Descifrador para el ransomware Apocalipsis (.ENCRYPTED) publicado por Emsisoft


Un nuevo ransomware llamado Apocalipsis ha sido liberado el cual cifra los datos y luego agrega la extensión .encrypted a ellos. Se requiere entonces enviar un mensaje por correo electrónico a [email protected] con el fin de obtener instrucciones sobre cómo pagar el rescate. Afortunadamente, para aquellos que han sido afectados por el ransomware Apocalipsis, Fabian Wosar de Emisoft ha publicado un descifrador gratuito para obtener los archivos de nuevo.


Cómo descifrar el ransomware Apocalypse archivos modificados con la extensión.ENCRYPTED

Apocalipsis muestra una pantalla de bloqueo cuando se encuentra en modo normal, por lo que tendrá que reiniciar el equipo en modo seguro con funciones de red. Una vez que esté en modo seguro, tendremos que desactivar el ransomware mediante la ejecución del comando MSConfig desde el menú inicio para luego desactivar la entrada que tenga la etiqueta de Windows Update Svc.

Ahora se puede descargar decrypt_apocalypse.exe desde el enlace y guardarlo en el escritorio.

Una vez descargado, haga doble clic en decrypt_apocalypse.exe, permita que el programa se ejecute, y acepte el contrato de licencia. Ahora verá la pantalla principal del descifrador con la unidad C: listo para ser descifrados.


Si hay otras unidades o carpetas, por favor añádalos usando el botón Añadir carpeta (Addfiles). Cuando esté listo, haga clic en el botón Descifrar (Decrypt) para descifrar todos los archivos cifrados y mostrar el estado de descifrado en una pantalla de resultados como la de abajo.


Cuando se termine el programa, la totalidad de sus archivos encriptados deben de haber sido descifrados.

Cómo el ransomware Apocalypse encripta sus archivos

Cuando se instala Apocalipsis, se almacenará así mismo en C: \ Archivos de programa (x86) \ windowsupdate.exe y crea un servicio como ejecución automática de Windows Update llamada Svc que inicia el programa cuando un usuario inicia sesión en Windows. Al iniciar el programa, se cifrará todos los archivos excepto los situados en la carpeta Windows y los que tengan la siguiente extensión:

.dat, .bat, .bin, .encrypted, .ini, .tmp, .lnk, .com, .msi, .sys, .dll, .exe

Cuando el ransomware cifra un archivo se añadirá la extensión .encrypted al nombre del archivo y generara una nueva nota de rescate usando la plantilla [nombre del archivo] .How_To_Decrypt.txt. Esto significa que si un archivo se llama test.jpg sin estar cifrado, el ransomware creará un archivo test.jpg.encrypted y una nota de rescate test.jpg.How_To_Decrypt.txt.

Cuando el ransomware haya terminado el cifrado de archivos, se mostrará una pantalla de bloqueo que le impedirá acceder a su escritorio de Windows. Puede pasar por alto esta pantalla de bloqueo reiniciando en modo seguro con funciones de red. Las notas de la pantalla de bloqueo y de rescate contienen el mensaje siguiente:

IF YOU ARE READING THIS MESSAGE, ALL THE FILES IN THIS COMPUTER HAVE BEEN CRYPTED!! documents, pictures, videos, audio, backups, etc IF YOU WANT TO RECOVER YOUR DATA, CONTACT THE EMAIL BELOW. EMAIL: [email protected] WE WILL PROVIDE DECRYPTION SOFTWARE TO RECOVER YOUR FILES. ::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::: IF YOU DONT CONTACT BEFORE 72 HOURS, ALL DATA WILL BE LOST FOREVER :::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
Archivos asociados con el ransomware Apocalipsis.

C:\Program Files (x86)\windowsupdate.exe
Las entradas del registro asociadas con el ransomware Apocalipsis
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Windows Update Svc C:\Program Files (x86)\windowsupdate.exe