¿Cómo descifrar los archivos DJVU Ransomware? Emsisoft Decryptor

by Brendan Smith
abril 16, 2023
Note!

En caso de que su sistema se haya infectado por medio de la función de Escritorio remoto de Windows, también le recomendamos que cambie todas las contraseñas de todos los usuarios disponibles que tienen permiso para iniciar sesión de forma remota e inspeccione las cuentas de usuario locales para conocer la disponibilidad de otros cuentas adicionales que posiblemente podrían generar los fraudes en línea.

Advertencia: Esta aplicación debe estar conectada a la web mientras está activa para obtener las pautas de descifrado del servidor.

Actualizado 06 de febrero de 2020

Emsisoft ha anunciado que las claves fuera de línea para .alka y .repp se han recuperado y cargado en el servidor Emsisoft Decryptor.

Actualizada 20 de enero de 2020

Emsisoft Decryptor ha obtenido y cargado en el servidor nuevas LLAVES DESCONECTADAS para el .nbes, .mkos STOP (Djvu) variante ransomware.

Actualizada 06 de enero de 2020

Lista de las nuevas variantes Stop/Djvu para 148 variantes que Emsisoft puede descifrar.

.shadow, .djvu, .djvur, .djvuu, .udjvu, .uudjvu, .djvuq, .djvus, .djvur, .djvut, .pdff, .tro, .tfude, .tfudet, .tfudeq, .rumba, .adobe, .adobee, .blower, .promos, .promoz, .promorad, .promock, .promok, .promorad2, .kroput, .kroput1, .pulsar1, .kropun1, .charck, .klope, .kropun, .charcl, .doples, .luces, .luceq, .chech, .proden, .drume, .tronas, .trosak, .grovas, .grovat, .roland, .refols, .raldug, .etols, .guvara, .browec, .norvas, .moresa, .vorasto, .hrosas, .kiratos, .todarius, .hofos, .roldat, .dutan, .sarut, .fedasot, .berost, .forasom, .fordan, .codnat, .codnat1, .bufas, .dotmap, .radman, .ferosas, .rectot, .skymap, .mogera, .rezuc, .stone, .redmat, .lanset, .davda, .poret, .pidom, .pidon, .heroset, .boston, .muslat, .gerosan, .vesad, .horon, .neras, .truke, .dalle, .lotep, .nusar, .litar, .besub, .cezor, .lokas, .godes, .budak, .vusad, .herad, .berosuce, .gehad, .gusau, .madek, .darus, .tocue, .lapoi, .todar, .dodoc, .bopador, .novasof, .ntuseg, .ndarod, .access, .format, .nelasod, .mogranos, .cosakos, .nvetud, .lotej, .kovasoh, .prandel, .zatrov, .masok, .brusaf, .londec, .krusop, .mtogas, .nasoh, .nacro, .pedro, .nuksus, .vesrato, .masodas, .cetori, .stare, .carote

Actualizado 02 dic 2019

Lista de las nuevas variantes Stop/Djvu que Emsisoft puede descifrar. ¡SOLO PARA CLAVE OFFLINE!

.gero, .hese, .seto, .peta, .moka, .meds, .kvag, .domn, .karl, .nesa, .noos, .kuub, .reco, .bora, .nols, .werd, .coot, .derp, .meka, .mosk

Actualizado 25 nov 2019

Emsisoft Decryptor ha obtenido y cargado en el servidor CLAVES OFFLINE para la siguiente nueva variante STOP (Djvu):

.gero, .hese, .seto, .peta, .moka, .meds, .kvag, .domn, .karl, .nesa, .noos, .kuub, .reco, .bora, .nols, .werd, .coot, .derp, .meka, .mosk, .lokf, .peet, .mbed, .kodg

Actualizado 9 nov 2019

Decryptor v.1.0.0.1 de Emsisoft actualmente puede descifrar NUEVA variante Stop / Djvu con extensión de archivo:

.gero, .hese, .seto, .peta, .moka, .meds, .kvag, .karl, .nesa, .noos, .kuub, .reco, .bora, .coot, .derp

Términos: archivos cifrados con OFFLINE KEY.

Existen ciertas limitaciones con respecto a qué archivos se pueden restaurar. Hablando de todas las versiones de STOP Djvu, la información se puede descifrar adecuadamente si se cifraron mediante una clave fuera de línea que está disponible con los desarrolladores del Emsisoft Decryptor. En cuanto a Old Djvu, los archivos también se pueden descifrar mediante pares de archivos cifrados/originales proporcionados al STOP Djvu Submission portal. Tenga en cuenta que esto no es aplicable a New Djvu que se elaboró después de agosto de 2019.

¿Qué es un “par de archivos”?

Este es un par de archivos que son idénticos (ya que son los mismos datos precisos), excepto que un duplicado está encriptado y el otro no. El STOP Djvu Submission portal puede analizar las diferencias entre un archivo cifrado y una copia original del mismo archivo, lo que le permite determinar cómo descifrar ese archivo. Para la mayoría de las víctimas con una variante anterior de STOP/Djvu, el envío de pares de archivos será la única forma de recuperar sus archivos.

¿Cómo restaurar tus archivos?

  1. Asegúrese de iniciar la utilidad de descifrado como administrador. Debe aceptar los términos de la licencia que aparecerán. Para ello, haga clic en el botón “Yes“:Emsisoft Decryptor - license terms
  2. Tan pronto como acepte los términos de la licencia, aparece la interfaz de usuario principal del descifrador:Emsisoft Decryptor - user interface
  3. Según la configuración predeterminada, el descifrador rellenará automáticamente las ubicaciones disponibles para descifrar las unidades disponibles actualmente (las conectadas), incluidas las unidades de red. Se pueden seleccionar ubicaciones adicionales (opcionales) con la ayuda del botón “Add”.
  4. Los desencriptadores normalmente sugieren varias opciones teniendo en cuenta la familia específica de malware. Las opciones posibles actuales se presentan en la pestaña Opciones y se pueden activar o desactivar allí. Puede encontrar una lista detallada de las Opciones activas actualmente a continuación.
  5. Tan pronto como agregue todas las ubicaciones deseadas para el descifrado en la lista, haga clic en el botón “Descifrar” para iniciar el procedimiento de descifrado. Tenga en cuenta que la pantalla principal puede convertirlo en una vista de estado, que le permite conocer el proceso activo y las estadísticas de descifrado de sus datos.:Emsisoft Decryptor - the decryption statistics
  6. El descifrador le notificará tan pronto como se complete el procedimiento de descifrado. Si necesita el informe para sus documentos personales, puede guardarlo seleccionando el botón “Guardar registro”. Tenga en cuenta que también es posible copiarlo directamente en su portapapeles y pegarlo en correos electrónicos o mensajes del foro si es necesario.

Opciones de DJVU Decryptor

El descifrador en este momento realiza las siguientes opciones:

  • Mantener archivos encriptados
    Teniendo en cuenta el hecho de que el ransomware no almacena ningún dato relacionado con los documentos no cifrados, el descifrador no garantiza que el archivo descifrado sea idéntico al que se cifró inicialmente. Por lo tanto, el descifrador, basado en la configuración predeterminada, por razones de seguridad no eliminará ningún documento cifrado después de haber sido descifrado. En caso de que desee que el descifrador elimine los documentos cifrados una vez que hayan sido descifrados, es posible desactivar esta función. Tenga en cuenta que esto puede ser aplicable si el espacio en su disco duro es limitado.

Preguntas Frecuentes

¿Por qué no se ejecuta el descifrador?

El descifrador requiere la versión 4.5.2 o posterior de Microsoft .NET Framework, por lo que esto podría significar que su versión de .NET Framework está desactualizada. Recomendamos instalar la última versión de .NET Framework (4.8 al momento de escribir esto) y luego intentar nuevamente el descifrador.

¿Por qué el descifrador está atascado en “Inicio”?

Cuando ejecuta el descifrador, busca archivos cifrados. Dirá “Iniciando” hasta que pueda encontrar algo. Si el descifrador permanece atascado en “Inicio” durante un largo período de tiempo, esto significa que no puede encontrar ningún archivo cifrado.

¿El descifrador no puede descifrar todas mis imágenes a pesar de que envié pares de archivos?

Las imágenes JPEG / JPG tienen una rareza de formato que hace que los pares de archivos sean específicos para cada fuente de imágenes, en lugar del formato de archivo en general. Como ejemplo, si tiene imágenes de dos cámaras diferentes y envía un par de archivos del grupo de imágenes de una de las cámaras, el descifrador solo podrá descifrar los archivos de la cámara de la que proviene el par de archivos. Para descifrar todas las imágenes JPEG / JPG, deberá enviar pares de archivos de cada fuente de la que haya obtenido esas imágenes.

¿Qué significa “No se pudo resolver el nombre remoto”?

Es una indicación de un problema de DNS. Nuestra primera recomendación es restablecer su archivo HOSTS a los valores predeterminados. Microsoft tiene un artículo sobre esto en el siguiente enlace:
https://support.microsoft.com/en-us/help/972034/how-to-reset-the-hosts-file-back-to-the-default

¿Hay algo que pueda hacer para ayudar a atrapar a estos delincuentes?

Lo mejor que puede hacer en este momento es enviar un informe a la policía nacional de su país. Hay más información disponible en el siguiente enlace:

Inglés Alemán Japonés Portugués, Brasil Francés Turco Chino tradicional Coreano Indonesio Hindi Italiano

About the author

Brendan Smith

Cybersecurity analyst covering malware families, suspicious files, and detection alerts. Brendan focuses on clear explanations of what a warning means, when it may be a false positive, and which cleanup steps are appropriate.

View all posts

22 Comments

  • hello i am from venezuela, my computer had a kkll virus, but cannot repare my files, because it need the key,,, i suppose that is a new variant virus. i need your help for it please. if you have a new program it{s very nice for me… thank

    Reply

    • hi…
      File: C:\$Recycle.Bin\S-1-5-21-3753910849-3850734872-2275543870-1000\$R1BB8KN.cdtt
      Error: No key for New Variant online ID: 69yzNAUeL6ZdXr2ShdU5JOFCsHpr42eBPzkEaFBk
      Notice: this ID appears to be an online ID, decryption is impossible

      Reply

  • Hello good evening, I am in Peru and my computer has been infected with a .kolz ransonware and I am trying to decrypt the information with the Djavu Decryptor program but when I want to install the program on my pc it does not indicate that it stopped working, I would appreciate it please help me to solve this problem thanks in advance

    Reply

  • Starting…

    File: E:\Fotos nunca borrar\Nueva carpeta\familia.rar
    Error: No key for New Variant online ID: gsYeQOr3z89XfjyXa2FWJI6VTSgtqxl2KldyhUa6
    Notice: this ID appears to be an online ID, decryption is impossible

    Finished!

    Reply

  • mi pc infectada con el ransomware .bbzz le corro el desencrictador y me dice desyncriptacion es imposible, ayuda

    Reply

  • .OOXA /// ENCRYPTED FILES

    I HAVE MY FILES ENCRYPTED WITH RANSOMWARE .OOXA

    IS THERE ANY DECRYPTION OF FILES TO RECOVER THEM?

    Reply

  • hace unos días sufrí por un ataque de virus Ransomware dejándome encriptado todos mis archivos en extensión .qqlc, ya corrí la aplicación de: DJVU Decryptor y aun sigo sin exito.

    Espero pronto haya una respuesta

    Reply

  • Tengo archivos infestado con Ransomware “IOTR” no encuentro nada de momento para recuperación. Ayuda por favor.

    Reply

  • Ataque de .wqzw, utilice EmsiSoft Decryptor no pudo desemcriptar ningun archivo, para todos dio como resultado error. Expresando qu es imposible desemcriptarlo. De verdad no hay forma de recuperar los archivos .wqzw?

    Reply

  • Buenas, mis archivos estan encriptado con la extensión .jzie, corró el programa y el mensaje dice “No hay clave para la nueva variante ID sin conexión 4FMaMDK6ugPZOxJj64677pqiSGF54A1Dam97 Aviso: está ID parece ser una ID sin conexión, el descifrado PUEDE ser posible en el futuro”
    ¿podrian ayudarme, buscando la clave para poder descifrar? Por favor, me urge recuperar los archivos.
    Quedare atenta a su respuesta, por favor, les estaré eternamente agradecida, si me ayudan para recuperar mis archivos, o tambien sí hay alguna persona que lea mi comentario y tenga la solución para descifrar, se lo agradeceria muchisimo, por favor. Mi correo: [email protected]

    Reply

  • Este virus ingreso en mi PC el 11/04 del 2021. Aun tengo los archivos encriptados. Llegarà alguna vez una solucion para desencriptarlos?
    El mensaje del ID es el siguiente.
    Error: No key for New Variant online ID: hAGykAAbJy8cmQxB3TMdueEUhxoCO6MfKmcUJgql
    Notice: this ID appears to be an online ID, decryption is impossible

    Reply

Leave a Comment