Buenas noches amigos, yo también me infecté hoy del Ramsonware que deja los archivos encriptados con una extensión .mado y no he podido recuperarlos (tengo mucha información de trabajo y personal) me podrían ayudar?
Hola @giovvi
Bienvenido al Foro!!!
Como aquí la ayuda es personalizada, movi el post a un tema propio.
De todas maneras para saber con exactitud tu caso realiza lo siguiente:
Sube la nota de rescate y uno de tus archivos encriptados al siguiente enlace:
Te dará un resultado, copia el enlace de la pagina y nos pegas ese enlace en tu próxima respuesta.
De esta manera podremos saber si existe a la fecha algún desencriptador que pueda salvar tus archivos.
En el caso que de negativo, la recomendación es que los guardes en una Unidad externa, por si a futuro algo pudiera aparecer.
Nos comentas.
Salu2
Gracias SanMar por tus indicaciones y bienvenida. Ya hice el paso indicado y esto fue el rsultado::
1 Result
### STOP (Djvu)
### Este ransomware puede ser desencriptable en determinadas circunstancias.
Por favor, consulte la guía apropiada para obtener más información.
Identificado por
* **ransomnote_email** : [email protected]
* **sample_extension** : .mado
* **sample_bytes** : [0x3608 - 0x362E] 0x7B33364136393842392D443637432D344530372D424538322D3045433542313442344446357DSanMar, te brindo esta información por si acaso sirve… los archivos con extensión .MADO los trasladé a una partición del disco duro y luego formateé la unidad C ; cabe anotar que los archivos de las memorias USB también fueron afectadas con el cambio de extensión.
La información que subí la extraje de la USB, pero igual asumo que es el mismo tipo de virus que se encuentra en la partición del disco duro.
Gracias y quedo atento.
Hola @giovvi
Si formateaste tu disco C: ya esta limpio, solo te quedaran los archivos encriptados por el Ransomware Stop extensión .mado.
Lamentablemente si fueron encriptados con clave en linea no podrán desencriptarse.
De todas maneras realiza los pasos indicados en el siguiente enlace:
Nos comentas si pudiste descifrar algún archivo.
Salu2
Osea que no debí formatear la computadora? Ya mismo inicio el proceso que me mencionas y les comento el resultado.
Hola @giovvi
Fue una medida extrema para liberarte de la infección, salvaste tus archivos encriptados a otra partición.
De todas maneras por lo general los Ransomware una vez que se ejecutan y te encriptan los archivos, se auto-eliminan.
Pero también hay excepciones como el tema donde primero respondiste, a ese usuario le quedo el equipo muy infectado.
O sea al margen de formatear o no, es poco probable que si te encriptaron con clave en linea puedas por el momento recuperar los archivos.
Salu2
Oh Dios, que problema eso… ya entiendo, y ya estoy haciendo el proceso que me indicaste y sale esto:
File: D:\SIMO\YA CUESTIONARIO_ESTRUCTURA_DEL_ESTADO.pdf.mado
Error: The underlying connection was closed: Could not establish trust relationship for the SSL/TLS secure channel.
File: D:\SIMO\YA ESTATUTO_ANTICORRUPCION.pdf.mado
Error: The underlying connection was closed: Could not establish trust relationship for the SSL/TLS secure channel.
File: D:\SIMO\YA LEY_80_DE_1993_CONTRATACION_PUBLICA.pdf.mado
Error: The underlying connection was closed: Could not establish trust relationship for the SSL/TLS secure channel.
File: D:\SIMO\YA LEY_ANTITRAMITES.pdf.mado
Error: The underlying connection was closed: Could not establish trust relationship for the SSL/TLS secure channel.
File: D:\SIMO\YA MANUAL DE CONOCIMIENTOS BASICOS ALCALDIAS DEL VALLE.pdf.mado
Error: The underlying connection was closed: Could not establish trust relationship for the SSL/TLS secure channel.
File: D:\SIMO\YA PRUEBAS COMPORTAMENTALES VALLE DEL CAUCA.pdf.mado
Error: The underlying connection was closed: Could not establish trust relationship for the SSL/TLS secure channel.
Todos los archivos que puse a correr desde la USB están saliendo así 
Hola:
Copia un archivo de ellos al escritorio de Windows supongo que en C:, y vuelve a ejecutar la Herramienta.
Salu2
Hola Sandra! Ya apagué el computador, estoy respondiendo desde el teléfono pero mañana a primera hora realizo lo que me acabas de indicar; aquí en este momento son las 12:11am hora colombiana, tú estás en un huso horario similar?
Que pases una feliz noche y agradezco toda la ayuda que me estás brindando.
Buenos días SanMa!
Ya lo intenté desde el escritorio con unos pocos archivos y no funcionó.
Starting…
Finished! Starting…
File: C:\Users\Gio\Desktop\ensayo\HIGHERLOVE.jpg.mado Error: The underlying connection was closed: Could not establish trust relationship for the SSL/TLS secure channel.
File: C:\Users\Gio\Desktop\ensayo\no adaptados a la musica.mp4.mado Error: The underlying connection was closed: Could not establish trust relationship for the SSL/TLS secure channel.
File: C:\Users\Gio\Desktop\ensayo\Presupuesto personal modificado.xlsx.mado Error: The underlying connection was closed: Could not establish trust relationship for the SSL/TLS secure channel.
File: C:\Users\Gio\Desktop\ensayo\Yanni - Venezuela, Destiny Calling.mp3.mado Error: The underlying connection was closed: Could not establish trust relationship for the SSL/TLS secure channel.
Finished!
Hola @giovvi
Pues lamentablemente la herramienta parece no funcionar en tu equipo.
Luego de Formatear descargaste todaaaas las actualizaciones desde Windows Update??
Salu2
Hola SanMar! disculpa la demora en responder (labores)
Es que funciono con Windows7 porque mi equipo es algo viejito jejej… pero me había llegado un mensaje donde decía que iban a dejar de llegar actualizaciones, pero ahora que lo mencionas… voy a intentar activar las actualizaciones a ver si descarga algunas, y vuelvo a correr la herramienta, te parece?
Termino de hacer el proceso y te aviso, vale?
Hola @giovvi
Es cierto Windows 7 dejo de recibir actualizaciones pero como tu mencionas haber formateado recientemente es probable que te falten actualizaciones.
Prueba y comenta.
Salu2
Hola SanMar! un grato saludo para ti…
Te comento que ya acabé de descargar las actualizaciones y las instalé, corrí nuevamente la herramienta que me facilitaste y salió esto:
Starting…
File: C:\Users\Gio\Desktop\MaDo\EDL Gio.docx.mado No key for New Variant online ID: pgWsBx78Ak1sytUeX7PQxZthuMK9oamfcqNiFyqy Notice: this ID appears to be an online ID, decryption is impossible
File: C:\Users\Gio\Desktop\MaDo\Evaluación del Desempeño Laboral EDL.docx.mado No key for New Variant online ID: pgWsBx78Ak1sytUeX7PQxZthuMK9oamfcqNiFyqy Notice: this ID appears to be an online ID, decryption is impossible
Finished!
Qué opinas sobre esto?
Hola @giovvi
Pues lamentablemente te encriptaron con lo que se conoce como clave en linea y la desencriptación es imposible.
Solo queda que dejes guardados los archivos encriptados en una USB o Unidad externa por si alguna vez se actualiza la herramienta. Pero desde ya te digo que con clave en linea hasta ahora no se han podido desencriptar.
Aunque no hay que perder las esperanzas, lo veo difícil, al menos te corrió bien la herramienta.
Nos comentas si ya no tienes mas dudas para cerrar el tema.
Salu2
Hola SanMar! la verdad si voy a cerrar el ticket, confío plenamente en la información que me has brindado; aparte que estoy muy agradecido por el seguimiento que hiciste y por dedicarle tiempo a mi solicitud.
Seguiré atento al foro por si encuentran una solución viable a este asunto; por el momento dejaré mis archivos en cuarentena (La esperanza es lo último que debemos perder en estos casos).
En caso que encuentres una posible solución me puedes contactar? o que debería hacer para ser notificado de esto.
1 me gusta
Hola @giovvi
Sigue el tema que se actualiza seguido:
STOP Ransomware - descifrador gratuito (STOP Djvu Decryptor) - nº 5 por Marcelo
Entra cada tanto que allí se publican las actualizaciones de la herramienta y la información sobre las extensiones.
Gracias por confiar en nuestro equipo…
Cerramos el tema.
Salu2
1 me gusta