Trojan Koeserg ó Extortion virus from [email protected] , como eliminarlo

Te explicaremos como eliminar esta nueva amenaza, el Trojan Koeserg  ó  Extortion virus from [email protected] ,  que apareció hace cinco días y está causando estragos en computadoras de todo el mundo.

Trojan Koeserg ó Extortion virus from koeserg@gmail.com , como eliminarlo

Trojan Koeserg ó Extortion virus from [email protected] , como eliminarlo

 ¿Qué daño causa?….Este virus lo que hace  es encriptar TODOS los archivos,  tanto .doc, xls, .dbf, jpf, pdf, txt, ods, odf, odt, png, gif entre otros con una clave de 1024 bits con extensión .EnCiPhErEd, y además en CADA DIRECTORIO QUE ENCRIPTA genera un archivo que se llama HOW TO DECRYPT FLIES.TXT, en este archivo de texto el o los “creadores” del virus dicen que: “Debes depositar 50 euros para que te envíen la clave para desencriptar, TODOS LOS ARCHIVOS “.  El correo que introducen para que le envíes la petición es [email protected]. Hay que tener en cuenta que, según ellos, luego de que te envían la clave, tienes solo 5 intentos para introducir el password.
Este virus, el Trojan Koeserg  ó  Extortion virus from [email protected]   generalmente se aloja en ésta carpeta y con éste nombre: c: \ temp \ vQVykYApjMM758B.exe.
Además genera un registro en HKLM \ Software \ Microsot \ Windows \ CurrentVersion \ Run Alcometer. 

Solución…. El virus (Trojan Koeserg) en si, se elimina con un escaneo de un antivirus común, pero sucede que los archivos permanecen encriptados y por lo tanto inutilizables. Pero en Tutto Digital te brindamos la solución para que puedas desencriptar todos tus archivos.
Solo tienes que descargar ESTE ARCHIVO ,  los descomprimes ya que es un ZIP, y luego se puede copiar en cualquier carpeta de la PC infectada,  luego vas a inicio > ejecutar, escribes cmd, en la ventana que se abre debes ir hasta la carpeta (directorio) donde  pegaste al archivo y escribes, en esta ventana:

te94decrypt.exe -k 85   (tal cual lo puse, lo primero es el nombre del archivo); en la imagen el archivo fue copiado en la raíz del disco C por lo que escribimos es lo que se ve en la captura de la pantalla.

Este programa salvador, empieza a pasar un scanner por todos los directorios y va desencriptando todos los archivos. Lo que encuentra, lo desencripta pero también  deja el archivo  encriptado  en el directorio donde estén alojados. Lo que hay que  hacer luego, es eliminar todos los archivos encriptados.

Si no fuí lo suficientemente claro, dejan un mensaje y trataré de ser más explícito.

Gracias por toda la info,  a uno de nuestros lectores, C.R.

52 comentarios en “Trojan Koeserg ó Extortion virus from [email protected] , como eliminarlo

      1. en mi computadora no hay una opción que se llame “Ejecutar”
        ¿en donde la puedo encontrar? ya busque en todos lados pero no esta, ¿como hago?

          1. Tengo Windows Vista, ya lo hice igual.Pero no me funciono, todavia esta TODO encriptado cuando pongo el codigo me pone un cartel que dice “WRONG KEY”
            ayudaa!!!!!!!!!!!

        1. Si tenes Windows 7 o vista, cuando apretas en Inicio te aparece una ventana para tipear el sistema que queres ejecutar. Ahi mismo colocas cmd. No tenes q ir a Ejecutar, que es solo para las versiones iguales o inferiores a Windows XP.

          Comentame como te fue. Saludos

          1. lo abri poniendo el boton con el logo de Windouws, el de los 4 cuadraditos
            y toque la “R”
            Boton de windows + R

  1. Buen dia, amigo tengo este virus ubicado en mi disco duro, corre la herramienta tal cual como tu lo indicas en los parrafos anteriores pero al momento de dar clic en el boton continuar me sale una ventana con la leyenda en el titulo de error y en la parte central dice wrong key
    te agradezco mucho me pudieras ayudar
    gracias

  2. Me andubo de pelos! Efectivamente hay que escribir así en el cmd: te94decrypt.exe -k 85. La k junta al guión medio, y el 85 separado.

    Mil gracias! problema resuelto!

      1. Si, exactamente el mismo. te los encripta con una clave de 1024 bits. Como ya lo dije, me lo hizo en una pc con Win 7 y en Windows Server 2003, desencriptando 19.000 archivos. Procupen que el programa por defecto para abrir el archivo sea el correcto. Para eso hagan botòn derecho en el archivo, Abrir Como… y seleccionen el programa correspondiente.

  3. ya me funciono asi como lo indicas, a todos mis archivos ya las retiro la extension que no correspondia, pero cuando intento acceder al archivo con el programa indicado me marca errores en el caso de los archivos del office y las imagenes me marca una x
    gracias nuevamente

    1. Fijate que te deja 3 tipos de archivos generalmente. Uno con la extensión que es, otro con la extensión .EnCiPhErEd, y otro con una extensión .(0) que esa tampoco funciona. Contame como te fue.

  4. saludos! tambien tengo el mismo problema, ya hize lo que comentan pero los archivos recuperados sigen sin abrir, tienen ya una solucion? saludos

    1. Si, yo tenia el problema en un servidor con Windows Server 2003 y en una pc cliente con Windows Seven. En ambos sistemas operativos me los recuperó. Cuidado que si, por alguna de esas casualidades , intentaron en algún momento eliminar la extensión .EnCiPhErEd, por mas que luego la recuperen, no va a funcionar la recuperación. Cuentenme que formato de archivos no pueden ejecutar.

      Saludos

  5. Cierto no abren ninguno de los archivos.. solo me ejecutan algunos videos que estan en formato mpg, porfavor espero que haya alguna solucion.

    1. lo ejecutaron en el disco donde estan los archivos encriptados? Se crearon los archivos con extensión normal? Contesten las preguntas que les hago asi los puedo ayudar.
      Saludos

  6. Asi es yo lo ejecute en disco “D” y luego de pasar el programa si se crearon los archivos con extension normal, cuando quiero abrirlos dicen que pueden estar dañados o hay problemas para ser ejecutados. que podra ser?

  7. Procupen que el programa por defecto para abrir el archivo sea el correcto. Para eso hagan botòn derecho en el archivo, Abrir Como… y seleccionen el programa correspondiente.

    1. si, los archivos jpg, avi, rar no los abre, y claro que selecciono el archivo propio para abrirlo, se crearon el (0) y el *.avi, pero aun asi no se recupero, si es importante para mi recuparar los archivos rar, ya que ahi viene muchos de mis respaldos ya que soy programador

    2. los archivos .EnCiPhErEd aun existen, se creo el archivos .rar .rar(0) pero no se abren dice que archivo dañado abriendolo claro con winrar, es una instalacion nueva de windows, los archivos a recuparar estan en un disco duro extra (unidad E)
      El exe te94decrypt si correspondera a este trojan en particular, ojala me pudieran ayudar, todo mi trabajo esta encrytado

      1. La verdad que ya no se me ocurren mas opciones para que te este solucionado. Yo lo hice como explica el tutorial y me anduvo bàrbaro. Lo último que se me ocurre es q los archivos recuperados los ejecutes desde otra pc, mas alla de que instalaste nuevamente Windows.

  8. Para los que me preguntaron como abrir los archivos recuperados que se los deja con la extensión, creo que tengo la solución.

    Antes que nada vayan dentro del Explorador de Windows a Organizar > Opciones de carpetas > Solapa VER. Dentro de VER destilden la opción que dice OCULTAR LAS EXTENSIONES DE ARCHIVO PARA TIPOS ARCHIVOS CONOCIDOS.

    Una vez hecho eso,van al archivo con el que aparece el formato ARCHIVO, si saben que tipo de archivo es, le escriben la extensión. Por ejemplo, si se llama DOCUMENTO, y es un archivo que abrian con Word o programa similar, escribanle la extensión .doc, quedandoles el archivo asi: DOCUMENTO.DOC

    Prueben con eso, una vez desencriptados los archivos y me cuentan como les fue. Esto se debe a que el virus, tambien rompe la relacion del archivo con los programas que los ejecuta.

    Recuerden realizar este paso, siempre y cuando los archivos se los haya dejado en tipo ARCHIVO.

    Saludos y espero que les sirva

    1. muchas gracias por tu respuestas, pero sigen sin leer los archivos, estoy usando una computadora con windows sin virus, recien formateada, claro como disco secundario con los archivos infectados, creo que dr,web nos debe enviar el codigo exacto , ya que el 85 y 87 no es para todos los archivos

      1. En el explorador de windows, como te aparece el archivo que no podes abrir? contame un poco que es lo que te hace, y vemos como lo podemos solucionar.

        1. ok, mira en una caso mi archivo se llama respaldo.rar.EnCiPhErEd, al correr la herramienta crea un archivo respaldo.rar, al abrirlo con winrar me dice “! D:\respaldo.rar: La cabecera del archivo está dañada
          ! D:\respaldo.rar: Final inesperado del archivo”

          lo mismo me pasa con los archivos bmp, jpg y mp3 por dar algunos ejemplos, como te comento el parametro 85 o 87 no es para mi caso en particular, ese virus lo pesque el jueves, ya envie un archivos a dr,web, espero que me envie el parametro para mi caso en particular, Sabias de eso?

          1. Bueno, la verdad que no lo sabía. Si te envian una respuesta satisfactoria estaría bueno que postees la solución.

            Gracias por el aporte!

          2. esperemos que tenga respuesta, estare al pendiente de alguna noticia, ya es muy importante para mi desencriptar mis archivos

  9. Buen día amigos, alguien ya encontro la solucion para poder abrir los archivos una vez que se corrio la herramienta me aparecen los archivos ya con la extension adecuada pero aun sigo sin poder abrirla
    Gracias

    1. asi es, exactamente estoy igual, envia un ejemplo de un archivo infectado a dr.web para que te envie el parametro adecuado de su utileria te94decrypt, alejandro quiso ayudarnos pero el esta igual como todos, con mil dudas

      1. Hey amigos…no digan “no sirve de nada”, valoremos el esfuerzo de quienes publican estas ayudas, a mi me funcionó a la perfección. Como dice ese frase…”no veamos el vaso medio vacío, sino medio lleno”. Saludos.

  10. MUCHAS GRACIAS…..!!!! pude sacar ese maldito bicho. Este sitio es fantástico. Estuve leyendo los comentarios anteriores y no entiendo muy bien porque a Alejandro y a mí me funcionó y a otros no. Si alguien encuentra la verdad absoluta que lo comente.

    1. Julio me podrias comentar con que parametros realizaste el proceso para la desinfección de tus archivos, te comento tengo windows 7 ultimatum he ejecutado el proceso de diferentes maneras arranca en apariencia quita lo encriptado a los archivos pero al momento de abrirlo con la aplicacion indicada no lo abre, me sale un recuadro de dialogo que dice que los archivos estan dañados o ilegibles, otro usuario comentaba que se rompen los links de apertura con los programas lo abro directamente con el programa pero ni aun asi lo abren me podrias ayudar por favor

  11. Mis archivos fueron encriptados, pero con la siguiente extensión: .Bl9c98vcvv en vez de .EnCiPhErEd
    es decir, que lógicamente el script no me va a funcionar, qué puedo hacer?

    1. kranbox, podrias decir como los desinfectaste a los archivos? Porq sos el tercer o cuarto usuario que dice que pudo desencriptar los archivos. Muchos no pudieron con la ayuda que les di y el post. A vos como te funcionó¿

      Saludos!

  12. perdon no podia publicar no se que habia pasado, pero ya pude desencrytar los archivos, pero debemos pasar los archivos en un disco duro aparte a windows, en mi caso ue D, luego en propiedades de D, tomar permisos a todos los arvhivos al usuarios administrador, luego borren los archivos (0) (1) si es que ya habia corrido antes la utileria, tambien los archivos que ya habia recuperado, claro no borre los que tiene extension .EnCiPhErEd, y corranlo con el parametro -k 90, a mi me funciono y recupere el 100% de cada archivo encriptado, de no servir estan otros parametros, como el 42, 11,55,88,91 es que cada trojano usa diferentes codigos, saludos quedo a sus ordenes

  13. Yo lo tengo en el PC de una clienta (dice que el problema sucedió estando en la web del Museo Metropolitano de NY). La extensión que ha puesto a los ficheros (oculta) es la .Bl9c98vcvv , como dice GUADA un poco más arriba, el 17/4. Y no me sirve la instrucción te94decrypt.exe -k 85. Hace la tarea pero no recupera nada. No sé si habrá otro modificador, distinto a 85, que sirva para nuestro caso. Gracias a todos.

    1. -k 90, a mi me funciono y recupere el 100% de cada archivo encriptado, de no servir estan otros parametros, como el 42, 11,55,88,91

      1. Escribí anoche a Dr. Web y mandé algunos ficheros. Ya me han respondido mandándome un enlace para bajar su utilidad de desencriptación (que no se si es distinta versión de la que tenía) y me han indicado que usase el parámetro “-k 91″. Lo estoy aplicando ahora y parece que funciona. Con la versión anterior con este parámetro me indicaba error.

        1. para cada version del virus exite un parametro en particular, solo como has corrido la utileria varias veces recuerda borrar los archivos que se generadon antes de correrla con la que te dieron como ejemplo los .zip, borra los archivos .zip , .zip(0) , zip(1) etc

          1. Sí, y luego borraré los ficheros de “how to decrypt files.txt” y los ficheros con la extensión .Bl9c98vcvv, además de pasar varias utilidades de limpieza de bichos. Gracias.

  14. Tengo Xp y he pobado de la forma que dice en el instructivo y el programa corre pero al final dice 0 archivo drsencriptado y no desencripta nada

  15. hola
    el jueves me ataco el virus de la policia que sale una web con pedofilia , desde francia ,, me salia en frances , despues de quitarlo con el kasperski- rescue 10 desde el cd , veo q tengo las fotos , words y excel encriptados ,,,,he ensayado con el rannodepcryptor de kasperski ,,,pero el archivo encriptado no es del mismo tamaño q el original y tampoco consigo ponerlo a los mismos tamaños,,,,, imagen negra con letras rojas y verdes , file is encripted pres crtl+ alt etc ,
    es que hay alguna solucion,? Gracias
    una alguna ayuda por favorrrrrrr,

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

Puedes usar las siguientes etiquetas y atributos HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>