Virus

You Are Here: Home / Archives / Category / Virus

Nueva aleta de virus de “Endesa”

Categories:
Virus cryptolocker endesa

virus informaticosEstá circulando por Internet un nuevo virus informático que está teniendo bastante impacto, por lo que hay extremar la precaución por si te llega, y emplees las medidas de precaución habituales en estos casos:

Lo primero … Desconfiar … como son no abrir correos electrónicos de los que no tengas certeza de su autenticidad.

Un buen antivirus.

Leer bien el contenido antes de pulsar cualquier enlace o botón.

Fíjate de que el texto correctamente escrito en castellano

Y la mejor prevención de todo esto es:

Tener copias de seguridad de los documentos importantes, esto no implica tener una copia de seguridad de toda la información que hay en el ordenador.

 

¿Cómo funciona este virus?

El virus se difunde mediante un correo electrónico falso que suplanta la identidad de Endesa, y te pide pulsar un botón para comprobar tu factura, con el gancho de un importe excesivamente alto (lo cual hace que pueda entrarnos entre prisa por comprobarlo).

En ese momento el virus descarga un software en tu equipo que cifra todos tus documentos y los deja ilegibles, para luego pedir un rescate económico por descifrarlos (este tipo de virus se denomina ramsonware, de los que el ejemplo más conocido es el CryptoLocker.

Un virus Ransomware secuestra webs de WordPress y exige rescate

Categories: Tags:

UN VIRUS RANSOMWARE SECUESTRA PAGINAS WEBS DE WORDPRESS Y EXIGE RESCATE

UN VIRUS RANSOMWARE SECUESTRA PAGINAS WEBS DE WORDPRESS Y EXIGE RESCATE

Una nueva actualización del virus Ransomware llamada CTB – Locker ha aparecido encriptando las páginas web de WordPress . Hasta el momento hay cientos de páginas webs las que se han visto afectadas.

Foto creative commons de Ivan David Gomez ArceEl ransomware, también conocido como Critroni, opera más o menos de la misma manera como ransomware tradicional cuando se encripta archivos de un usuario y exige cuota en bitcoin para descifrar y devolver los datos. En el caso de CTB – Locker, que es un programa PHP, en su lugar se dirige a un sitio web.

Por lo general hackean sitios web que no está bien asegurados y reemplazar sus archivos index.php o index.html con diferentes archivos que encriptan los datos del sitio con el cifrado AES -256, y también mostrará un mensaje de aviso en la página principal exigiendo dinero junto con instrucciones sobre cómo comprar bitcoin.

”La clave de descifrado se almacena en un servidor de Internet secreto que nadie puede descifrar sus archivos hasta que pague para obtener la clave de descifrado “, dice el mensaje . Exige 0,4 bitcoin para devolver la página web y que siga con su funcionamiento normal.

En WEBPAMPLONA todos nuestros clientes están tranquilos ya que todas las webs y los plugins están actualizadas y contamos con copias de seguridad diarias, semanales y una copia mensual con lo que conseguimos reducir el impacto que podría causar.

Esta última iteración del ransomware fue descubierto por BleepingComputer de Lawrence Abrams. Él encontró que el CTB – Locker incluso viene con una función de chat en vivo, por lo que puede en habar con el hacker en vivo, para pagar el rescate, y esta versión del ransomware se ha firmado con certificados robados.

Abrams señala en su informe que, como de costumbre , la única manera de restaurar los archivos que no sean el pago del secuestro, es usar un Back-up (respaldo del sitio).

Al parecer que hay mas de 100 de sitios infectados con CTB – Locker. Un documento Pastebin ha sido creado que enumera muchos de los sitios que parecen haber sido comprometidos.

Si usted es propietario de un sitio web que se preocupa por esto, usted debe asegurarse de que está utilizando la última versión de WordPress. La mayoría de los lugares elegidos hasta ahora estaban mal gestionados y utilizados versiones no actualizadas o habían instalado plug-ins vulnerables.

CTB – Locker parece un experimento del autor y puede que no sea una amenaza masiva en un futuro cercano. Sin embargo, es la última mutación de ransomware. Hemos visto varios casos de infecciones que vienen a lo largo de las últimas semanas con las empresas y organizaciones, como hospitales y distritos escolares que al ser infectados pagan el rescate.

Solicita más información rellenando este formulario.

 

Fuente: Digitaltrends

Fotos: Ivan David Gomez Arce y Pixabay

Protege y eliminar el Virus CryptoWall

Categories: Tags:

Este artículo está creado por pcrisk.es.
Su aparición en este blog es para dar una mayor difusión

¿Qué es CryptoWall?

CryptoWall es un virus tipo ransomware (bloqueador de sistemas) que se infiltra en el sistema operativo del usuario a través de un mensaje de email infectado o una descarga fraudulenta, por ejemplo supuestos reproductores de vídeo o actualizaciones de flash. Tras entrar en el sistema con éxito, este programa malicioso encripta los archivos almacenados en el PC del usuario (*.doc, *.docx, *.xls, *.ppt, *.psd, *.pdf, *.eps, *.ai, *.cdr, *.jpg, etc.) y exige el pago de un rescate de 500 dólares (en Bitcoins) para desencriptar los archivos.

Los ciberdelincuentes responsables de lanzar este fraudulento programa se aseguraron de que se ejecuta en todas las versiones de Windows (Windows XP, Windows Vista, Windows 7 y Windows 8), siendo Windows XP el más vulnerable ya que Microsoft NO OFRECE SOPORTE TECNICO.

El virus ransomware crea los archivos: DECRYPT_INSTRUCTION.txt, DECRYPT_INSTRUCTION.html y DECRYPT_INSTRUCTION.url en todas las carpetas donde haya archivos encriptados.

Esos archivos incluyen instrucciones para que los usuarios puedan desencriptar los archivos, entre ellas, la utilización del navegador Tor (navegador web anónimo). Los ciberdelincuentes ocultan su identidad tras el navegador Tor.

Los usuarios deben ser conscientes de que, aunque no es complicado eliminar la infección, la desencriptación de los archivos afectados (encriptados con el sistema criptográfico RSA 2048) por este programa malicioso no es posible si no se abona la suma del rescate.

En la fecha de nuestro análisis, no se encontraron herramientas o soluciones capaces de desencriptar los archivos encriptados por CryptoWall. Tenga en cuenta que la clave privada que puede usarse para desencriptar los archivos se encuentra en los servidores de mando y control de CryptoWall, gestionados por los ciberdelincuentes. La solución ideal sería eliminar este virus ransomware y luego restaurar los archivos a partir de una copia de seguridad.

Captura de pantalla del mensaje que se muestra en los archivos DECRYPT_INSTRUCTION.txt, DECRYPT_INSTRUCTION.html y DECRYPT_INSTRUCTION.url:

Virus Cryptowall

Las infecciones ransomware como CryptoWall (por ejemplo: CryptoDefenseCryptorBit y Cryptolocker) deberían ser motivo suficiente para tener siempre copias de seguridad de todos los archivos guardados en el equipo. Tenga en cuenta que el hecho de pagar la suma del rescate exigida por este ransomware equivale a enviar un pago (su dinero) a ciberdelincuentes; estaría apoyando el modelo de negocio fraudulento y además no tiene garantías de que los archivos se desencriptarán en algún momento. Para evitar que nuestros sistemas se infecten con un virus ransomware, debemos tener especial cuidado a la hora de abrir mensajes de email. Los ciberdelincuentes usan varios títulos atrayentes para engañar a los usuarios y que así abran los adjuntos infectados, por ejemplo “UPS – Notificación de excepciones”. Según investigaciones recientes, los ciberdelincuentes también utilizan redes P2P y descargas fraudulentas con este virus empaquetado para propagar CryptoWall.

Mensaje mostrado en los archivos DECRYPT_INSTRUCTION.txt, DECRYPT_INSTRUCTION.html y DECRYPT_INSTRUCTION.url:

¿Qué pasó con sus archivos?

Todos sus archivos han sido protegidos usando un potente cifrado RSA-2048 con CryptoWall. Encontrará más información acerca de las claves de cifrado con RSA-2048 en el siguiente enlace: http://es.wikipedia.org/wiki/RSA

¿Qué quiere decir esto?

Quiere decir que la estructura y datos de sus ficheros han sido cambiados de forma irrevocable; no podrá trabajar con ellos, leer o verlos, es como si los hubiera perdido para siempre, pero con nuestra ayuda puede recuperarlos.

¿Cómo ha podido ocurrir esto?

Expresamente para usted, hemos generado en nuestro servidor un par de claves secretas RSA-2048 (pública y privada). Todos sus archivos han sido cifrados con la clave pública, que se ha enviado por internet a su ordenador. La única opción para descifrar sus archivos es con ayuda de la clave privada y el programa de descifrado, que se encuentran en nuestro servidor secreto.

¿Qué es lo que tengo que hacer?

Si no sigue las instrucciones necesarias a tiempo, cambiarán las condiciones para conseguir la clave privada. Si le importan sus datos verdaderamente, le aconsejamos que no pierda su tiempo valioso en buscar otras soluciones porque no existen.
Para leer instrucciones más detalladas, por favor visite su página web personal. Abajo hay varios enlaces que le llevarán hasta allí.

1. hxxps://kpai7ycr7jxqkilp.torexplorer.com/3koe
2. hxxps://kpai7ycr7jxqkilp.tor2web.org/3koe
3. hxxps://kpai7ycr7jxqkilp.onion.to/3koe

Si por cualquier motivo los enlaces no funcionan, siga los siguientes pasos:

1. Descargue e instale el navegador Tor: hxxp://www.torproject.org/projects/torbrowser.html.en
2. Cuando finalice la instalación, abra el navegador y espere a que se cargue.
3. Escriba en la barra de direcciones: kpai7ycr7jxqkilp.onion/3koe
4. Siga las instrucciones de la página.

Captura de pantalla de un mensaje de email infectado que se usa en la distribución de CryptoWall:

propagación de cryptowall a través de los emails basura UPS

Texto que se muestra en los mensajes de correo electrónico infectados:

De: UPS Quantum View [auto-notify (at) ups.com] Asunto: UPS Exception Notification, Tracking Number 1Z522A9A6892487822
Discover more about UPS: Visit ups.com
At the request of the shipper, please be advised that delivery of the following shipment has been rescheduled.
Important Delivery Information
Tracking Number: 1Z522A9A6892487822
Rescheduled Delivery Date: 14-April-2014
Exception Reason: THE CUSTOMER WAS NOT AVAILABLE ON THE 1ST ATTEMPT. A 2ND ATTEMPT WILL BE MADE PACKAGE WILL BE DELIVERED NEXT BUSINESS DAY.
Shipment Detail: 1Z522A9A6892487822

Captura de pantalla de la pasarela de pago del rescate en CryptoWall:

protección captcha en el sitio web cryptowall

página descifrado cryptowall

Mensaje que se muestra en la página de pago del rescate en CryptoWall:

Servicio de descifrado
Sus archivos han sido cifrados.
Para conseguir la clave de descifrado, tiene que pagar 500 USD/EUR. Si el pago no se realiza antes de la fecha X, el coste de descifrado de los archivos se duplicará hasta los 1000 USD/EUR. Tiempo que queda antes de que se duplique la cuantía: [temporizador]

Le facilitaremos un programa especial, CryptoWall Decrypter, para desencriptar y devolverle el control de todos sus archivos cifrados. ¿Cómo puedo comprar CryptoWall decrypter?

1. Debe registrarse en Bitcoin Wallet.
2. Compre Bitcoins: Aunque no es tan fácil comprar bitcoins, cada día se simplifica aún más.
3. Envíe 1,22 BTC a la dirección de Bitcoin: 1BhLzCZGY6dwQYgX4B6NR5sjDebBPNapvv
4. Introduzca el ID de transacción y seleccione el importe.
5. Por favor, verifique la información del pago y haga clic en “PAGAR”.

Tenga en cuenta que en la fecha de publicación del artículo todavía no había ninguna herramienta conocida que pudiera desencriptar los archivos cifrados por CryptoWall sin pagar el rescate. Con esta guía, podrá eliminar este virus ransomware de su sistema, aunque los archivos afectados seguirán encriptados. Actualizaremos el artículo en cuanto haya más información sobre la desencriptación de los archivos infectados.

Eliminar el virus CryptoWall:

Menú rápido:

Paso 1

Usuarios de Windows XP y Windows 7: Durante el proceso de arranque de su ordenador, pulse la tecla F8 en su teclado varias veces hasta que aparezca el menú de Opciones avanzadas de Windows, luego seleccione Modo seguro con funciones de red de la lista y pulse ENTER.

Modo seguro con funciones de red

Este vídeo muestra cómo iniciar Windows 7 en “Modo seguro con funciones de red”:

 

Usuarios de Windows 8: Diríjase a la pantalla de inicio de Windows 8, escriba Avanzado, en los resultados de búsqueda, seleccione Configuración. Haga clic en las opciones de inicio avanzadas; tras abrir la ventana de “Configuración general del PC”, seleccione “Arranque avanzado”. Haga clic en el botón de “Reiniciar ahora”. Su PC se reiniciará ahora con el “Menú de opciones de arranque avanzadas”. Haga clic en el botón de “Solucionar”, luego haga clic en el botón de “Opciones avanzadas”. En la pantalla de opciones avanzadas, haga clic en “Configuración de arranque”. Haga clic en el botón “Reiniciar”. Su PC se reiniciará con la pantalla de Configuración de arranque. Pulse “5” para arrancar en Modo seguro con símbolo de sistema.

Modo seguro en Windows 8 con funciones de red

Este vídeo muestra cómo iniciar Windows 8 en “Modo seguro con funciones de red”:

 

Paso 2

Inicie sesión con la cuenta que está infectada con el virus CryptoWall. Abra su navegador web y descargue un programa legítimo anti-spyware. Actualice el software antiespía e inicie un análisis de sistema completo. Elimine todas las entradas que detecte.

programa de desinfección para el virus CryptoWall

Si necesita ayuda para eliminar Virus CryptoWall, contacte con nosotros por teléfono, 24×7:
Al descargar cualquier programa publicado en este sitio web, está conforme con nuestra Política de privacidad y Condiciones de uso. Todos los productos que recomendamos han sido cuidadosamente sometidos a pruebas y han sido aprobados por nuestros técnicos como unas de las soluciones más efectivas para eliminar estas amenazas.

Si no puede arrancar su equipo en modo seguro con funciones de red, pruebe con una restauración del sistema.

Este vídeo muestra cómo eliminar el virus ransomware usando “Modo seguro con funciones de red” y “Restaurar sistema”:

 https://www.youtube.com/watch?v=xip4xl4uorQ

1. Inicie su sistema en modo seguro con símbolo de sistema – Durante el proceso de arranque de su ordenador, pulse la tecla F8 en su teclado varias veces hasta que aparezca el menú de Opciones avanzadas de Windows, luego seleccione Modo seguro con funciones de red de la lista y pulse ENTER..

Inicie su sistema en modo seguro con símbolo de sistema

2. Cuando el símbolo del sistema se cargue, introduzca la siguiente línea: cd restore y pulse ENTER.

restauración de sistema usando símbolo del sistema cd restore

3. Luego teclee esta línea: rstrui.exe y pulse ENTER.

restaurar sistema usando símbolo de sistema rstrui.exe

4. En la ventana abierta, haga clic en “Siguiente”.

restaurar archivos del sistema y configuraciones

5. Seleccione uno de los puntos de restauración disponibles y haga clic en “Siguiente” (se restaurará el sistema de su equipo a una fecha anterior antes de que el ransomware CryptoWall se colara en su PC).

seleccione un punto de restauración

6. En la ventana abierta, haga clic en “Sí”.

ejecutar restauración de sistema

7. Después de restaurar su sistema a un punto anterior, descargue y analice su PC con un software de seguridad antimalware recomendado para eliminar los remanentes del virus CryptoWall.

Para restaurar individualmente cada archivo encriptado por este virus, los usuarios pueden probar con la función versiones anteriores de archivo. Este método es únicamente eficaz si la función de Restaurar sistema estaba activa en el sistema operativo infectado. Tenga en cuenta que algunas variantes de CryptoWall eliminan las instantáneas de volumen de los ficheros, por lo que puede que este método no funcione en algunos ordenadores.

Para restaurar un archivo, haga clic con el botón derecho del ratón sobre el archivo, seleccione Propiedades y haga clic en la pestaña Versiones anteriores. Si el archivo en cuestión tiene su punto de restauración creado, selecciónelo y haga clic en el botón “Restaurar”.

Restaurando archivos encriptados por CryptoDefense

Si no puede iniciar su sistema en modo seguro con funciones de red (o con símbolo de sistema), debería iniciar su ordenador usando un disco de rescate. Algunos tipos de ransomware deshabilitan el modo seguro, por lo que la desinfección es más compleja. Para este paso, necesitará acceder a otro ordenador.

Otras herramientas conocidas para eliminar el virus CryptoWall:

Expertos en WordPress

Esta web utiliza cookies para ofrecer la mejor experiencia posible. Si sigues navegando das tu consentimiento para la aceptación de Cookies y nuestra política de privacidad. Más información

Los ajustes de cookies de esta web están configurados para "permitir cookies" y así ofrecerte la mejor experiencia de navegación posible. Si sigues utilizando esta web sin cambiar tus ajustes de cookies o haces clic en "Aceptar" estarás dando tu consentimiento a esto.

Cerrar