Gryphon ransomware: descifrar archivos .gryphon y eliminar virus

Aprende cómo el nuevo Gryphon ransomware se coloca en una computadora, cómo afecta los datos personales de la víctima y cómo tratar de restaurar archivos rehenes de forma gratuita.

¿Qué es el ransomware Gryphon?

Originalmente descubierto el 28 de julio, Gryphon ransomware parece haber pasado por el modo de prueba a la distribución desde entonces. Su primera iteración detectada por los investigadores mancharía archivos cifrados con la extensión .[test].gryphon, donde la parte “prueba” se suponía que tenía que coincidir con la dirección de correo electrónico del actor de la amenaza. Unos días más tarde apareció una edición que empezó a utilizar la secuencia .[decr@cock.li].gryphon para etiquetar los elementos de datos rescatados.

Nota de rescate por el ransomware Gryphon

En última instancia, un archivo de ejemplo llamado Car.png será renombrado a Car.png.[decr@cock.li].gryphon. La extensión del archivo sola proporciona pistas sobre lo que la víctima debe hacer para resolver las cosas. El componente clave es la dirección de correo electrónico que se debe contactar para obtener instrucciones adicionales. Para explicar los pasos de recuperación más adelante, el Gryphon ransomware deja una nota de rescate en cada carpeta con archivos cifrados. Se han reportado varios nombres diferentes de estas notas, incluyendo HELP.inf, Info.txt, y !## DECRYPT FILES ## !.txt.

A pesar de los diferentes títulos, sus contenidos son idénticos. El texto dice: “Tus documentos, fotos, bases de datos y otros archivos importantes se han cifrado criptográficamente fuerte, ¡sin la recuperación de la clave original es imposible! Para descifrar tus archivos necesitas comprar el software especial – GRYPHON DECRYPTER “. Esta parte es seguida por una recomendación de no utilizar software de recuperación de terceros, de lo contrario los datos pueden llegar a ser irrecuperables.

Archivos cifrados con la extensión .gryphon

Para recuperar el acceso a los archivos codificados, a la víctima se le instruye que llegue a los atacantes enviando un mensaje a decr@cock.li, o alternativamente a decrsup@cock.li. El usuario plagado debe escribir “encryption” en la línea de asunto, ingresar su ID en el cuerpo del correo electrónico, y adjuntar 3 archivos cifrados, cada uno con menos de 2 MB de tamaño. No hay datos precisos con respecto a la cantidad de criptomonedas que demandan los delincuentes, pero suele estar en el rango de $500-$1400 de Bitcoin (0.2-0.5 BTC).

Gryphon ransomware tiende a infiltrar a los ordenadores a través de correos electrónicos rogue, en su mayoría los generados por una red maliciosa automatizada llamada “botnet”. Estos servicios clandestinos pueden arrojar miles de mensajes de malspam de una sola vez. Una vez que un correo electrónico como ese llega a la bandeja de entrada de alguien, lo más probable es que el destinatario termine abriéndolo, pensando que en realidad es una factura, una notificación de entrega de mensajería faltada o algo similar. El archivo adjunto a este mensaje suele camuflarse como un archivo ZIP benigno, pero cuando se abre, resulta que contiene JavaScript malintencionados. Este código JS, a su vez, descarga el ejecutable Gryphon ransomware y lo ejecuta en el host. Tanto para la cadena de infección.

Cuando se trata de restauración de datos, se recomienda evitar cualquier trato con los atacantes, ya que casi nunca lleva a cabo con sus promesas. Incluso si pagas no hay garantía de que obtendrás tu clave de descifrado. Así que lo primero que debes intentar es usar un procedimiento especialmente diseñado para deshacerte del programa ofensivo y arrastrar los datos fuera del riesgo de cifra.

¿Cómo remover el virus ransomware Gryphon?

Eliminación automática del virus con la extensión .gryphon

La exterminación de este ramsomware puede conseguirse de forma efectiva con un software de seguridad de confianza. Atenerse a la técnica de limpieza automática asegura que todos los componentes de la infección son eliminados completamente de su sistema.

  • y haga que su PC sea comprobado en busca de objetos maliciosos, seleccionando la opción .

  • El escaneo mostrará una lista de elementos detectados. Haga clic en Solucionar Amenazas para hacer que el virus y las infecciones relacionadas sean eliminadas de su sistema. Completar esta fase del proceso de limpieza probablemente lleve a la erradicación total de la plaga apropiadamente. Ahora se enfrenta a una dificultad mayor – intentar recuperar sus datos.

Métodos para restaurar archivos encriptados por ransomware Gryphon

Solución 1: Utilizar software recuperador de archivos

Stellar Data Recovery boxEs importante saber que el ransomware Gryphon crea copias de sus archivos y los encripta. Mientras tanto, los archivos originales se eliminan. Hay aplicaciones por ahí que pueden restaurar los datos eliminados. Puede utilizar herramientas como Stellar Data Recovery para este propósito. La versión más nueva del ransomware bajo consideración tiende a aplicar la supresión segura con varias sobrescritura, pero en cualquier caso, este método vale la pena intentarlo.

Descargar Stellar Data Recovery

Stellar Data Recovery

Solución 2: hacer uso de copias de seguridad

En primer lugar, esta es una gran manera de recuperar sus archivos. Sin embargo, sólo es aplicable si ha realizado copias de seguridad de la información almacenada en su máquina. Si es así, no deje de beneficiarse de su previsión.

Solución 3: Utilizar copias de volumen de sombra

En caso de que no lo supiera, el sistema operativo crea las llamadas copias de volumen de sombra de cada archivo, siempre y cuando la restauración del sistema esté activada en el equipo. A medida que se crean puntos de restauración a intervalos especificados, también se generan instantáneas de los archivos a medida que aparecen en ese momento. Tenga en cuenta que este método no garantiza la recuperación de las últimas versiones de sus archivos. Sin duda merece la pena un tiro. Este flujo de trabajo es factible de dos maneras: manualmente y mediante el uso de una solución automática. Primero echemos un vistazo al proceso manual.

  • Utiliza las Versiones anteriores

    El sistema operativo de Windows proporciona una opción integrada de recuperar versiones anteriores de los archivos. Que también puede aplicarse a las carpetas. Simplemente haz clic derecho sobre un archivo o carpeta, selecciona Propiedades y pulsa la pestaña llamada Versiones anteriores. Dentro del área de versiones, verás la lista de copias de seguridad del archivo / carpeta, con su tiempo respectivo y con la indicación de la fecha. Selecciona la última entrada y haz clic en Copiar si deseas restaurar el objeto en una nueva ubicación que puedas especificar. Si haces clic en el botón de Restaurar, el elemento será restaurado a su ubicación original.

    Versiones anteriores

  • Aplicar la herramienta ShadowExplorer

    Este recurso te permite restaurar las versiones anteriores de los archivos y carpetas en un modo automático en vez de hacerlo manualmente. Para hacer esto, descarga e instala la aplicación the ShadowExplorer. Después de ejecutarla, selecciona el nombre de la unidad y la fecha en que se crearon las versiones del archivo. Haz clic derecho en la carpeta o el archivo de tu interés y selecciona la opción Export. Después, simplemente especifica la ubicación en la que los datos deben ser restaurados.

    ShadowExplorer

Compruebe si se ha eliminado completamente el ransomware Gryphon

Una vez más, la eliminación de malware por sí sola no conduce a la descifrado de sus archivos personales. Los métodos de restauración de datos resaltados anteriormente pueden o no hacer el truco, pero el propio ransomware no pertenece dentro de su computadora. Por cierto, a menudo viene con otros programas maliciosos, por lo que definitivamente tiene sentido para escanear repetidamente el sistema con software de seguridad automática para asegurarse de que no queden restos dañinos de este virus y amenazas asociadas dentro del Registro de Windows y otras ubicaciones.

Últimas guías

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí