Saltar al contenido
Ransomware Response · Respuesta a incidentes de ransomware
Rhysida

Rhysida: cómo recuperar tus archivos y qué hacer

Publicado: 9 de julio de 2026· Última actualización: 9 de julio de 2026· 6 min de lectura

Descifrador gratuito disponible

Existe una herramienta pública para descifrar archivos afectados por esta familia.

Abrir el descifrador →

Esta guía es orientativa y se actualiza conforme surge nueva información. No garantiza la recuperación de archivos.

Resumen

Rhysida es un grupo de ransomware como servicio (RaaS) activo desde mayo de 2023 que combina phishing, Cobalt Strike y doble extorsión (cifrado más amenaza de publicación de datos). Esta guía documenta cómo identificar la infección, contenerla, preservar evidencia y recuperar archivos. Un punto clave y positivo: existe una herramienta de descifrado gratuita disponible a través del proyecto No More Ransom [1].

TL;DR

  • Hay descifrador gratuito. Investigadores lograron explotar una debilidad en la generación de claves de Rhysida; la herramienta está disponible vía No More Ransom [1], [2].
  • No pagues el rescate antes de agotar la vía del descifrador y validar copias de respaldo.
  • Identifica por la extensión .rhysida y las notas CriticalBreachDetected.pdf / CriticalBreachDetected.txt.
  • Aísla de inmediato los equipos afectados (desconecta red, no apagues si necesitas memoria volátil como evidencia).
  • Preserva evidencia: notas de rescate, muestras cifradas, logs, imágenes de disco.
  • Verifica la variante antes de descifrar: el descifrador funciona para muestras compatibles, no para todas.
  • ¿Necesitas apoyo? Escríbenos a [email protected] o llama al (800) 649-0625.

1. Qué es Rhysida

Rhysida es un grupo RaaS que surgió en mayo de 2023. Sus operadores obtienen acceso inicial principalmente mediante campañas de phishing y despliegan Cobalt Strike para moverse lateralmente antes de ejecutar el payload de cifrado [3]. El grupo practica doble extorsión: exfiltra información antes de cifrar y amenaza con publicarla en su sitio de filtraciones (alojado en la red Tor mediante servicios .onion) si la víctima no paga en Bitcoin.

Rhysida ha afectado a organizaciones de salud, educación, manufactura y gobierno, lo que motivó un aviso conjunto de CISA y el FBI [3]. Técnicamente, el cifrador emplea un esquema que combina criptografía simétrica y asimétrica; sin embargo, una debilidad en la forma en que generaba material aleatorio permitió a investigadores desarrollar un método de recuperación de claves [2].

2. Cómo identificar la infección (notas, extensiones, IOCs)

Señales características:

  • Extensión de archivos cifrados: .rhysida (ejemplo: informe.docx.rhysida).
  • Notas de rescate: CriticalBreachDetected.pdf y CriticalBreachDetected.txt, dejadas en las carpetas afectadas. El PDF instruye a la víctima a contactar al grupo a través de su portal en Tor.
  • Comportamiento previo: presencia de Cobalt Strike, actividad de PowerShell inusual, creación de tareas programadas y borrado de respaldos y de la Papelera de reciclaje.
  • Vector de entrada típico: correos de phishing con adjuntos o enlaces maliciosos; en algunos casos, explotación de servicios expuestos (VPN, RDP) [3].

Para IOCs específicos y actualizados (hashes, IPs, TTPs mapeadas a MITRE ATT&CK), consulta el aviso de CISA/FBI [3].

3. Pasos inmediatos (contención, preservación de evidencia)

  1. Aísla los sistemas afectados. Desconéctalos de la red (cable y Wi-Fi) y segmenta la VLAN comprometida. No los apagues aún si vas a capturar memoria RAM como evidencia.
  2. Deshabilita cuentas comprometidas y rota credenciales, especialmente cuentas privilegiadas y de dominio.
  3. Preserva evidencia antes de remediar:
    • Guarda copias intactas de archivos cifrados y de las notas de rescate.
    • Toma imágenes forenses de disco y volcados de memoria de al menos un host representativo.
    • Conserva logs de firewall, EDR, VPN, DNS y controladores de dominio.
  4. No modifiques ni renombres los archivos .rhysida: el descifrador necesita el formato original.
  5. Identifica el alcance: qué datos fueron exfiltrados (revisa transferencias salientes anómalas) para evaluar obligaciones de notificación.
  6. Notifica a las autoridades correspondientes y considera reportar a un CERT nacional. En México puedes acercarte a la Guardia Nacional (unidad de ciberseguridad).
  7. Documenta cronología y acciones: será clave para el análisis y para aseguradoras.

4. Opciones de recuperación (incluye el descifrador y verificación de versión)

Buenas noticias: existe descifrador gratuito. Un equipo de investigación (Kookmin University, con la Agencia de Internet y Seguridad de Corea, KISA) identificó que ciertas versiones de Rhysida usaban un generador de números aleatorios predecible al derivar la clave, lo que permite reconstruir la clave de cifrado sin pagar [2]. La herramienta se distribuye de forma gratuita a través del portal No More Ransom [1].

Procedimiento recomendado:

  1. Descarga el descifrador únicamente desde No More Ransom [1]. No uses "descifradores" de terceros no verificados: suelen ser fraude o malware.
  2. Usa la herramienta Crypto Sheriff de No More Ransom [1] para confirmar que tu caso corresponde a Rhysida y a una variante soportada, subiendo una nota de rescate y una muestra cifrada.
  3. Verifica la variante. El descifrador funciona para muestras que corresponden a la versión con la debilidad criptográfica documentada; versiones posteriores pueden no ser recuperables si los operadores corrigieron el fallo. Prueba primero sobre copias de unos pocos archivos.
  4. Restaura desde respaldos limpios y verificados como alternativa o complemento, siempre después de reconstruir o limpiar los sistemas.
  5. Reconstruye los hosts comprometidos desde cero cuando sea posible; asume que persisten mecanismos de acceso.

Si el descifrador no aplica a tu variante, evalúa: restauración desde respaldos, recuperación parcial de datos no cifrados y análisis de viabilidad con un equipo especializado. Pagar no garantiza la recuperación ni evita la publicación de datos.

5. Prevención y endurecimiento

  • Respaldos 3-2-1 con copias fuera de línea e inmutables, probadas periódicamente.
  • MFA en todos los accesos remotos (VPN, RDP, correo, administración).
  • Capacitación antiphishing y filtrado de correo, dado que es el vector principal de Rhysida [3].
  • Segmentación de red y principio de mínimo privilegio; limita el movimiento lateral.
  • EDR/XDR con detección de Cobalt Strike y comportamientos anómalos de PowerShell.
  • Parcheo oportuno de servicios expuestos y deshabilitar RDP hacia Internet.
  • Monitoreo de exfiltración y de creación de cuentas o tareas programadas sospechosas.

Advertencias honestas (limitaciones)

  • El descifrador gratuito no cubre necesariamente todas las variantes. Si los operadores corrigieron la debilidad en el generador aleatorio, esas muestras podrían no ser recuperables [2].
  • Verifica siempre sobre copias. Un descifrado sobre los originales, si falla, puede corromper datos.
  • El descifrado no elimina el riesgo de que los datos exfiltrados sean publicados: la doble extorsión implica una brecha de confidencialidad que ya ocurrió.
  • Descarga herramientas solo desde fuentes legítimas como No More Ransom [1]; los falsos descifradores son comunes.
  • Esta guía es informativa y no sustituye una investigación forense formal.

¿Necesitas ayuda para identificar la variante, ejecutar el descifrador o coordinar la respuesta? Contáctanos: tel. (800) 649-0625 · [email protected].

Referencias (IEEE)

[1] No More Ransom Project, "Decryption Tools." [En línea]. Disponible: https://www.nomoreransom.org/

[2] G. Kim, S. Hong, et al., "Recovering Data from Rhysida Ransomware," Kookmin University / KISA (informe de investigación). Cobertura técnica: https://www.bleepingcomputer.com/news/security/rhysida-ransomware-decryptor-recovers-victims-encryption-keys/

[3] Cybersecurity and Infrastructure Security Agency (CISA) y FBI, "StopRansomware: Rhysida Ransomware," Cybersecurity Advisory AA23-319A. [En línea]. Disponible: https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-319a

Actualizamos esta guía conforme surge nueva información.

Guías relacionadas