Descifrado: El ransomware Alfa continúa la tendencia de aceptar tarjetas de Amazon como pago


Un nuevo ransomware llamado Alfa ransomware fue descubierto y analizado esta semana por Katja Hahn, S! Ri, MalwareHunterTeam, y Michael Gillespie . Este ransomware encripta sus datos con cifrado AES-256 y luego exige $ 400 USD en tarjetas de regalo de Amazon con el fin de recuperar los archivos de nuevo. Afortunadamente un descifrador para esta infección pudo ser creado debido a un defecto descubierto.

Este ransomware también sigue la extraña tendencia de usar tarjetas de regalo de Amazon como un método de pago por el rescate. Al igual que TrueCrypter, la aceptación de este tipo de pago parece tonta, ya que fácilmente es detectable en comparación con una moneda virtual como el bitcoin.

Remueva y descifre los archivos encriptados .encrypt por el ransomware Alfa

La buena noticia es que Michael Gillespie fue capaz de crear un descifrador para este ransomware por lo que una víctima puede tener sus archivos de nuevo de forma gratuita. Para utilizar este descifrador, simplemente descarguelo desde el siguiente enlace y ejecutelo:

Descargar Alpha Decrypter

Una vez ejecutado, el descifrador se abrirá y se puede seleccionar la unidad C: para luego descifrar los archivos.


Cuando se utiliza este descifrador, también se puede poner una marca de verificación para eliminar las notas de rescate ya que este ransomware deja muchas notas a lo largo de la unidad.

El proceso de cifrado del ransomware Alfa

Cuando este ransomware infecta el equipo va a colocar el ejecutable principal en% APPDATA% \ Windows \ svchost.exe y creará un autorun llamado alfa que inicia el ransomware cuando un usuario inicia sesión en Windows. A continuación, analizará las unidades de la víctima para encriptar ciertos tipos de archivo mediante el cifrado AES-256. Cuando se cifra un archivo se añadirá la extensión .Encrypt al nombre del archivo. Los tipos de archivo encriptados específicos son:

.3ds, .3fr, .3pr, .ab4, .ac2, .accdb, .accde, .accdr, .accdt, .acr, .adb, .agd1, .ai, .ait, .al, .apj, .arw, .asm, .asp, .aspx, .awg, .backup, .backupdb, .bak, .bat, .bdb, .bgt, .bik, .bkp, .blend, .bmp, .bpw, .c, .c, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfp, .cgm, .cib, .class, .cls, .cmd, .cmt, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .css, .csv, .dac, .db, .db3, .dbf, .db-journal, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .der, .design, .dgc, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dwg, .dxb, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fpx, .fxg, .gif, .gray, .grey, .gry, .h, .h, .hbk, .hpp, .html, .ibank, .ibd, .ibz, .idx, .iiq, .incpas, .jar, .java, .jpeg, .jpg, .js, .kc2, .kdbx, .kdc, .kpdx, .lua, .mdb, .mdc, .mef, .mfw, .mmw, .moneywell, .mos, .mpg, .mrw, .myd, .ndd, .nef, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nwb, .nx1, .nx2, .nyf, .odb, .odf, .odg, .odm, .odp, .ods, .odt, .orf, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pat, .pcd, .pdf, .pef, .pem, .pfx, .php, .pl, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .ps, .psafe3, .psd, .ptx, .py, .ra2, .raf, .raw, .rdb, .rtf, .rw2, .rwl, .rwz, .s3db, .sas7bdat, .sav, .sd0, .sd1, .sda, .sdf, .sldm, .sldx, .sln, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stw, .stx, .svg, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .txt, .vb .vbs, .wb2, .x3f, .xla, .xlam, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .ycbcra
Durante el proceso de cifrado, el ransomware creará notas de rescate llamados Read Me (How Decrypt)!!!!. Txt en cada carpeta. El texto de esta nota de rescate es:

Saludos,

Nos gustaría pedir disculpas por los inconvenientes, sin embargo, el equipo se ha bloqueado. Con el fin de desbloquearlo, hay que completar los siguientes pasos:

1. comprar tarjetas regalo de iTunes por un monto total de $ 400,00

2. Enviar los códigos de regalo a la dirección de correo electrónico indicada

3. Recibirá un código y un archivo que desbloqueará el equipo.

Tenga en cuenta:,

- El importe nominal de la tarjeta de regalo en particular no importa, sin embargo, la cantidad total tiene que ser como se indica anteriormente.

- Usted puede comprar el regalo de iTunes en línea o en cualquier tienda. Los códigos deben ser correctos, de lo contrario, no recibirá nada.

- Después de recibir el código y el archivo de seguridad, su equipo será desbloqueado y nunca será bloqueado de nuevo.

Lo siento por las molestias causadas.
Debido a un error en el software, las direcciones de correo electrónico que se supone son para enviarle el pago no se suministran. Estos son:

[email protected] [email protected] [email protected] [email protected] [email protected]
Por último, el ransomware va a cambiar su fondo de escritorio a la siguiente imagen.


Como ya se ha dicho, nadie debe pagar el rescate de este ransomware para obtener el descifrador.