Saltar al contenido
Ransomware Response · Respuesta a incidentes de ransomware
RRansomware
Response
Qilin/Agenda

Qilin/Agenda: cómo recuperar tus archivos y qué hacer

Publicado: 29 de junio de 2026· Última actualización: 29 de junio de 2026· 5 min de lectura

Sin descifrador gratuito conocido

No existe (todavía) una herramienta pública para descifrar esta familia. No pagues el rescate sin antes consultar con especialistas.

Esta guía es orientativa y se actualiza conforme surge nueva información. No garantiza la recuperación de archivos.

Resumen

Qilin (también identificado como Agenda) es una familia de ransomware-as-a-service (RaaS) observada por primera vez en julio de 2022, escrita en Golang y operada bajo un esquema de doble extorsión [1], [2]. Esta guía describe cómo identificar una infección por Qilin, los pasos inmediatos de contención y preservación de evidencia, y las opciones realistas de recuperación. Importante: a la fecha no existe un descifrador gratuito público para Qilin/Agenda.

TL;DR

  • No hay descifrador gratuito conocido para Qilin/Agenda. Desconfía de cualquier herramienta que prometa lo contrario.
  • Aísla de inmediato los equipos afectados (desconecta de red, no apagues si vas a preservar memoria volátil).
  • Preserva evidencia: notas de rescate, muestras cifradas, registros y, de ser posible, imágenes forenses.
  • Busca notas con nombres tipo *-RECOVER-README.txt o README-RECOVER-*.txt.
  • Las extensiones cifradas suelen ser aleatorias (.<random>).
  • Restaura desde respaldos offline/inmutables verificados.
  • Asume robo de datos (doble extorsión) y activa tu plan legal y de notificación.
  • Apóyate en expertos: (800) 649-0625 · [email protected].

1. Qué es Qilin/Agenda

Qilin es un programa de ransomware operado bajo el modelo RaaS, donde los desarrolladores ceden el cifrador a afiliados que ejecutan los ataques. Está escrito en Golang y soporta múltiples modos de cifrado configurables por el operador, lo que dificulta el análisis y la creación de herramientas genéricas de recuperación [1], [2].

Sus operadores practican doble extorsión: exigen un pago por el descifrador y un segundo pago para no publicar los datos robados, frecuentemente filtrados en su sitio de fuga (DLS) [1], [2]. Esto implica que, incluso si lograras restaurar tus sistemas desde respaldos, la amenaza de divulgación de información persiste.

2. Cómo identificar la infección (notas, extensiones, IOCs)

Indicadores observables comúnmente asociados a Qilin/Agenda:

  • Notas de rescate con nombres como:
    • *-RECOVER-README.txt
    • README-RECOVER-*.txt Estas notas suelen contener instrucciones para acceder a un portal en la red Tor y un identificador de víctima.
  • Archivos cifrados con extensión aleatoria (.<random>): cada campaña puede usar una extensión distinta, por lo que no debes basarte solo en este indicador.
  • Síntomas operativos: archivos inaccesibles de forma masiva, procesos inusuales, detención de servicios de respaldo y bases de datos, y eliminación de instantáneas de volumen (Shadow Copies).

Recomendación: documenta el nombre exacto de la nota y la extensión que observas; son datos clave para confirmar la familia y para el análisis de respuesta.

3. Pasos inmediatos (contención, preservación de evidencia)

  1. Aísla los equipos afectados. Desconéctalos de la red (cable, Wi-Fi, VPN). Segmenta para evitar propagación lateral.
  2. No apagues de inmediato los equipos si planeas capturar memoria volátil (RAM), que puede contener claves o artefactos útiles para el análisis forense. Consulta con tu equipo de respuesta antes de reiniciar.
  3. No borres ni modifiques las notas de rescate ni los archivos cifrados: son evidencia.
  4. Preserva evidencia:
    • Imágenes forenses de discos y volcado de memoria cuando sea viable.
    • Registros de seguridad, EDR, firewall, VPN y autenticación.
    • Copias de la nota de rescate y muestras de archivos cifrados.
  5. Identifica el vector de entrada (phishing, credenciales/RDP/VPN expuestas, explotación de vulnerabilidades) para cerrarlo.
  6. Rota credenciales y revoca sesiones/tokens, priorizando cuentas privilegiadas y de servicio.
  7. Activa tu plan de respuesta a incidentes y, según tu jurisdicción y normativa, evalúa las obligaciones de notificación (autoridades, titulares de datos afectados).

4. Opciones de recuperación

AVISO HONESTO Y PROMINENTE: a la fecha NO existe un descifrador gratuito público para Qilin/Agenda. Cualquier sitio o programa que afirme "descifrar Qilin gratis" debe tratarse con extrema sospecha: muchas de esas "herramientas" son fraudes o malware adicional.

Opciones realistas, en orden de preferencia:

  1. Restauración desde respaldos. Es la vía más confiable. Usa respaldos offline, inmutables o aislados que no hayan sido alcanzados por el ataque. Verifica integridad antes de restaurar y hazlo sobre sistemas ya limpios y endurecidos.
  2. Reconstrucción de sistemas. Si no hay respaldos íntegros, reconstruye desde cero con imágenes confiables, aplicando parches y nuevas credenciales.
  3. Conservar las muestras cifradas. Si no puedes recuperar ahora, guarda copias seguras de los datos cifrados y de la nota. Eventualmente podría publicarse un descifrador (por incautación de claves, fallas del cifrador o acciones policiales), aunque no hay garantía de que esto ocurra.
  4. Decisión sobre el pago. El pago de rescate no se recomienda: no garantiza la recuperación ni la no publicación de datos, financia a los atacantes y puede tener implicaciones legales. Si se considera, debe hacerse con asesoría legal y de respuesta especializada.

Verificación contra herramientas no verificadas: antes de ejecutar cualquier supuesto descifrador, valida su origen con fuentes reputadas (p. ej., el proyecto No More Ransom [3]) y analízalo en un entorno aislado. Si el descifrador no aparece en catálogos oficiales, asume que no es legítimo.

5. Prevención y endurecimiento

  • Respaldos 3-2-1 con al menos una copia offline/inmutable, probada con restauraciones periódicas.
  • MFA en todos los accesos remotos (VPN, RDP, correo, administración).
  • Reducir superficie de exposición: cierra RDP a Internet, usa bastiones y segmentación de red.
  • Gestión de parches prioritaria en perímetro y servidores críticos.
  • EDR/XDR con detección de comportamiento y monitoreo de eliminación de Shadow Copies.
  • Principio de mínimo privilegio y separación de cuentas administrativas.
  • Concientización ante phishing y simulacros de respuesta a incidentes.
  • Registro y retención de logs suficiente para investigación forense.

Advertencias honestas (limitaciones)

  • No conocemos un descifrador gratuito para Qilin/Agenda. Esta guía no puede prometer recuperación de archivos sin respaldos.
  • Qilin admite múltiples modos de cifrado controlados por el operador; el comportamiento puede variar entre campañas, así que los IOCs aquí descritos son orientativos, no exhaustivos.
  • La extensión aleatoria y los nombres de nota pueden cambiar; confirma la familia con análisis especializado.
  • La doble extorsión implica que restaurar no elimina el riesgo de divulgación de datos robados.
  • Esta guía es informativa y no sustituye asesoría legal ni un análisis forense formal.

¿Necesitas apoyo para confirmar la familia, contener el incidente o evaluar opciones de recuperación? Contáctanos: (800) 649-0625 · [email protected].

Referencias

[1] Ransomware.live, "Qilin, Group profile." [En línea]. Disponible en: https://www.ransomware.live/

[2] Trend Micro, "Ransomware Spotlight: Agenda (Qilin)." [En línea]. Disponible en: https://www.trendmicro.com/

[3] No More Ransom Project, "Decryption Tools." [En línea]. Disponible en: https://www.nomoreransom.org/

Actualizamos esta guía conforme surge nueva información.