descarga de EXES, a saber:

descarga del ejecutable SHADOW EXPLORER:

http://shadowexplorer.com/uploads/ShadowExplorer-0.9-setup.exe

Descarga del ZIP:

http://shadowexplorer.com/uploads/ShadowExplorer-0.9-portable.zip

El proceso a seguir es:

  • Iniciar el sistema en “MODO SEGURO CON FUNCIONES DE RED” el equipo donde se ha ejecutado el Cryptolocker, que llega en falso mail de Correos

  • Descargar nuestra utilidad ELISTARA.EXE, guardarla en el escritorio, ejecutarla y analizar el sistema para eliminar el virus

  • Descargar la utilidad SHADOWEXPLORER.EXE de los enlaces ofrecidos y tras ejecutarla, posicionarse en la carpeta que se quiere recuperar, escoger un día antes de la infección y pulsar botón derecho y exportar a una unidad USB.

Se puede Exportar incluso el perfil entero con esa fecha. de un día anterior a la de la infección, y se verá la copia de seguridad de todos los ficheros guardados por el SHADOW COPY, los cuales procede exportar por USB a un pendrive o similar.

Luego se podrán borrar todos los que en el disco duro tengan extensión .encrypted , y poner en su lugar los originales del pendrive

Claro está que todo ello se podrá hacer en los ordenadores en los que se tenga activo en Shadow Copy de Windows, que por defecto ya viene así en las familias de Windows7, no en XP ni en servidores, ya que en estos últimos, aun que existe, viene desactivada por defecto para no llenar el disco del server de copias de todos los usuarios.

Recuperación para la variante Teslacrypt:

https://www.satinfo.es/blog/2015/noticion-disponible-herramienta-para-descifrar-el-teslacrypt/

Y con ello esperamos que muchos usuarios podrán recuperar ficheros de documentos, fotos y demás que ya daban por perdidas…

23-5-2015 Mas información actualizada:
https://www.satinfo.es/blog/2015/instrucciones-para-recuperacion-de-ficheros-cifrados-por-algunos-ransomwares/

SATINFO, SERVICIO DE ASISTENCIA TÉCNICA INFORMATICA 10 de Abril de 2015

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies