El ransomware SamSam (también conocido como Samas/Samsa/MSIL.B/C), como muchos otros virus ransomware, usa un algoritmo de encriptación asimétrica. Pero la peculiaridad de este encriptador de archivos en particular es que genera un par de claves RSA para sí mismo. Por ello, no necesita conectar a un servidor C&C (Comando y Control) para enviar la clave pública al ordenador de la víctima. El codificador Samsam busca los softwares vulnerables por el lado del servidor. Por ello, las redes de ordenadores son más propensas a ser objetivos. Para ser más específico, esto significa que este ransomware de servidores realiza ataques sobre empresas y organizaciones.
Acerca del Ransomware SamSam
Se ha detectado que el ransomware SamSam ataca principalmente a hospitales, por ejemplo el grupo hospitalario de Maryland, la instalación médica Hollywood Presbyterian, etc. Está escrito en lenguaje C (C#). Los ejecutables se llaman sikanomit.exe, RikiRafael.exe, psexec.exe. etc. Después de la encriptación, el ransomware adjunta las siguientes extensiones a los archivos encriptados: .encedRSA, .encryptedRSA, .encryptedAES, .canihelpyou, .only-we_can-help_you, .justbtcwillhelpyou, .btcbtcbtc, .btc-help-you. Es una característica que diferencia al virus SamSam entre otros virus ransomware, ya que muchos de sus colegas se caracterizan por una sola extensión de archivo, que también actúa como su marca. Los archivos HELP_DECRYPT_YOUR_FILES.html, HOW_TO_DECRYPT_FILES.html o HELP_FOR_DECRYPT_FILE.html se colocan en todas las carpetas de los archivos encriptados y en el escritorio de la víctima. Los archivos contienen la nota de rescate:
#¿Qué le ha pasado a sus archivos?
Todos sus archivos han sido encriptados con encriptación RSA-2048, Para más información, busca en Google “Encriptación RSA”
#¿Cómo recuperar los archivos?
RSA es un algoritmo criptográfico asimétrico, Necesitas una clave para encriptar y otra para desencriptar
Así que, necesita una clave Privada para recuperar sus archivos.
No es posible recuperar sus archivos sin una clave privada
#¿Cómo consigo una clave privada?
Puede tener su clave privada con tan solo 3 sencillos pasos:
Paso1: Debe enviarnos 1.7 Bitcoins por cada PC afectado O 22 Bitcoins para recibir TODAS las Claves Privadas para TODOS los PCs afectados.
Paso2: Después de enviarnos 1.7 Bitcoin, Deje un comentario en nuestra Web con estos detalles: Sólo escriba Su “Nombre Host” en tu comentario
*Su nombre Host es: SERVERNAME
Paso3: Le responderemos a su comentario con el software de desencriptación, Debe ejecutarlo en el PC afectado y se recuperarán todos los archivos infectados
*Nuestra Dirección Web: http://roe53ncs47yt564u.onion/east3/
*Nuestra Dirección de BitCoins:136hcUpNwhpKQQL7iXXWmwUnikX7n98xsL
(Si nos envía 22 Bitcoin Para todos los PC, Deje un comentario en nuestra Web con estos detalles: Sólo escriba “Para Todos los PCs Afectados” en su comentario)
Cómo Acceder A Nuestro Sitio
Para acceder a nuestro sitio debe instalar el navegador Tor y entrar a la URL de nuestra web en su navegador tor.
Puede descargar el navegador Tor desde https://www.torproject.org/download/download.html.en
Para más información, por favor, busque en Google “Cómo acceder a sitios tor”
# Prueba de Desencriptación #
Eche un vistazo a nuestra web, Hemos generado un software de desencriptación para uno de sus ordenadores al azar, No se preocupe no es software malicioso.
Si tiene miedo de ejecutar el software “Test Decryption”, puede ejecutarlo en una MV (Máquina virtual), también necesitará algún archivo encriptado en la MV para probarlo
#Dónde comprar Bitcoin
Le recomendamos que compre Bitcoins con Depósitos de Efectivo o WesternUnion Desde https://www.bitquick.co/buy-2.php o https://coincafe.com/buybitcoinswestern.php
Porque no necesitan ninguna verificación y envían las Bitcoins rápidamente.
#Fecha límite
Tiene 7 días para enviarnos los Bitcoins, después de 7 días eliminaremos su clave privada y la recuperación de sus archivos será imposible de realizar
Así que, como puede ver en el mensaje, 1.7 BTC (Bitcoins) por ordenador o 22 BTC por la red completa, son las sumas demandadas por estos ciber criminales. Consecuentemente, el tamaño del rescate varía de 1,146.07 dólares a 14,828.84 USD en el momento de la escritura de este artículo (el valor del BTC fluctúa constantemente). Como puede ver, la cantidad es bastante grande. Bien, esto está bastante claro, ya que el criptomalware SamSam afecta principalmente a empresas y organizaciones, los usuarios particulares suelen quedar a un lado (bueno, al menos hasta ahora).
¿Cómo se Distribuye el Ransomware SamSam?
Al contrario que la mayoría de virus ransomware, el ransomware Samsam no emplea emails de spam para infectar los ordenadores de las víctimas. Este criptomalware está diseñado para un método de distribución a nivel de servidor. Emplea la herramienta JexBoss para aprovecharse de las vulnerabilidades del software empresarial JBoss de Red Hat. Por ello, las empresas que usen el software anterior están en peligro de experimentar ataques del virus SamSam. Como consecuencia, es primordial parchear las vulnerabilidades del servidor con herramientas de seguridad profesional (leer el siguiente párrafo para conocer las herramientas exactas).
¿Cómo Desencriptar Archivos Encriptados por el Ransomware SamSam?
Las buenas noticias es que el ransomware sólo es compatible con versiones de Windows a partir de Vista. No realizará la encriptación en ordenadores que usen versiones anteriores de Windows. Por otro lado, las malas noticias es que todavía no se ha desarrollado un desencriptador. Por ahora, cree una copia de su disco duro infectado. De esta manera, en el futuro, será capaz de usar el desencriptador que se cree. Asegúrese de hacer copias de seguridad de sus datos en dispositivos externos. Para recuperar sus datos intente usar herramientas de recuperación de datos de Kaspersky Lab, R-Studio, PhotoRec, Recuva, etc. El malware SamSam elimina las Shadow Volume Copies, así que el servicio de Shadow Volume Service no estará disponible. Pero, lo primero es eliminar el ransomware con herramientas de eliminación automática de malware – Spyhunter o Hitman. Las instrucciones manuales, desarrolladas por nuestros expertos de seguridad, son completamente gratuitas y están debajo de este artículo.
Actualización de Diciembre de 2016. La versión actual del ransomware Samas añade la extensión .VforVendetta a los archivos bloqueados y deja la nota ooo-PLEASE-READ-WE-HELP.html para el rescate.
Actualización del 20 de Diciembre de 2016. La versión reciente del cripto malware Samas es reconocible por la extensión .theworldisyours y la nota de rescate CHECK-IT-HELP-FILES.html.
Actualización del 30 de Diciembre de, 2016. El último variante del cripto bloqueador Samas añade la extensión .Whereisyourfiles y deja la nota de rescate WHERE-YOUR-FILES.html.
Actualización del 9 de Enero de 2017. Se ha detectado un añadido al cripto ransomware Samas. Adjunta .helpmeencedfiles para encriptar los datos y deja el archivo HELP-ME-ENCED-FILES.html con las instrucciones.
Actualización del 23 de Enero de 2017. Los investigadores de seguridad han descubierto una nueva versión del ransomware SamSam. Difiera de la versión original al añadir una extensión diferente a los archivos encriptados: .powerfulldecrypt y dejando una nota de rescate llamada WE-MUST-DEC-FILES.html, además de esta variante, se ha visto una muestra con la extensión .noproblemwedecfiles. Deja un enlace a una web en un archivo HTML, llamado 000-No-PROBLEM-WE-DEC-FILES.html.
Actualización del 30 de Enero de 2017. Incluso aunque solo haya pasado una semana desde nuestra última actualización sobre este virus, tenemos información nueva sobre el ransomware SamSam. Se ha detectado una nueva extensión: .weareyourfriends. Deja el archivo TRY-READ-ME-TO-DEC.html como nota de rescate. Además, también se ha detectado otra variante del virus Samas añadiendo .otherinformation y pidiendo a las víctimas que lean el archivo 000-IF-YOU-WANT-DEC-FILES.html.
Actualización del 6 de Febrero de 2017. El virus ransomware SamSam ha sido extremadamente activo este mes pasado. Ahora, ha salido otra muestra y marca los datos con la extensión .letmetrydecfiles y deja la nota de rescate LET-ME-TRY-DEC-FILES.html.
Actualización del 20 de Marzo de 2017. Se ha descubierto una nueva variante del ransomware SamSam y añadae la extensión .iaufkakfhsaraf a los datos que corrompe. IF_WANT_FILES_BACK_PLS_READ.html es el nuevo archivo que presenta la nota de rescate.
Actualización del 27 de Marzo de 2017. Como de costumbre, actualizaremos de manera regular nuestro artículo desde que se detecte una nueva muestra del ransomware SamSam. Esta vez, la nueva variante adjunta .cifgksaffsfyghd y deja el archivo READ_READ_DEC_FILES.html para llevar a las víctimas hacia la nota de rescate.
Actualización del 10 de Abril de 2017. Una nueva variante del ransomware SamSam que añade la extensión .skjdthghh a los datos encriptados y la nota de rescate se llama 009-READ-FOR-DECCCC-FILESSS.html.
Actualización del 26 de Junio de 2017. Después de haber estado inactivo durante algún tiempo, el cripto virus SamSam vuelve. Sus muestras recientemente detectadas incluyen estas extensiones: .breeding123, .mention9823, .suppose666.
¿Cómo eliminar El Ransomware SamSam usando Restauración del Sistema?
1. Reinicie su ordenador en Modo Seguro con Solicitud de Comando
1. Modo seguro
Para Windows 7/ Vista/ XP- l Inicio → Apagar → Reiniciar → OK.
- l Presione la tecla F8 repetidamente hasta que la pantalla de Opciones de Inicio Avanzado aparece.
- l Elegir Modo Seguro con Solicitud de Comando.
- l Presione Potencia en la pantalla de acceso de Windows. Luego presione y mantenga la tecla Shift y haga clic en Reiniciar.
- l Elija solucionar problemas → Opciones Avanzadas → Configuración de Inicio y haga clic en Reiniciar.
- l Cuando se cargue, seleccione Permitir Modo Seguro con Solicitud de Comando en la lista de Configuraciones de Inicio.
2. Restaurar archivos y configuraciones del Sistema.
- l Cuando el modo de Solicitud de Comando se cargue, introduzca cd restore y presione Intro.
- l Luego introduzca rstrui.exe y presione Intro otra vez.
- l Haga clic en “Siguiente” en la ventana que apareció.
- l Seleccione uno de los Puntos de Restauración que están disponibles antes de que se infiltrase el Ransomware SamSam en su sistema y luego haga clic en “Siguiente”.
- l Para iniciar la restauración del Sistema haga clic en “Sí”.
2. Complete la eliminación del El Ransomware SamSam
Tras restaurar su sistema, se recomienda escanear su ordenador con un programa anti-malware, como Malwarebytes, Spyhunter y elimine todos los archivos maliciosos relacionados con Ransomware SamSam.
3. Restaure los archivos afectados por El Ransomware SamSam usando Shadow Volume Copies
Si no usa la opción de Restaurar Sistema en su sistema operativo, existe la posibilidad de usar capturas de shadow copy. Almacenan copias de sus archivos en el punto temporal en el que la captura de restauración del sistema fue creada. Normalmente Ransomware SamSam intenta eliminar todas las posibles Shadow Volume Copies, así que este método puede que no funcione en todos los ordenadores. Sin embargo, puede que falle al hacerlo.
Shadow Volume Copies sólo está disponible con Windows XP Service Pack 2, Windows Vista, Windows 7 y Windows 8. Hay dos maneras de recuperar sus archivos a través de Shadow Volume Copu. Puede hacerlo usando las versiones anteriores nativas de Windows o a través de Shadow Explorer.
a) Versiones Anteriores nativas de Windows
Haga clic derecho en un archivo encriptado y seleccione Propiedades>Pestaña de versiones anteriores. Ahora verá todas las copias disponibles de ese archivo particular y del momento cuando fue almacenado en un Shadow Volume Copy. Elija la versión del archivo que quiera recuperar y haga clic en Copiar si quiere guardarlo en algún directorio suyo, o Restaurar si quiere reemplazar el archivo encriptado existente. Si quiere ver el contenido del archivo previamente, simplemente haga clic en Abrir.
b) Shadow Explorer
Es un programa que puede encontrarse online de manera gratuita. Puede descargar tanto una versión completa o portable de Shadow Explorer. Abra el programa. En la esquina superior derecha el disco donde el archivo que está buscando está almacenado. Verá todas las carpetas en ese disco. Para recuperar la carpeta completa, haga clic derecho en ella y seleccione “Exportar”. Luego escoja dónde quiere que se almacene.
Nota: En muchos casos es imposible restaurar archivos de datos afectados por un ransomware moderno. Por eso recomiendo usar un software de copias de seguridad en la nube decente como precaución. Le recomendamos echar un vistazo a Carbonite, BackBlaze, CrashPlan o Mozy Home.
Herramientas de extracción Malware automática
(Win)
Nota: Ensayo Spyhunter proporciona la detección de parásitos como El Ransomware Samsam y ayuda a su eliminación de forma gratuita. versión de prueba limitada es disponible, Terms of use, Privacy Policy, Uninstall Instructions,
(Mac)
Nota: Ensayo Combo Cleaner proporciona la detección de parásitos como El Ransomware Samsam y ayuda a su eliminación de forma gratuita. versión de prueba limitada es disponible,