thegentlemen: cómo recuperar tus archivos y qué hacer

Esta guía es orientativa y se actualiza conforme surge nueva información. No garantiza la recuperación de archivos.

Resumen

The Gentlemen es un grupo de ransomware como servicio (RaaS) que surgió a mediados de 2025 y escaló rápidamente su operación contra entornos Windows, Linux, NAS y BSD mediante un locker escrito en Go [1]. Al momento de esta guía no existe un descifrador gratuito conocido públicamente para los archivos cifrados por esta familia. Este documento describe cómo identificar la infección, contenerla, preservar evidencia y evaluar opciones realistas de recuperación.

TL;DR

• No pagues de inmediato ni borres nada: primero contén y preserva evidencia.
• No hay descifrador gratuito conocido para The Gentlemen. Desconfía de cualquier herramienta que prometa lo contrario.
• Aísla los equipos afectados de la red, pero no los apagues si necesitas capturar memoria volátil.
• Identifica el alcance: Windows, Linux, NAS y BSD pueden estar comprometidos simultáneamente [1].
• Recupera desde respaldos limpios y offline verificados como única vía confiable hoy.
• Reporta a las autoridades y considera apoyo profesional de respuesta a incidentes (DFIR).
• Puedes contactarnos: (800) 649-0625 o [email protected].

1. Qué es thegentlemen

The Gentlemen es un grupo RaaS que apareció entre julio y agosto de 2025 y, en poco tiempo, reivindicó más de 320 víctimas en 17 o más países, atrayendo afiliados con un reparto de ingresos del 90% [1]. Su locker está desarrollado en Go (Golang), lo que facilita la compilación multiplataforma y explica su capacidad para atacar sistemas Windows, Linux, NAS y BSD [1]. La naturaleza multiplataforma es relevante en la respuesta: un mismo incidente puede afectar servidores de archivos, hipervisores, almacenamiento de red y estaciones de trabajo.

Según información derivada de un servidor de mando y control (C2) comprometido en 2026, se vincularon más de 1,570 víctimas al grupo, una cifra muy superior a sus reivindicaciones públicas [1]. Esto sugiere que la operación pudo ser considerablemente mayor de lo que su sitio de filtraciones indicaba.

2. Cómo identificar la infección (notas, extensiones, IOCs)

Aviso de transparencia: A la fecha de esta guía no contamos con datos verificados sobre el nombre de la nota de rescate ni sobre la extensión específica que The Gentlemen añade a los archivos cifrados. No los inventamos. Los indicadores siguientes son señales generales que debes correlacionar con análisis forense.

Señales típicas que ameritan investigación:

• Archivos inaccesibles que dejaron de abrirse de forma masiva y en bloque, con extensiones modificadas o renombrados.
• Aparición de una nota de rescate (archivo de texto o HTML) en múltiples carpetas; documenta su nombre y contenido exactos cuando la encuentres, ya que serán claves para la atribución.
• Procesos inusuales compatibles con binarios compilados en Go ejecutándose en servidores Linux/BSD, NAS o Windows.
• Cifrado simultáneo en distintos sistemas operativos dentro de la misma red, consistente con un locker multiplataforma [1].
• Eliminación de copias de sombra (VSS), deshabilitación de respaldos o detención de servicios de bases de datos justo antes del cifrado.
• Conexiones salientes hacia infraestructura desconocida (posible C2) [1].

Recomendación: captura muestras del binario, de la nota y de archivos cifrados para que un equipo DFIR confirme la familia mediante análisis técnico, en lugar de asumir la atribución.

3. Pasos inmediatos (contención, preservación de evidencia)

1. Aísla, no destruyas. Desconecta los equipos de la red (cable/Wi-Fi, segmentación VLAN). Evita apagarlos si planeas capturar memoria RAM, que puede contener claves o artefactos útiles.
2. Preserva evidencia. Crea imágenes forenses de discos y, de ser posible, volcados de memoria. Conserva logs de firewall, EDR, VPN, autenticación y servidores.
3. Documenta la línea de tiempo. Anota cuándo se detectó el cifrado, qué sistemas se vieron afectados y qué credenciales pudieron usarse.
4. Identifica el vector de entrada. Revisa accesos remotos (RDP, VPN, SSH), credenciales comprometidas y vulnerabilidades expuestas.
5. Protege los respaldos. Desconéctalos de la red de inmediato; los operadores de ransomware suelen buscarlos y destruirlos antes de cifrar.
6. Activa tu plan de respuesta y notifica a las partes interesadas (legal, dirección, seguros, autoridades).
7. No te comuniques con los atacantes sin asesoría legal y técnica especializada.

4. Opciones de recuperación

⚠️ No existe un descifrador gratuito conocido para The Gentlemen

Al momento de redactar esta guía no hay ninguna herramienta pública y verificada capaz de descifrar archivos afectados por esta familia. Cualquier sitio, programa o "especialista" que afirme tener un descifrador universal para The Gentlemen debe tratarse como sospechoso de fraude o malware.

Opciones realistas:

• Restauración desde respaldos limpios y offline. Es la vía más confiable. Verifica que los respaldos no estén comprometidos antes de restaurar y reconstruye sistemas desde cero cuando sea posible.
• Conservación de datos cifrados. Aunque hoy no haya descifrador, guarda copias de los archivos cifrados: en el futuro podría liberarse una herramienta (por ejemplo, tras la incautación de claves o el desmantelamiento del grupo).
• Análisis DFIR profesional. Un equipo especializado puede confirmar la familia, evaluar errores de implementación del cifrado y descartar opciones antes de considerar cualquier otra medida.
• Evaluación del pago (último recurso, con cautela). El pago no garantiza recuperación, financia actividad criminal y puede tener implicaciones legales. Cualquier decisión debe involucrar asesoría legal, aseguradora y autoridades. No lo recomendamos como primera opción.

Advertencia sobre herramientas no verificadas: descarga utilidades solo de fuentes oficiales reconocidas (como No More Ransom). Evita ejecutables ofrecidos en foros o por contactos no verificados, ya que pueden dañar aún más tus datos o reinfectar.

5. Prevención y endurecimiento

• Respaldos 3-2-1 con al menos una copia offline/inmutable y pruebas periódicas de restauración.
• MFA en todos los accesos remotos (VPN, RDP, SSH, paneles de administración).
• Reducción de superficie: cierra RDP/SSH expuestos a Internet, segmenta la red y aplica privilegios mínimos.
• Parcheo oportuno de sistemas operativos, hipervisores y dispositivos NAS, dado el alcance multiplataforma del locker [1].
• EDR/XDR con detección de comportamiento en Windows y Linux/BSD.
• Protección de NAS: actualiza el firmware, desactiva servicios innecesarios y aísla la administración.
• Monitoreo de C2 y exfiltración: vigila tráfico saliente anómalo [1].
• Plan de respuesta probado y respaldos de configuración fuera de banda.

Advertencias honestas (limitaciones)

• Esta guía se basa en datos limitados y verificados; no disponemos de nombre de nota de rescate ni extensión confirmados para The Gentlemen.
• El panorama puede cambiar: pueden surgir nuevas variantes, IOCs o, eventualmente, un descifrador. Verifica fuentes actualizadas.
• La atribución definitiva requiere análisis forense; no asumas la familia solo por síntomas generales.
• Ninguna acción garantiza la recuperación total de los datos. La preparación y los respaldos siguen siendo la mejor defensa.

¿Necesitas ayuda? Nuestro equipo puede apoyarte en la respuesta y evaluación del incidente: (800) 649-0625 · [email protected].

Referencias

[1] Ransomware.live, "The Gentlemen, Perfil del grupo de ransomware," ransomware.live. [En línea]. Disponible en: https://www.ransomware.live/. [Consultado: 2025].

[2] Proyecto No More Ransom, "No More Ransom," Europol / McAfee y socios. [En línea]. Disponible en: https://www.nomoreransom.org/. [Consultado: 2025].

[3] Cybersecurity and Infrastructure Security Agency (CISA), "#StopRansomware Guide," CISA. [En línea]. Disponible en: https://www.cisa.gov/stopransomware. [Consultado: 2025].