Solucin

Para desinfectar el equipo se deben realizar los siguientes pasos:

Si no es posible restaurar el sistema o a pesar de haberlo realizado el problema persiste,
se pueden seguir los pasos que se indican a continuacin para eliminar el virus y recuperar los
ficheros cifrados:
1. Reinicie el equipo en modo seguro con funciones de red
o

Windows XP / Windows 7:

presionar F8 (antes de que aparezca la pantalla de inicio de Windows) para

entrar en el men de opciones avanzadas de Windows
seleccionar la opcin: Modo seguro con funciones de red (Safe Mode with
Networking)

o
o

Reinicio seguro con Windows 8 (Fuente ESET).

Realice una restauracin de su sistema a un punto temporal anterior, cuando an no
estuviese bloqueado su equipo. Para ello se deben seguir las instrucciones de la
web Restauracin del sistema.
2. Determine la versin de su sistema operativo (32-bit o 64-bit) Microsoft Windows:
o

o
o

Windows XP: haga clic en Inicio, clic derecho en Mi PC y

seleccione Propiedades en el men contextual.
si en la ventana aparece el texto Microsoft Windows XP x64 Edition
Version la versin del sistema operativo ser de 64-bit
si en la ventana aparece el texto Microsoft Windows XP Versin [Ao] la
versin del sistema operativo ser de 32-bit
Windows Vista y 7: haga clic en Inicio y luego clic con el botn derecho del ratn
en Equipo. Acceda aPropiedades en el men contextual.
Windows 8: haciendo clic con el botn derecho del ratn sobre la pantalla de inicio,
dirjase a Todas las aplicaciones >Panel de control >Sistema.

3. Habilitar ver archivos y carpetas ocultos

4. Analice y limpie el virus con ESET Rogue Application Remover:
o
o
o
o

descargue el analizador gratuito ESET Rogue Application Remover adecuado para

su sistema operativo y versin, y slvelo en el Desktop
ejectelo haciendo doble clic sobre el icono o el fichero descargado, en el
ejemplo ERARemover_x86.exe
acepte los Trminos de la licencia software
la herramienta comenzar a analizar el ordenador, avisando cuando encuentre
CryptoLocker u otro malware; contine hasta que elimine todo el malware

5. Para mayor seguridad analice el sistema con otra herramienta, por ejemplo, Microsoft
Malicious Software Removal Tool o alguna de las del listado de tiles gratuitos.
o

descargue el analizador gratuito de Microsoft

Malicious Software Removal Tool, la herramienta analiza el sistema para sugerirle la
versin adecuada para

descargar

o
o
o
o
o

haga clic en el botn Descargar para que la descarga comience, guarde el fichero
en el Desktop
tras descargar el fichero, ejectelo haciendo doble clic sobre el icono o el fichero
la herramienta mostrar una ventana de bienvenida, haga clic Siguiente
a continuacin solicita el tipo anlisis, seleccione Anlisis completo para
asegurarse que encuentra y elimina el virus CryptoLocker y otro malware
espere a que la herramienta Malicious Software Removal Tool termine el anlisis

o
o

al finalizar, la herramienta indicar todas las amenazas identificadas, elimnelas o

brrelas todas
una vez hecho puede cerrar la herramienta y reiniciar el sistema

Borrar temporales
6. 1. Navigate to the following paths and delete all Cryptolocker Hidden files:
o For Windows XP:
C:\Documents and Settings\<YOUR USERNAME>\ApplicationData\RandomFileName.exe

e.g. {DAEB88E5-FA8E-E0D1-8FCD-BFC7D2F6ED25}.exe
C:\WINDOWS\system32\msctfime.ime
o

For Windows Vista or Windows 7:

C:\Users\<YOUR USERNAME>\AppData\Roaming\RandomFileName.exe

e.g. {DAEB88E5-FA8E-E0D1-8FCD-BFC7D2F6ED25}.exe
C:\WINDOWS\system32\msctfime.ime

2. Finally delete all files and folders under your TEMP folders:
For Windows XP:
C:\Documents and Settings\<YOUR USERNAME>\Local Settings\Temp\
C:\Windows\Temp\
For Windows Vista or Windows 7:
C:\Users\<YOUR USERNAME>\AppData\Local\Temp\
C:\Windows\Temp\

Restore your files from Shadow Copies.

Restore your files after Cryptolocker Infection
After you have disinfected your computer from Cryptolocker virus, then it is time to try to restore
your files back to their state prior to the infection. For these methods, we use the Shadow Copy
feature which is included in Windows XP and the latest operating systems (Windows 8, 7 &
Vista)
Method 1: Restore Cryptolocker encrypted files using Windows Restore Previous versions
feature.
Method 2: Restore Cryptolocker encrypted files using Shadow Explorer.
Method 1: Restore Cryptolocker encrypted files using Windows Restore Previous
versions feature.
How to restore CryptoLocker encrypted files using Windows Restore Previous
versions feature:
1. Navigate to the folder or the file that you want to restore in a previous state and right-clickon
it.
2. From the drop-down menu select Restore Previous Versions. *
Notice* for Windows XP users: Select Properties and then the Previous Versions tab.

3. Then choose a particular version of folder or file and the press the:

Open button to view the contents of that folder/file.

Copy to copy this folder/file to another location on your computer (e.g. you external hard
drive).

Restore to restore the folder file to the same location and replace the existing one.

Method 2: Restore Cryptolocker encrypted files using Shadow Explorer.

How to restore CryptoLocker encrypted files using Shadow Explorer utility.
ShadowExplorer, is a free replacement for the Previous Versions feature of Microsoft Windows
Vista/ 7 / 8. You can restore lost or damaged files from Shadow Copies.
1. Download ShadowExplorer utility from here.(http://www.shadowexplorer.com/downloads.html
) (You can either download the ShadowExplorer installer or the Portable version of the
program)
2. Run ShadowExplorer utility and then select the date that you want to restore the shadow
copy of your folder/files.

3. Now navigate to the folder/file that you want to restore its previous version, right-click on it
and select Export

4. Finally specify where the shadow copy of your folder/file will be exported/saved (e.g. your
Desktop) and press OK

METODO ALTERNATIVO DE RECUPERACION 3

Aunque haya eliminado el virus, tendr algunos ficheros cifrados con Cryptolocker. A
continuacin indicamos un mtodo para descifrarlos:
o
o
o

descargue el fichero Panda Ransomware Decrypt pandaunransom.exe y guarde el

fichero en el Desktop
tras descargar el fichero, ejectelo haciendo doble clic sobre el icono o el
fichero pandaunransom.exe,acepte los Trminos de la licencia software
ver una pantalla del programa Panda Ransomware Decrypt como la siguiente:

o
o
o
o

a continuacin, cree una carpeta PandaTest y copie alguno de los ficheros

cifrados
vuelva a la ventana del programa Panda Ransomware Decrypt y haga clic en el
botn Select Folder y seleccione la carpeta creada
haga clic en el botn START para comenzar y espere hasta que el proceso termine
si la herramienta descifra los ficheros contenidos de la carpeta PandaTest, puede
ejecutar la herramienta sobre todos los ficheros y carpetas afectadas de su
ordenador

Puede revisar este artculo de recuperacin de archivos usando SHADOWCOPY (WINDOWS).

http://www.sahw.com/wp/archivos/2010/10/31/analisis-forense-de-volume-shadow-copyservice-shadow-copy-vss/