Buenas, a mi también me encriptaron varios ficheros en enero de 2021, por ejemplo así: COCHE.rar.id[12116E07-3131].[[email protected]].eking. No tengo la nota de rescate porque apagué el ordenador antes que terminara de encriptar todo. En la web de ID ransomware https://id-ransomware.malwarehunterteam.com indica que es Phobos y que no hay herramientas, al igual resultado en la web https://www.nomoreransom.org ¿alguien conoce otra web o si tiene una herramienta para desencriptarlo? Gracias
1 me gusta
Hola buenas @chiquirf, bienvenido al foro. Al ser nuevo te recomiendo que te leas las políticas de este. No porque hayas hecho nada mal, sino para saber más acerca del funcionamiento de este.
Ok, todo leído.
Primero de todo léete este artículo que ya tiene unos años:
Creo que también es interesante en que le des un vistazo a este informe en general: https://www.ccn-cert.cni.es/es/informes/informes-ccn-cert-publicos/6248-ccn-cert-id-13-21-eking-1/file?format=html
Sé que para un usuario sin conocimientos técnicos o con conocimientos técnicos puede ser muy abrumador, pero quiero que lo leas así por encima un poco.
A ver siéndote sincero y visto lo visto no tiene buena pinta, pero vamos a intentar algunas cosas…
Dime que es lo que quieres que hagamos:
¿Desinfectar tu máquina de todos los malwares que puedas tener en esta, incluido por supuesto el Ransomware ?
¿Intentar descifrar/recuperar tus ficheros cifrados?
U ambas cosas.
Salu2.
Para ir avanzando un poco:
pues si te parece empezaremos por revisar si podemos de alguna forma recuperar los ficheros.
En principio, a día de hoy no sigue habiendo forma alguna para poder recuperar los datos con dicha extensión eking.
Descarga la siguiente herramienta: Emsisoft Decryptor for STOP Djvu y miras como utilizar esta herramienta a partir de su Manual. Lee todo el manual antes de realizar el proceso, si tienes alguna duda me la haces saber. Seguidamente, coges un pequeño grupo de archivos que tengas cifrados con dicha extensión (haz una copia/duplicado de dichos archivos, mejor trabajar siempre en estos casos con copias de los archivos cifrados) y realizas el procedimiento descrito en el manual.
Muy Importante Coloca el reporte que te he pedido como se muestra en la siguiente imagen:
Salu2.
Hola, buenas @chiquirf
¿Pudiste realizar algún avance acerca de lo que te dije o pregunté en mi anterior mensaje?
¿Sigues necesitando ayuda acerca del problema qué comentaste inicialmente en este tema?
Me comentas y seguimos con el tema.
Salu2.
Hola… gracias por las respuestas… recién veo en el mail la notificación de tu último comentario… reconozco que no he entrado a ver directo al foro así que sorry por ello. Voy a buscar un hueco para leer lo que me has indicado pero para adelantar, solo necesito ayuda a ver si se puede desencriptar los ficheros… porque limpieza de malware ya está hecho el día 1 que me e cripta ron porque monte un disco duro nuevo con instalación limpia de windows. Muchas gracias… ya respondo pronto!!!
1 me gusta
Hola buenas @chiquirf
De nada.
OK, perfecto tranquilo no pasa nada.
Ok.
Ok. Bueno, esto no tiene que ser exactamente así. Pues:
No siempre formatear o caviar de disco duro y poner uno nuevo significa que el malware haya sido eliminado completamente de la máquina. Pues… a veces se esconde en otras partes como discos duros externos, usbs, otras particiones del mismo disco donde tenías instalado windows (en caso de que las tuvieras) u otros discos internos de datos y …
¿Quieres que una vez hayamos mirado lo de los ficheros, realicemos una revisión estándar corta para asegurar que todo está limpio y que no hay sorpresas?
Me comentas.
Salu2.
Hola MIXU,
Recién he encontrado un hueco para por lo menos leer los artículos y explicarme mejor.
vamos por partes como dijo mi amigo Jack 
Infección en 2021 Siempre había escuchado que “el ransomware entra a los equipos por ficheros maliciosos descargados y abiertos”… lo que no leí en noticias era que por RDP también entraban… y fue justo eso, abrí los puertos de RDP para conectarme desde el ordenador de la casa de mi madre al mio… y boom… por ahí entró. la detección fue que estaba usando el ordenador y empezó a salir mensajes de “no se encuentra el archivo talcual de la aplicación pascual de la carpeta archivos de programas”, y tras varios mensajes iguales, entré a la carpeta y vi que los ficheros estaban todos renombrados… así que nada… a tirar de botonazo y nunca más encenderla. Así que me compré un disco duro nuevo y instale Windows de cero para poder trabajar y usarlo mientras decidía que hacer con loas discos duros “infectados”
Desinfección 2021 Básicamente cogí un ordenador viejo que por suerte tenía aun por ahí, encendí con un live CD (usb en realidad) un Linux Ubuntu y a ver que me encontraba, conecté los discos duros y vi eso…casi todo encriptado, por suelte algunas cosas no. Lo malo es que como corté la encriptación a medias… no llegó a dejar nota de rescate porque no la encontré por ningún lado. así que nada… días clasificando los ficheros encriptados de los que no para los que no estaban encriptados pasarlos al ordenador “nuevo”, pasando mil herramientas de detección de ransomware y antivirus que ya ni me acuerdo cuales usé.
Actualidad 2024 ya con todo clasificado y limpio, pasé toda en el 2021 la data en el ordenador actual y no he tenído problemas desde entonces… así que cada x tiempo me paso a las web de nonransomware a ver si hay suerte pero nada… de ahí que me animara a escribir aquí a ver si alguien podría ayudarme… pero por lo que voy leyendo en lo que me enviaste… pues parece que aun no.
Nada… muchas gracias… y ya otro día (ahora no puedo) hago lo de la herramienta EMSISOFT y te mando el resultado.
Sorry por el coñazo de la historia, pero si sirve para alguien de que no debe hacer y si le pasa qué puede hacer para no empeorarlo, jejeej bienvenido sea, jejejeje
Buenas, ya he podido sentarme al ordenador ha ejecutar el soft de EMSISOFT, leyendo el manual, he quitado las unidades que indica por defecto y agregué una carpeta con 201 ficheros y 149Mb para probar… el resultado fue inmediato y es el siguiente:
Starting...
Finished!
De antemano muchas gracias por la ayuda, a ver si encuentro algo o tendré que seguir esperando 
Saludos!!!