Saltar al contenido
Ransomware Response · Respuesta a incidentes de ransomware
RRansomware
Response
Akira

Akira: cómo recuperar tus archivos y qué hacer

Publicado: 29 de junio de 2026· Última actualización: 29 de junio de 2026· 6 min de lectura

Descifrador gratuito disponible

Existe una herramienta pública para descifrar archivos afectados por esta familia.

Abrir el descifrador →

Esta guía es orientativa y se actualiza conforme surge nueva información. No garantiza la recuperación de archivos.

Resumen

Akira es una familia de ransomware que surgió en marzo de 2023, con presuntos vínculos con el extinto grupo CONTI [1], [4]. Esta guía describe cómo identificar la infección, contenerla, preservar evidencia y evaluar las opciones de recuperación. Es importante destacar que existe un descifrador gratuito de Avast, pero solo funciona contra una variante específica y temprana; las versiones posteriores corrigieron la falla y no son descifrables de forma gratuita [2], [4].

TL;DR

  • Aísla de inmediato los equipos afectados: desconéctalos de la red, pero no los apagues todavía (preserva memoria y evidencia volátil).
  • Identifica la variante por la extensión (.akira vs .powerranges) y la nota de rescate (akira_readme.txt, fn.txt) [1], [4].
  • Solo la variante temprana .akira (C++) puede tener solución con el descifrador gratuito de Avast [2], [4].
  • La variante posterior en Rust (megazord.exe, .powerranges) NO tiene descifrador gratuito conocido [4].
  • No pagues sin asesoría previa. Conserva copias cifradas y notas; podrían servir si en el futuro aparece una herramienta.
  • Revisa tus VPN de Cisco: el vector inicial frecuente es fuerza bruta sin MFA [4].
  • ¿Necesitas ayuda? (800) 649-0625 · [email protected].

1. Qué es Akira

Akira es un grupo de ransomware activo desde marzo de 2023 sobre el cual existe especulación de lazos con el antiguo grupo CONTI [4]. Tras el cierre de las operaciones de CONTI, varios afiliados migraron a campañas independientes como Royal y BlackBasta; algunos reportes vinculan a afiliados de Akira con operaciones como Snatch y BlackByte [4].

La primera versión estaba escrita en C++, agregaba la extensión .akira y creaba la nota akira_readme.txt, parcialmente basada en el código fuente de Conti V2. El 29 de junio de 2023 Avast publicó un descifrador para esa versión [2], [4]. Sin embargo, el 2 de julio de 2023 los operadores corrigieron la falla de cifrado. Desde entonces, la nueva versión estaría escrita en Rust (megazord.exe) y cambia la extensión a .powerranges [4].

La mayoría de los vectores de acceso inicial de Akira emplean intentos de fuerza bruta contra VPN de Cisco [4].

2. Cómo identificar la infección (notas, extensiones, IOCs)

Señales típicas:

  • Extensiones de archivos cifrados:
    • .akira → variante temprana en C++ (potencialmente descifrable).
    • .powerranges → variante en Rust (sin descifrador gratuito conocido) [4].
  • Notas de rescate: archivos de texto llamados akira_readme.txt o fn.txt distribuidos en carpetas afectadas [1], [4].
  • Binario sospechoso: presencia de megazord.exe sugiere la variante en Rust [4].
  • Indicadores de acceso inicial: logins anómalos o intentos masivos de autenticación en concentradores VPN de Cisco, especialmente sin MFA [4].

Recomendación: la extensión por sí sola no garantiza la variante exacta. Conserva una muestra del binario y de un par de archivos cifrados para un análisis forense que confirme la versión.

3. Pasos inmediatos (contención, preservación de evidencia)

  1. Aísla los hosts afectados de la red (desconecta cable/Wi-Fi, segmenta VLAN). Evita propagación lateral.
  2. No apagues los equipos de inmediato si es viable capturar memoria RAM; el apagado puede destruir claves o artefactos volátiles. Coordina con tu equipo forense.
  3. Deshabilita o restringe el acceso VPN y rota credenciales de cuentas privilegiadas; activa MFA [4].
  4. Preserva evidencia: imágenes de disco, volcados de memoria, logs de VPN, EDR, firewall y Directorio Activo. Documenta marcas de tiempo.
  5. Conserva una copia íntegra de archivos cifrados y de las notas de rescate (akira_readme.txt, fn.txt). No los borres.
  6. No modifiques ni renombres archivos cifrados antes de intentar descifrarlos.
  7. Notifica a las áreas legales, de cumplimiento y, según tu jurisdicción, a las autoridades competentes.
  8. Activa tu plan de respuesta a incidentes y, si lo necesitas, contacta apoyo especializado.

4. Opciones de recuperación (incluye el descifrador y verificación de versión)

4.1 Verifica la versión antes de cualquier intento

  • Si los archivos terminan en .akira y la nota es akira_readme.txt, podrías estar ante la variante temprana en C++ afectada por la falla que Avast aprovechó [2], [4].
  • Si los archivos terminan en .powerranges y aparece megazord.exe, se trata de la variante en Rust posterior al 2 de julio de 2023, para la cual no existe descifrador gratuito conocido [4].

4.2 Descifrador gratuito (Avast)

Avast publicó un descifrador para Akira disponible en su sitio oficial de herramientas de descifrado [2], [3]:

  • Descarga únicamente de la fuente oficial: https://www.avast.com/ransomware-decryption-tools [3].
  • Prueba primero sobre copias, nunca sobre los archivos originales cifrados.
  • Sigue las instrucciones de la herramienta y conserva un respaldo intacto por si el proceso falla.

⚠️ Advertencia clave: el descifrador de Avast se publicó para la variante temprana. Tras la corrección del 2 de julio de 2023, las versiones posteriores ya no son descifrables con esta herramienta [4]. Verifica primero la variante; un intento sobre la versión equivocada no recuperará tus datos.

4.3 Si no hay descifrador aplicable

  • Restaura desde respaldos verificados y offline/aislados, tras confirmar erradicación del atacante.
  • Conserva los archivos cifrados; podrían recuperarse si en el futuro se libera una nueva herramienta.
  • El pago no se recomienda: no garantiza la recuperación, financia al grupo y puede tener implicaciones legales. Busca asesoría antes de tomar cualquier decisión.

5. Prevención y endurecimiento

  • MFA obligatorio en VPN y accesos remotos; este es el vector inicial frecuente de Akira [4].
  • Endurece la VPN de Cisco: políticas de bloqueo ante fuerza bruta, contraseñas robustas, deshabilitar cuentas no usadas, parches al día [4].
  • Respaldos 3-2-1 con copias offline e inmutables; prueba restauraciones periódicamente.
  • Segmentación de red y mínimo privilegio para limitar el movimiento lateral.
  • EDR/monitoreo con alertas de logins anómalos y ejecución de binarios sospechosos (p. ej., megazord.exe).
  • Plan de respuesta a incidentes documentado y ejercitado.

Advertencias honestas (limitaciones)

  • No todas las variantes de Akira tienen descifrador gratuito. La herramienta de Avast aplica a la variante temprana en C++ (.akira); las versiones en Rust posteriores (.powerranges, megazord.exe) no cuentan con descifrador gratuito conocido [4].
  • Esta guía no garantiza la recuperación de datos. El éxito depende de la variante exacta, del estado de los archivos y de la disponibilidad de respaldos.
  • No verifiques ni descargues descifradores fuera de fuentes oficiales; existen herramientas falsas que pueden causar más daño.
  • La atribución y los detalles del grupo provienen de reportes públicos y pueden evolucionar [4].

¿Necesitas ayuda especializada? Contáctanos: (800) 649-0625 o [email protected].

Referencias (IEEE)

[1] ransomware.live, "Akira, ransom notes y extensiones," perfil del grupo. [En línea].

[2] Avast, "Avast releases decryptor for Akira ransomware," 29 jun. 2023.

[3] Avast, "Free Ransomware Decryption Tools." [En línea]. Disponible: https://www.avast.com/ransomware-decryption-tools

[4] ransomware.live, "Akira ransomware group profile," (incluye cronología C++/Rust, megazord.exe, vector VPN Cisco). [En línea].

Actualizamos esta guía conforme surge nueva información.