Fairytail ayuda para recuperar archivos

#1

Hola quisiera ver si alguien puede ayudarme a buscar una forma de recuperar mis archivos que estan encriptados en la siguiente forma

[email protected] [email protected]@2018 [email protected]@14 a. m.2967638.fname-MiArchivo.rar.fairytail

he intentado usar las herramientas que encontre en:

https://www.nomoreransom.org/en/decryption-tools.html

la mayoria hecha por kaspersky como rannohdecryptor y ramsomware file decriptor sin exito

segun yo, creo que la herramienta que le corresponde es la de cryptxxxV1, pero al intentar con cualquiera de las herramientas de cryptxxx de V1 hasta la v3 donde eliges un archivo encriptado y el mismo sin la encriptacion (que me costo mucho encontrar alguno que fuese exactamente el mismo de uno de mis viejos respaldos) me da el siguiente error

22:59:20.0855 0x59a4 Initialize success 22:59:46.0195 0x63b8 Can’t initialize on pair 22:59:46.0196 0x63b8 Can’t init decryptor

y los ultimos 2 se repiten una y otra vez sin resultado, y usando las que corresponden a version 4 y 5 no me encuentran ningun archivo encriptado, al igual usando el cryptomix_decryptor.exe tampoco identifica ningun archivo

asi que alguien podria ayudarme? el disco cuando fue encriptado lo guarde tal cual sin hacerle modificaciones ya que en ese momento no habia curas, y apenas lo vuelvo a desempolvar por que lei que ya era posible, el sistema donde lo estoy trabajando es nuevo ya sin virus ni infección de ningún tipo soo el HD con archivos encriptados

el mismo contiene un readme.txt con el siguiente contenido

------------------------inicia despues de esta linea sin espacios al inicio------------> decrypt files write you country to [email protected] or [email protected]

-----------------------------aqui termina con esos espacios en blanco--------------

espero alguien pueda guiarme por que estoy completamente perdido y no encuentro mucha informacion o informacion fiable, encontre un foro ruso donde recomientdan una herramienta llamada cryakldecoder.zip, pero al descomprimirla mi antivirus brinca informando un posible trojano, asi que no estoy seguro, tambien algunos otros sitios como

parece que lo recomendaban pero fue borrado aunque parece que hay gente diciendo que le funciono

alguien ha combatido este fairytail en especifico ya que he visto muchas variantes exactamente el mismo formato pero terminan con .crypt .ransom o similares y de fairytail no encuentro mucho y las herramientas que mencionan no me van por algun motivo

#2

Hola @steev_666 bienvenido al nuevo foro

Lamentablemente todavía hay muchas variantes de Ransomware que no se puede desencriptar los archivos, sube un archivo o la nota a ID-Ransomware para estar seguros de que Ransomware es.

Nos comentas que información da.

Un saludo

#3

Ok en el archivo me da el siguiente resultado:

1 Result

Cryakl

This ransomware may be decryptable under certain circumstances.

Please refer to the appropriate guide for more information.

Identified by

  • ransomnote_email : [email protected]
  • sample_extension : email-.ver-CL .id--.fname-..fairytail

Click here for more information about Cryakl

Bajando la herramienta desde el primer sitio que recomienda y buscando por Cryakl, me da la descarga de Rakhini, pero me marca que el archivo no esta soportado aqui el resultado:

16:16:22.0641 0x4914 Trojan-Ransom.Win32.Rakhni decryption tool 1.21.26.1 Nov 26 2018 13:20:22 16:16:24.0643 0x4914 ============================================================ 16:16:24.0643 0x4914 Current date / time: 2019/05/12 16:16:24.0643 16:16:24.0643 0x4914 SystemInfo: 16:16:24.0643 0x4914
16:16:24.0643 0x4914 OS Version: 6.1.7601 ServicePack: 1.0 16:16:24.0643 0x4914 Product type: Workstation 16:16:24.0643 0x4914 ComputerName: DEMON-SERVER 16:16:24.0644 0x4914 UserName: DEMON 16:16:24.0644 0x4914 Windows directory: C:\Windows 16:16:24.0644 0x4914 System windows directory: C:\Windows 16:16:24.0644 0x4914 Running under WOW64 16:16:24.0644 0x4914 Processor architecture: Intel x64 16:16:24.0644 0x4914 Number of processors: 8 16:16:24.0644 0x4914 Page size: 0x1000 16:16:24.0644 0x4914 Boot type: Normal boot 16:16:24.0644 0x4914 ============================================================ 16:16:27.0046 0x4914 Initialize success 16:16:37.0197 0x38bc Number of worker threads: 8 16:16:49.0479 0x38bc File path: D:\Autokey\[email protected] [email protected]@2018 [email protected]@14 a. m.2967638.fname-GPS IMEI Telefonos.docx.fairytail 16:16:51.0587 0x38bc File is not supported: D:\Autokey\[email protected] [email protected]@2018 [email protected]@14 a. m.2967638.fname-GPS IMEI Telefonos.docx.fairytail 16:16:52.0457 0x6098 Number of worker threads: 8 16:16:55.0084 0x6098 File path: D:\Autokey\[email protected] [email protected]@2018 [email protected]@14 a. m.2967638.fname-GPS IMEI Telefonos.docx.new.docx.fairytail 16:16:56.0366 0x6098 File is not supported: D:\Autokey\[email protected] [email protected]@2018 [email protected]@14 a. m.2967638.fname-GPS IMEI Telefonos.docx.new.docx.fairytail 16:16:57.0468 0x2fb0 Number of worker threads: 8 16:17:03.0946 0x2fb0 File path: D:\Cracks\007\[email protected] [email protected]@2018 [email protected]@14 a. m.2967638.fname-Voces en Español JS.122.ES.EFM7DS.SF.rar.fairytail 16:17:05.0413 0x2fb0 File is not supported: D:\Cracks\007\[email protected] [email protected]@2018 [email protected]@14 a. m.2967638.fname-Voces en Español JS.122.ES.EFM7DS.SF.rar.fairytail

y el segundo sitio que recomienda de

el archivo no existe

#4

Hola

Si, parece que ya no existe, está roto el enlace.

Lamentablemente Rakhni Decryptor no puede desencriptar todas las versiones del Ransomware, lo único que puedes hacer es guardar los archivos encriptados en un USB por si en un futuro actualizaran la herramienta.

Un saludo