Ransomware Locky - ¿Como eliminarlo?

El virus Locky ves un peligroso ransomware que bloquea archivos personales de los usuarios de los ordenadores y les pide que paguen un rescate si quieren recuperar sus archivos. El Ransomware Locky cambia los nombres de los archivos encriptados a una combinación única de 16 caracteres de letras y dígitos y añade la extensión de archivo .locky. Según el programa, para desbloquear los archivos, necesita el código de desencriptación, que puede obtener si paga el rescate. El programa usa algoritmos RSA-2048 (por ello, a veces tiene el nombre de virus RSA-2048) y AES-1024 para encriptar los archivos.

Incluso aunque hay varias maneras de distribuir esta infección, la más popular es a través de emails infectados. Para empezar, recibirá un email en su bandeja de entrada, con un documento Word adjunto. Si abre el documento, todo lo que verá es basura genérica y un consejo de “Activar la macro si la codificación de los datos es incorrecta”. Los hackers quieren que activa las Macros para que el código que está en el documento .doc pueda ejecutarse e infectar su ordenador. Guardará automáticamente el virus en su PC. Desde que haya logrado esta tarea, el archivo guardado servirá como descargador para obtener las piezas necesarias para la finalización con éxito de la infección. Eventualmente, sus archivos serán encriptados por la extensión .locky del ransomware.


.locky extension virus

Probablemente la peor característica de Locky es que ha pavimentado el camino para otras infecciones de ransomware. Como es casi impredeciblemente exitoso y peligroso, tenemos otros muchos virus ransomware como GandCrab (3 versiones del virus), Cryptolocker o Petya.

Características Principales del Virus Locky

Se le puede dar el título de uno de los virus informáticos más graves de los últimos años, ya que muchos hackers usan varias técnicas para distribuirlo e infectar a más usuarios. Por ejemplo, hemos informado de una situación en la que los hackers enviaron 23 millones de emails con el virus Locky o cómo usan archivos MHT para distribuir el Troyano Fareit y el ransomware Locky.


Locky_ransomware

Si sus archivos han sido bloqueados por el Ransomware Locky, su fondo de escritorio debería haber sido reemplazado por un mensaje que dice que debe pagar .5 BTC para conseguir el código de desencriptación. Por cierto, según dice NakedSecurity, el precio podría subir hasta 1 BTC, lo que equivale a unos 500$. El programa también crea un archivo de texto con el mismo mensaje. Tenga en cuenta que el malware Locky elimine las shadow volumen copies de todos los archivos, lo que hace incluso más complicado restaurar sus archivos.

Texto original de la nota de rescate de Locky:

El ransomware Locky

Todos sus archivos están encriptados con cifrados RSA-2018 y AES-128. Se puede encontrar más información sobre RSA y AES aquí: https://en.wikipedia.org/wiki/RSA (crypto system) https://en.wikipedia.org/wiki/Advanced_Encryption_standard Desencriptar todos sus archivos solo es posible siguiendo los siguientes pasos. ¿Cómo comprar la desencriptación? 1. Puede realizar un pago con BitCoins, hay muchos métodos para obtenerlos. 2. Debería registrar una cartera de BitCoin (la cartera online más simple O algún otro método para crear una cartera) 3. Comprar BitCoins – Aunque todavía no es muy sencillo comprar bitcoins, es más simple cada día que pasa.

Cómo Restaurar Archivos Bloqueados por Locky

Si tiene una copia de seguridad de los archivos encriptados, tiene una solución a este problema. Puede restaurar de manera simple los archivos desde esta copia de seguridad. Si no la tiene, desafortunadamente podrá perder lo que haya bloqueado el virus Locky. No hay garantías que tras realizar el pago le den el código que funcione. Si paga, podrá regalar el dinero a los ciber criminales.

No abra adjuntos de destinatarios desconocidos o podría infectarse con el Ransomware Locky. Recomiendo hacer copias de seguridad de los archivos importantes usando algún servicio en la nube. Vale la pena mencionar que el virus Locky emplea métodos de distribución difíciles y agresivos, como se describe en la Publicación de blog de Symantec.

De hecho, hay 2 versiones del ransomware usando la extensión .locky: el virus Locky normal y AutoLocky. Los archivos encriptados por el ransomware anterior pueden desencriptarse usando Emsisoft’s AutoLocky Decryptor. Si sus archivos han sido encriptados por el Locky normal, su mejor elección es recuperar los archivos de copias de seguridad o intentar recuperar los archivos encriptados desde copias de seguridad o probar a restaurar los archivos eliminados usando software de Recuperación de Datos como Data Recovery PRO.

También recomendamos la mejor protección antivirus e instalar una de estas aplicaciones anti-malware: Spyhunter o StopZilla.

Actualizaciones del Virus Locky

Hay una versión copia del Virus Locky que está usando una estructura de encriptación mucho más simple. Sus archivos corruptos podrían recuperarse con Emsisoft’s AutoLocky Decryptor. Siempre puede intentarlo si sus archivos tienen la extensión .locky y los otros métodos de recuperación han fallado.


Evolution of locky

Actualización de Octubre de 2016: El virus Locky podría haber sido una infección aterradora y muy distribuida, pero ahora las víctimas solo pueden infectarse con él de manera accidental, ya que esta variante ya no se distribuye de manera activa. El nuevo ransomware publicado reemplaza a esta variante antigua y es tan aterrador como este.

Actualización del 17 de Noviembre de 2016: El ransomware Locky se ha distribuido recientemente a través de actualizaciones falsas de Flash Player.

Actualización del 21 de Noviembre de 2016: El cripto malware Locky ahora está usando la extensión .aesir para marcar los archivos encriptados.

Actualización del 5 de Diciembre de 2016. Ahora los archivos encriptados por el cripto locker Locky tienen adjunta la extensión .osiris. La extensión está relacionada con los adjuntos del email de spam, que son archivos de Excel y contienen una macro, que se debería activar. Los archivos tienen el nombre de Invoice_INV[random-numbers].xls. Las notas de rescato, dejadas por esta nueva variante tienen el nombre de DesktopOSIRIS.bmp y DesktopOSIRIS.htm.

Actualización del 20 de Enero de 2017. Tras haber sido silencioso durante algún tiempo, el virus Locky vuelve al patio. Su distribuidor, la botnet Netcurs ha sido detectada iniciando campañas de spam. No son gigantes pero sí activas. Los hackers han elegido archivos .zip y .rar para adjuntar a los correos de spam malicioso. Los investigadores de seguridad suponen que podría ser el comienzo de una campaña de spam mayor.

Actualización del 23 de Enero de 2017. Incluso aunque los investigadores de seguridad han detectado alguna actividad del virus Locky, el número de sus ataques se ha reducido de manera significativa.

Actualización del 3 de Marzo de 2017. Se ha detectado una nueva versión del virus Locky y está firmada digitalmente para poder reducir la posibilidad de que varias amenazas anti-malware detecten el malware en un dispositivo. Esta muestra también usa la extensión .osiris.

Actualización del 27 de Marzo de 2017. Por suerte no parece irle muy bien. 2017 parece algo lento si se trata de la actividad de Locky. Actualmente, se han notado muestras de ransomware más persistentes y agresivas, mientras que Locky parece estar renunciando a su lugar en la gloria.

Actualización del 24 de Abril de 2017. Tras casi estar etiquetado como inactivo, Locky vuelve de la nada. Ha adoptado una antigua estrategia de distribución. Los hackers están distribuyendo la carga de Locky en correos de email. Sus títulos se parecen a esto ‘Recibo de Pago’. Normalmente, contendrán archivos pdf como adjuntos. Adicionalmente, también han recurrido a botnets para distribuir Locky.

Actualización del 26 de Junio de 2017. El cripto virus Locky intenta volver a ganar su vieja gloria, pero en su intento no ha logrado lo que planeaba. Los desarrolladores del ransomware Locky decidieron pillar Internet por sorpresa y se distribuyeron cargas agresivas a personas aleatorias. Sin embargo, los autores se olvidaron que las versiones más recientes del sistema operativo Windows han sido diseñadas para ser más inmune a este tipo de virus. Como consecuencia, la infección estaba limitada en codificar archivos que se encontraban en dispositivos Windows XP o Vista.

Actualización del 1 de Septiembre de 2017. La variante más reciente de Locky ha sido detectada distribuyéndose en una campaña de spam masivo. El cripto virus Lukitus ha llegado en 23 millones de emails maliciosos, enviados el 28 de Agosto.

Actualización del 18 de Septiembre de 2017. Hoy se ha descubierto una nueva extensión del ransomware Locky, llamada .ykcol. Algunos usuarios infectados con el virus de esta extensión podrían pensar que es el virus Ykcol, debido a la mala información publicada por algunas webs. Sin embargo, es el mismo viejo virus Locky, solo con una extensión diferente.

Otras Versiones de Locky

La tasa de éxito y relativamente alta tasa de infección del virus locky original inspiró a otros ciber criminales a crear virus ransomware. Ni siquiera se molestaron en pensar un nuevo nombre que fuese diferente de cualquier manera a locky o crear alguna mejora tecnológica, por lo tanto, muchos de ellos son muy similares entre sí. También, la mayoría usa la misma extensión .locky, por ello se pueden aplicar los mismos métodos para desbloquear los archivos bloqueados.

Nombre

Características únicas

Extensión

Locky Imposter

Se origina desde Alemania

.locky

ArmaLocky

Archivos destruidos tras 72 horas

.armadilo1

PowerLocky

Exige 500$ en Bitcoins

.locky

StorageCrypter

Precio fijo de 0.4 BTC

.locky

Jhash

Nota de rescate en español, el rescate es de solo 10$

.locky

Asasin Ransomware

Precio fijo de 0/25 BTC

.asasin

Lukitus Ransomware

Genera una extensión complicada con caracteres hexadecimales

.lukitus

syncCrypt Virus

Emplea encriptación de grado militar, elimina los archivos tras 48 horas

.kk

Diablo6

Usa la misma criptografía que Locky

.diablo6

ODIN ransomware

Precio fijo de 0.5 BTC

.odin

Cómo Evitar el Virus Locky

Ya hemos mencionado que SpyHunter o Malwarebytes son buenas herramientas que pueden eliminar de manera efectiva infecciones de la familia Locky. Sin embargo, hay algunas alternativas realmente geniales, como Plumbytes Anti-Malware. Tiene herramienta de protección en tiempo real, así que será capaz de detener el virus sobre la marcha. Una herramienta incluso mejor tiene un motor dedicado a luchar contra infecciones ransomware – IObit Malware Fighter. Incluso aunque el ransomware encuentre el camino para entrar a su ordenador, este software no le permitirá encriptar sus archivos.

Herramientas de extracción Malware automática

Descargar Spyhunter para detectar Malware
(Win)

Nota: Ensayo Spyhunter proporciona la detección de parásitos como Locky Ransomware y ayuda a su eliminación de forma gratuita. versión de prueba limitada es disponible, Terms of use, Privacy Policy, Uninstall Instructions,

Descargar Combo Cleaner para detectar Malware
(Mac)

Nota: Ensayo Combo Cleaner proporciona la detección de parásitos como Locky Ransomware y ayuda a su eliminación de forma gratuita. versión de prueba limitada es disponible,

¿Cómo eliminar Ransomware Locky usando Restauración del Sistema?

1. Reinicie su ordenador en Modo Seguro con Solicitud de Comando

1. Modo seguro

Para Windows 7/ Vista/ XP
  • l Inicio → Apagar → Reiniciar → OK.
  • l Presione la tecla F8 repetidamente hasta que la pantalla de Opciones de Inicio Avanzado aparece.
  • l Elegir Modo Seguro con Solicitud de Comando.Windows 7 enter safe mode
Para Windows 8 / 10
  • l Presione Potencia en la pantalla de acceso de Windows. Luego presione y mantenga la tecla Shift y haga clic en Reiniciar. Windows 8-10 restart to safe mode
  • l Elija solucionar problemas → Opciones Avanzadas → Configuración de Inicio y haga clic en Reiniciar.
  • l Cuando se cargue, seleccione Permitir Modo Seguro con Solicitud de Comando en la lista de Configuraciones de Inicio. Windows 8-10 enter safe mode

2. Restaurar archivos y configuraciones del Sistema.

  • l Cuando el modo de Solicitud de Comando se cargue, introduzca cd restore y presione Intro.
  • l Luego introduzca rstrui.exe y presione Intro otra vez. CMD commands
  • l Haga clic en “Siguiente” en la ventana que apareció.Restore point img1
  • l Seleccione uno de los Puntos de Restauración que están disponibles antes de que se infiltrase el Ransomware Locky en su sistema y luego haga clic en “Siguiente”.Restore point img2
  • l Para iniciar la restauración del Sistema haga clic en “Sí”. Restore point img3

2. Complete la eliminación del Ransomware Locky

Tras restaurar su sistema, se recomienda escanear su ordenador con un programa anti-malware, como Malwarebytes, Spyhunter y elimine todos los archivos maliciosos relacionados con Ransomware Locky.

3. Restaure los archivos afectados por Ransomware Locky usando Shadow Volume Copies

Si no usa la opción de Restaurar Sistema en su sistema operativo, existe la posibilidad de usar capturas de shadow copy. Almacenan copias de sus archivos en el punto temporal en el que la captura de restauración del sistema fue creada. Normalmente Ransomware Locky intenta eliminar todas las posibles Shadow Volume Copies, así que este método puede que no funcione en todos los ordenadores. Sin embargo, puede que falle al hacerlo.

Shadow Volume Copies sólo está disponible con Windows XP Service Pack 2, Windows Vista, Windows 7 y Windows 8. Hay dos maneras de recuperar sus archivos a través de Shadow Volume Copu. Puede hacerlo usando las versiones anteriores nativas de Windows o a través de Shadow Explorer.

a) Versiones Anteriores nativas de Windows

Haga clic derecho en un archivo encriptado y seleccione Propiedades>Pestaña de versiones anteriores. Ahora verá todas las copias disponibles de ese archivo particular y del momento cuando fue almacenado en un Shadow Volume Copy. Elija la versión del archivo que quiera recuperar y haga clic en Copiar si quiere guardarlo en algún directorio suyo, o Restaurar si quiere reemplazar el archivo encriptado existente. Si quiere ver el contenido del archivo previamente, simplemente haga clic en Abrir.

Previous version

b) Shadow Explorer

Es un programa que puede encontrarse online de manera gratuita. Puede descargar tanto una versión completa o portable de Shadow Explorer. Abra el programa. En la esquina superior derecha el disco donde el archivo que está buscando está almacenado. Verá todas las carpetas en ese disco. Para recuperar la carpeta completa, haga clic derecho en ella y seleccione “Exportar”. Luego escoja dónde quiere que se almacene.

Data Recovery Pro

Nota: En muchos casos es imposible restaurar archivos de datos afectados por un ransomware moderno. Por eso recomiendo usar un software de copias de seguridad en la nube decente como precaución. Le recomendamos echar un vistazo a Carbonite, BackBlaze, CrashPlan o Mozy Home.

Fuente: https://www.2-viruses.com/remove-locky-virus

Removal guides in other languages

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *