El Ransomware Aviso llega a España. Fue detectado este mes de Octubre de 2016, y se ha considerado como una nueva variante del ransomware TorrentLocker. El cryptomalware Aviso está escrito en Autolt, que es compatible con el SO Windows. Por ello, los usuarios de Windows son los objetivos principales de los desarrolladores del virus ransomware Aviso. Para ser más específico, los hackers del ransomware principalmente se centran en los usuarios de Windows de España. Además, los usuarios de países de habla inglesas, Portugal, Italia, República Checa y Brasil, también son objetivos. Ha habido especulaciones sobre el virus Aviso en su fase de desarrollo, y que sus creadores planean ir a aguas más profundas en relación a los países a los que piensan seguir distribuyéndolo.
¿Cómo Infecta el Ransomware Aviso los Dispositivos de las Víctimas?
Como es costumbre en los desarrolladores del virus ransomware, los diseñadores del ransomware Aviso usan emails de spam para enviar el archivo ejecutable de ransomware a las bandejas de entrada de las víctimas. El medio específicos por el que los hackers del cripto malware Aviso hacen que los usuarios objetivo ejecuten el archivo malicioso es el siguiente. La víctima recibe un email supuestamente de Endesa S.A. – la empresa eléctrica más grande de España- Este email, sin embargo, sólo puede llegar a las carpetas de spam, ya que es poco probable que aparezca en la Carpeta de Bandeja de Entrada. De hecho, la posibilidad anterior no existe. Este email de spam contiene un archivo ZIP llamado ENDESA_FACTURA.zip, que intenta parecer una factura de la empresa Endesa S.A. Cuando el inocente usuario lo abre, el ransomware empieza a ejecutarse en el sistema.
La Funcionalidad del Ransomware Aviso
El cripto malware Aviso ha sido diseñado para emplear el algoritmo de encriptación asimétrico para encriptar los archivos de datos, que tiene que ver con la combinación de claves privadas AES y públicas RSA. Este virus encriptador, encripta archivos que se guardan en los discos locales, sin importar los contenedores de los datos, que se comparten en la red. Los archivos, que pueden encriptarse fácilmente por el encriptador Aviso son:
.3gp, .7z, .apk, .avi, .bmp, .cdr, .cer, .chm, conf, .css, .csv, .dat, .db, .dbf, .djvu, .dbx, .docm, ,doc, .epub, .docx .fb2, .flv, .gif, .gz, .iso .ibooks,.jpeg, .jpg, .key, .mdb .md2, .mdf, .mht, .mobi .mhtm, .mkv, .mov, .mp3, .mp4, .mpg .mpeg, .pict, .pdf, .pps, .pkg, .png, .ppt .pptx, .ppsx, .psd, .rar, .rtf, .scr, .swf, .sav, .tiff, .tif, .tbl, .torrent, .txt, .vsd,.wmv, .xls, .xlsx, .xps, .xml, .ckp, .zip, .java, .py, .asm, .c, .cpp, .cs, .js, .php, .dacpac, .rbw, .rb, .mrg, .dcx, .db3, .sql, .sqlite3, .sqlite, .sqlitedb, .psd, .psp, .pdb, .dxf, .dwg, .drw, .casb, .ccp, .cal, .cmx, .cr2
Los archivos, con las extensiones anteriores se les incluyen el prefijo Lock. Por ejemplo, el archivo Song.mp3 se renombra a Lock.Song.mp3, después de haya ocurrido la encriptación. Las primeras notas de rescate estaban escritas en español. Sin embargo, luego se ha informado de que los desarrolladores de Aviso han enviado mensajes en inglés, portugués, italiano y checo. El siguiente texto es la nota de rescate en portugués:
Olá Sr(a), TODOS os seus arqurvos foram BLOQUEADOS e esse bloqueio somente ser á DESBLOQUEAdo caso pague o valor de RS 2000.00 (Dois Mil Reais) em Bitcoons Após o pagamento desse valor, basta me enviar um pnnt para o email_ [email protected] que estarei lhe enviando o programa com a senha para descryptografar/desbloquear o seus arquivos. Caso o pagamento nao seja efetuado, todos os seus dados serao bloqueados permanentemente e o seu computador será totalmente formatado (Perdendo assim, todas as informa ções s contidas nele, incluindo senhas de email, bancarias…) O pagamento deverá ser efetuado nesse endereco de Bitcoin
[34 caracteres aleatorios]
Los 34 caracteres aleatorios al final del mensaje son la ID del pago. Los desarrolladores de Aviso piden 2000 Reales a ser pagados en BitCoins, que son más o menos unos 624 dólares. El e-mail de contacto proporcionado es [email protected]. Sin embargo, recomendamos no considerar como una opción contactar con estos ciber criminales.
¿Cómo Restaurar los Datos Perdidos y Recurar el Ordenador Afectado?
Para empezar tienes que eliminar el ransomware, como si el ransomware todavía estuviese ejecutándose en el ordenador, podría seguir encriptando nuevos archivos con las extensiones anteriores. Cualquier disco extraíble que enchufe al PC, también puede infectarse. Por ello, deben copiarse los datos corruptos y eliminar el ransomware. Los softwares de eliminación de malware Spyhunter pueden servir para el propósito anterior. Sólo necesitas reiniciar tu ordenador en Modo Seguro, si ve que un troyano encriptador lo bloquea. Siempre existe la opción para una eliminación manual. Sin embargo, en el caso de que haya un error durante la eliminación manual del ransomware, se arriesga mucho más que en el caso de la eliminación de algún malware ordinario como un adware, por ejemplo.
Los archivos encriptados por el virus encriptador de archivos Aviso no pueden desencriptarse por ahora. Sólo puede usar copias adicionales en forma de copias de seguridad. Por ejemplo, las Shadow Volume Copies, dispositivos USB, etc. Si no ha hecho copias de seguridad de los datos, puede intentar aplicar software de recuperación de datos, como R-Studio, software de Kaspersky, Recuva, PhotoRec, etc. No garantizan al cien por cien la recuperación de datos, pero pueden ser de ayuda. Si se puede permitir el lujo de esperar por el desencriptador de los investigadores de ciber-seguridad, por favor hágalo.
¿Cómo eliminar Aviso Ransomware usando Restauración del Sistema?
1. Reinicie su ordenador en Modo Seguro con Solicitud de Comando
1. Modo seguro
Para Windows 7/ Vista/ XP- l Inicio → Apagar → Reiniciar → OK.
- l Presione la tecla F8 repetidamente hasta que la pantalla de Opciones de Inicio Avanzado aparece.
- l Elegir Modo Seguro con Solicitud de Comando.
- l Presione Potencia en la pantalla de acceso de Windows. Luego presione y mantenga la tecla Shift y haga clic en Reiniciar.
- l Elija solucionar problemas → Opciones Avanzadas → Configuración de Inicio y haga clic en Reiniciar.
- l Cuando se cargue, seleccione Permitir Modo Seguro con Solicitud de Comando en la lista de Configuraciones de Inicio.
2. Restaurar archivos y configuraciones del Sistema.
- l Cuando el modo de Solicitud de Comando se cargue, introduzca cd restore y presione Intro.
- l Luego introduzca rstrui.exe y presione Intro otra vez.
- l Haga clic en “Siguiente” en la ventana que apareció.
- l Seleccione uno de los Puntos de Restauración que están disponibles antes de que se infiltrase el Aviso Ransomware en su sistema y luego haga clic en “Siguiente”.
- l Para iniciar la restauración del Sistema haga clic en “Sí”.
2. Complete la eliminación del Aviso Ransomware
Tras restaurar su sistema, se recomienda escanear su ordenador con un programa anti-malware, como Malwarebytes, Spyhunter y elimine todos los archivos maliciosos relacionados con Aviso Ransomware.
3. Restaure los archivos afectados por Aviso Ransomware usando Shadow Volume Copies
Si no usa la opción de Restaurar Sistema en su sistema operativo, existe la posibilidad de usar capturas de shadow copy. Almacenan copias de sus archivos en el punto temporal en el que la captura de restauración del sistema fue creada. Normalmente Aviso Ransomware intenta eliminar todas las posibles Shadow Volume Copies, así que este método puede que no funcione en todos los ordenadores. Sin embargo, puede que falle al hacerlo.
Shadow Volume Copies sólo está disponible con Windows XP Service Pack 2, Windows Vista, Windows 7 y Windows 8. Hay dos maneras de recuperar sus archivos a través de Shadow Volume Copu. Puede hacerlo usando las versiones anteriores nativas de Windows o a través de Shadow Explorer.
a) Versiones Anteriores nativas de Windows
Haga clic derecho en un archivo encriptado y seleccione Propiedades>Pestaña de versiones anteriores. Ahora verá todas las copias disponibles de ese archivo particular y del momento cuando fue almacenado en un Shadow Volume Copy. Elija la versión del archivo que quiera recuperar y haga clic en Copiar si quiere guardarlo en algún directorio suyo, o Restaurar si quiere reemplazar el archivo encriptado existente. Si quiere ver el contenido del archivo previamente, simplemente haga clic en Abrir.
b) Shadow Explorer
Es un programa que puede encontrarse online de manera gratuita. Puede descargar tanto una versión completa o portable de Shadow Explorer. Abra el programa. En la esquina superior derecha el disco donde el archivo que está buscando está almacenado. Verá todas las carpetas en ese disco. Para recuperar la carpeta completa, haga clic derecho en ella y seleccione “Exportar”. Luego escoja dónde quiere que se almacene.
Nota: En muchos casos es imposible restaurar archivos de datos afectados por un ransomware moderno. Por eso recomiendo usar un software de copias de seguridad en la nube decente como precaución. Le recomendamos echar un vistazo a Carbonite, BackBlaze, CrashPlan o Mozy Home.
Herramientas de extracción Malware automática
(Win)
Nota: Ensayo Spyhunter proporciona la detección de parásitos como Aviso Ransomware y ayuda a su eliminación de forma gratuita. versión de prueba limitada es disponible, Terms of use, Privacy Policy, Uninstall Instructions,
(Mac)
Nota: Ensayo Combo Cleaner proporciona la detección de parásitos como Aviso Ransomware y ayuda a su eliminación de forma gratuita. versión de prueba limitada es disponible,