CRYPTOLOCKER PAGAS O TE JODES
Hace tiempo que los virus encuentran un nuevo objetivo, y ya no es simplemente hacer daño al SO., ahora los programadores de estos virus, son cada vez más ambiciosos $_$, así es, utilizan una variante de ransomware, recordemos que los virus ransomware tuvieron sus inicios, bloqueando sólo el escritorio de las víctimas, y solicitando una cantidad de dinero para desbloquear el escritorio del sistema.
Las víctimas, asustadas, preguntaban si debían depositar y si tenía arreglo?, generalmente temían por que usaban programas p2p cómo ares entre otros, programas piratas, etc, etc.
La imágen en los inicios del ransomware
aquí en México, era similar a esta a veces con otro logo de alguna institución policíaca.
Cómo buen virus, lograba su objetivo de asustar a los usuarios que bajaban porno jajaja, encendiendo la cámara web, indicando que estaban siendo monitoreados por la policía y que tarde o temprano iban a ser detenidos por los delitos informáticos.
Y claro esto sólo fué el inicio, ahora la evolución de ransomware a llegado a tal grado que un virus llamado cryptowall, es responsable de cifrar archivos en los equipos que no cuentan con protección antivirus, parches de actualización, o control sobre dispositivos, (el virus mas peligroso se llama "usuario")
Este troyano llega como un archivo adjunto a los mensajes de correo basura "spam" o como un archivo soltado por otro malware o como un archivo descargado sin saberlo por el usuario al visitar páginas peligrosas, y posterior elimina la copia inicial del virus.
Cuándo el virus se ejecuta en el servidor, crea entradas en el registro, y crea además los siguientes archivos con las instrucciones para desbloquear los archivos cifrados.
DECRYPT_INSTRUCTION.HTML
DECRYPT_INSTRUCTION.TXT
DECRYPT_INSTRUCTION.LK
Dentro del archivo txt, podemos leer las instrucciones para realizar el pago y explican por qué y cómo está cifrado.
What happened to your files ?
All of your files were protected by a strong encryption with RSA-2048 using CryptoWall.
More information about the encryption keys using RSA-2048 can be found here: http://en.wikipedia.org/wiki/RSA_(cryptosystem)
What does this mean ?
This means that the structure and data within your files have been irrevocably changed, you will not be able to work with them, read them or see them,
it is the same thing as losing them forever, but with our help, you can restore them.
How did this happen ?
Especially for you, on our server was generated the secret key pair RSA-2048 - public and private.
All your files were encrypted with the public key, which has been transferred to your computer via the Internet.
Decrypting of your files is only possible with the help of the private key and decrypt program, which is on our secret server.
What do I do ?
Alas, if you do not take the necessary measures for the specified time then the conditions for obtaining the private key will be changed.
If you really value your data, then we suggest you do not waste valuable time searching for other solutions because they do not exist.
For more specific instructions, please visit your personal home page, there are a few different addresses pointing to your page below:
1.https://kpai7ycr7jxqkilp.torminater.com/gRN0
2.https://kpai7ycr7jxqkilp.torchek.com/gRN0
3.https://kpai7ycr7jxqkilp.way2tor.com/gRN0
If for some reasons the addresses are not available, follow these steps:
1.Download and install tor-browser: http://www.torproject.org/projects/torbrowser.html.en
2.After a successful installation, run the browser and wait for initialization.
3.Type in the address bar: kpai7ycr7jxqkilp.onion/gRN0
4.Follow the instructions on the site.
IMPORTANT INFORMATION:
Your personal page: https://kpai7ycr7jxqkilp.torminater.com/gRN0
Your personal page (using TOR): kpai7ycr7jxqkilp.onion/gRN0
Your personal identification number (if you open the site (or TOR 's) directly): gRN0
Pide conectarse a tor para evitar ser rastreado, y exige el pago en el periodo del contador, si no lo hace, se seguirá duplicando la cantidad del pago, para dejar claro que el pago lo quieren en bitcoin (moneda con un valor alto $$$$$$$, para que se den una idea,
| 1 BTC | = | 405.04 USD |
Esto no es nada, se duplicará las peticiones por 2 periodos mas, aumentará la suma de dinero solicitada por el virus.
Ante esta situación, solo debemos tener calma y no ceder a las exigencias del virus, pues no existe garantía alguna de que realmente nos proporcionen la clave para descifrar nuestros archivos.
Por ahora no existe una herramienta que descifre nuestros archivos, por lo que sólo nos queda ser mas precavidos con nuestro sistema.
1.- Para eliminar este virus, debes entrar en modo seguro y eliminar algunas claves del registro en:
HKEY_LOCAL_MACHINE
SOFTWARE
MICROSOFT
WINDOWS
RUN
(Eliminar todas las claves que se encuentren ahí)
2.- Eliminar los archivos llamados DECRYPT_INSTRUCTION.HTML DECRYPT_INSTRUCTION.TXT, DECRYPT_INSTRUCTION.LK
3.- Buscar en %temp% y eliminar todos los archivos temporales encontrados.
(Inicio-escribir %temp%).
4.- Reiniciar y listoooo, estarán libres de ese virus, pero no recuperaran la integridad de sus archivos.
5.-Ejecutar alguna herramienta de apoyo para corroborar que estás libre de este cryptovirus.
1.- Para eliminar este virus, debes entrar en modo seguro y eliminar algunas claves del registro en:
HKEY_LOCAL_MACHINE
SOFTWARE
MICROSOFT
WINDOWS
RUN
(Eliminar todas las claves que se encuentren ahí)
2.- Eliminar los archivos llamados DECRYPT_INSTRUCTION.HTML DECRYPT_INSTRUCTION.TXT, DECRYPT_INSTRUCTION.LK
3.- Buscar en %temp% y eliminar todos los archivos temporales encontrados.
(Inicio-escribir %temp%).
4.- Reiniciar y listoooo, estarán libres de ese virus, pero no recuperaran la integridad de sus archivos.
5.-Ejecutar alguna herramienta de apoyo para corroborar que estás libre de este cryptovirus.
Mas recomendaciones de como hacer respaldos en los siguientes blogs :)
Más información de este tipo de virus y herramientas acá:
http://kb.eset.com/zap/SOLN3433
http://about-threats.trendmicro.com/us/malware/troj_cryptowall.f
