Blog

2 octubre, 2019

[CONSEJOS] ¿Qué hacer si estás infectado por ransomware?

La infección ransomware puede ser bastante aterradora. Si ves una nota aparece en la pantalla de tu computadora diciéndote que el ordenador está bloqueado, o que tus archivos están cifrados, no te asustes. En lugar de eso, respira hondo, siéntate y considera tus opciones.

Hay una serie de pasos que puedes tomar para tratar de recuperar el control de tu sistema de Windows y archivos antes de que necesites decidir si vas a pagar un rescate.

>> Descubre qué tipo de ransomware tienes.
En primer lugar, tendrás que determinar si has sido golpeado por cifrar ransomware, ransomware de bloqueo de pantalla o algo que sólo está fingiendo ser ransomware. Vea si puede acceder a archivos o carpetas, como los artículos en el escritorio o en la carpeta de mis documentos.

Si no puedes superar la nota de rescate que ves en tu pantalla, es probable que estés infectado por ransomware de bloqueo de pantalla, que no es tan malo. Si ves un aviso que afirma ser de la policía, el FBI o el IRS que dice que has sido atrapado mirando la pornografía o la presentación de impuestos falsos y debe pagar una ” multa,” que suele ser ransomware de bloqueo de pantalla, también.

Si puedes navegar a través de directorios o aplicaciones, pero no puedes abrir tus archivos de oficina regulares, películas, fotografías o correos electrónicos, entonces tienes cifrar ransomware, que es mucho peor.

Si puedes navegar por el sistema y leer la mayoría de los archivos, entonces probablemente estás viendo algo falso que sólo está tratando de asustar a pagar. Puedes ignorar la nota de rescate. Intenta cerrar tu navegador web. Si no puedes, entonces golpear las llaves de control, turno y Esc al mismo tiempo para abrir el administrador de tareas, elegir la pestaña de aplicación, derecha haga clic en la aplicación del navegador y seleccionar el trabajo final

>> Deberías pagar el rescate?
La mayoría de expertos en seguridad, así como Microsoft mismo, aconsejan en contra de pagar cualquier rescates. No hay garantía de que vas a recuperar tus archivos si pagas, y pagando sólo anima más ataques ransomware. (No pagues el rescate por el bloqueo de pantalla, porque casi siempre puedes llegar a su alrededor. )

Sin embargo, cuando usted necesita recuperar registros legales, médicos o de negocios, fotos familiares preciosas u otros archivos importantes, pagando $ 300 o así parece una opción viable – y la mayoría de los criminales de ransomware hacen desbloquear los archivos después de que se hayan pagado los rescates. Así que preferiría permanecer neutrales sobre el tema de si pagar rescates es recomendable o moralmente aceptable.

>> Cómo lidiar con cifrar ransomware
Porque cifrar ransomware es el tipo más común y más dañino, vamos a lidiar con eso primero. Realiza cada uno de estos pasos en orden, incluso si sabes que has respaldado recientemente tus archivos. Detente cuando has logrado recuperar tus archivos.

1. Desconecta tu máquina de cualquier otro, y de cualquier disco externo. Si estás en una red, ve fuera de línea. No quieres que los ransomware se difundan a otros dispositivos en tu red local o a los servicios de sincronización de archivos como Dropbox.

2. Utilice un smartphone o una cámara para tomar una fotografía de la nota de rescate presentada en su pantalla. Si puedes tomar una captura de pantalla, también lo haces. Vas a querer presentar un informe de la policía más tarde, después de pasar por todos estos pasos.

3. Utilice antivirus o software anti-malware para limpiar el ransomware de la máquina, pero sólo lo hace si usted está decidido a no pagar el rescate. (De lo contrario, espera hasta que hayas recuperado tus archivos.) Puede que tengas que reiniciar en modo seguro presionando el botón de poder y la llave S en el teclado al mismo tiempo.

Quitar el ransomware no va a descifrar sus archivos, y puede matar sus posibilidades de recuperar los archivos pagando el rescate. Pero le permitirá llevar a cabo todos los siguientes pasos sin el riesgo de que el ransomware va nuevos archivos o trate de frustrar el proceso de recuperación.

4. A ver si puedes recuperar archivos borrados. Muchas formas de cifrar ransomware copia tus archivos, cifrar las copias y luego borra los originales. Afortunadamente, a menudo se puede recuperar archivos borrados fácilmente con herramientas como la ShadowExplorer gratuita o la descarga de recuperación de datos pagada.

5. Figura exactamente cuál es la cepa de cifrar ransomware con la que estás tratando. Si el ransomware no anuncia su propio nombre, entonces prueba la herramienta en línea de Crypto Sheriff (https://www.nomoreransom.org/crypto-sheriff.php) o la herramienta de identificación en línea (https://id-ransomware.malwarehunterteam.com/). Ambos te permiten subir archivos cifrados y luego te dicen si el cifrado puede ser invertido. (En muchos casos, no puede ser. )

6. A ver si hay herramientas de descifrado disponibles. Si ya sabes el nombre de la cepa ransomware, crucero a la lista de herramientas de descifrado en el sitio web de 𝐍𝐨 más Ransom (https://www.nomoreransom.org/) y ver si hay un decryptor a juego. (Las dos mejores entradas en la lista, Rakhni y Rannoh, pueden descifrar múltiples cepas.) La lista no es alfabético, y se añaden nuevos decryptors al fondo de la lista.

Si no ves lo que necesitas, prueba algunos otros sitios web que agregan ransomware decryptors:

https://fightransomware.com/ransomware-resources/breaking-free-list-ransomware-decryption-tools-keys
https://heimdalsecurity.com/blog/ransomware-decryption-tools

También podría probar las páginas de decryptor individuales de las empresas antivirus para las herramientas nuevas que aún no han emigrado a las páginas agregadas:

Avast: https://www.avast.com/ransomware-decryption-tools

Avg: http://www.avg.com/us-en/ransomware-decryption-tools

Bitdefender: https://www.bitdefender.com/free-virus-removal

squared: https://decrypter.emsisoft.com

Laboratorio de laboratorio: https://noransom.kaspersky.com

McAfee:

https://www.mcafee.com/us/downloads/free-tools/shadedecrypt.aspx
https://www.mcafee.com/us/downloads/free-tools/tesladecrypt.aspx
https://www.mcafee.com/us/downloads/free-tools/wildfiredecrypt.aspx

Tendencia micro: https://success.trendmicro.com/solution/1114221-downloading-and-using-the-trend-micro-ransomware-file-decryptor

7. Restaurar sus archivos de una copia de seguridad. Si usted regularmente de vuelta a la máquina afectada, usted debe ser capaz de restaurar los archivos de la copia de seguridad.

Sin embargo, usted va a querer asegurarse de que los archivos de respaldo no estaban cifrados también. Plug una unidad de respaldo en otra máquina, o iniciar sesión en un servicio de respaldo en línea, para comprobar el estado de los archivos. (También debe asegurarse de que tiene los medios de instalación y / o las claves de licencia para todas las aplicaciones de terceros. )

Si todo es bueno, usted va a querer limpiar completamente la unidad, hacer una instalación limpia del sistema operativo y luego restaurar los archivos de la copia de seguridad.

También podrías restaurar los archivos de la unidad de respaldo sin limpiar y reinstalar el OS. Esto podría parecer menos problemas, pero no es una buena idea – usted podría dejar algún rastro de la ransomware en la máquina, incluso después de realizar un escaneo antivirus completo.

Si estos métodos no funcionan, tendrás que hacer una elección: pagar el rescate, o dejar los archivos.

8. Si vas a pagar el rescate, negocia primero. Muchas notas de ransomware tienen instrucciones sobre cómo ponerse en contacto con los criminales que corren el malware. Si es así, contacta con ellos y regatear por un rescate menor. Funciona más a menudo de lo que crees.

Una vez que estás de acuerdo en un precio de set, sigue las instrucciones para pagar. No hay ninguna garantía de que sus archivos serán liberados, pero los criminales más sofisticados de ransomware suelen hacer en vivo a su palabra.

9. Dale en los archivos y reinstalar el sistema operativo. Si prefieres simplemente cortar cebo, entonces deberías hacer una limpieza completa y reinstalación del sistema operativo. Windows 10 te permite “reset de fábrica” muchos dispositivos, pero con otros sistemas operativos, tendrás que usar discos de instalación o palos USB.

10. Archivo un informe policial. Esto suena sin sentido, pero es un paso legal necesario si quieres presentar una reclamación de seguro o una demanda relacionada con tu infección. También ayudará a las autoridades a mantener el seguimiento de las tasas de infección y propagación.

>> Cómo manejar la pantalla de bloqueo de pantalla
El bloqueo de pantalla no es tan frecuente como lo fue hace unos años, pero todavía se cosecha de vez en cuando. Sigue estos pasos para quitar.

1. Desconecta tu máquina de cualquier otro, y de cualquier disco externo. Si estás en una red, ve fuera de línea. No quieres que los ransomware se difundan a otros dispositivos en tu red local.

2. Utilice un smartphone o una cámara para tomar una fotografía de la nota de rescate presentada en su pantalla. Si puedes tomar una captura de pantalla, también lo haces. Vas a querer presentar un informe de la policía más tarde, después de pasar por todos estos pasos.

3. Reboot tu ordenador en modo seguro presionando el botón de poder y la llave S en el teclado al mismo tiempo. Cuando el ordenador se reinicia, corre software antivirus para eliminar el ransomware.

4. Prueba el sistema de restauración si el modo seguro no funciona. La mayoría de las máquinas de Windows te permiten rodar el estado de la computadora hasta el último buen estado conocido.

En Windows 7, reinicia tu PC mientras escuchas la clave de F8 para llegar al menú de Opciones de Bota Avanzada. Elige reparar tu computadora, entra en contacto con tu contraseña, y selecciona el sistema de restauración.

En Windows 8, 8.1 o 10, reinicia tu PC mientras aguantando la clave de cambio para llegar a la pantalla de recuperación. Selecciona Solucionar, luego opciones avanzadas, luego restaura el sistema.

Si no puedes llegar a las pantallas de recuperación, pero tienes el disco de instalación o el palo USB para esa versión de Windows, reinicio de eso y selecciona Repara Tu Computadora en lugar de instalar el sistema operativo.

5. Ejecutar software antivirus una vez más para limpiar su sistema.

6. Archivo un informe policial. Esto suena sin sentido, pero es un paso legal necesario si quieres presentar una reclamación de seguro o una demanda relacionada con tu infección. También ayudará a las autoridades a mantener el seguimiento de las tasas de infección y propagación.

* de Paul Wagenseil – editor senior, seguridad y privacidad en la guía de Tom

También recomendamos seguir los siguientes pasos, que tuvieron éxitos en algunos casos:


Para descargar el decrypter_2.exe, click aqui. Es seguro, como se muestra en el post : virustotal report.

1. Realice un back up de todos los archivos encriptados a una unidad externa antes de desencriptar.

2. descargue decrypter_2.exe
3. Ejecute decrypter_2.exe

4. Copie y pegue el código y campos para su variante.
Necesita copiar y pegar su código privado comenzando con —–BEGIN PRIVATE KEY—– y luego —–END PRIVATE KEY—–

Abajo encontrarás las :

OFFLINE KEY para .seto.

OFFLINE KEY para .gero.

OFFLINE KEY para .hese.

OFFLINE KEY para .kvag.

OFFLINE KEY para .meds.

OFFLINE KEY para .moka.

OFFLINE KEY para .peta.

OFFLINE KEY para .nesa.

5. Seleccione el botón Desencriptar archivo (Decrypt file) para hacer una prueba con un archivo antes de seleccionar Desencriptar carpeta o Comenzar (Decrypt Folder o Start.)

Desencriptará su STOP data criptados con la offline key.

Muchas victimas tienen archivos encriptados con códigos online y offline keys así que puede que no desencripte todos los archivos.

Por Emmanuel emte@adc-soft.com

Attached Files

Funte primer texto: Virus Info

Fuente segundo texto: Foro bleeping Computer

Virus , , , , , , , , , , , , , , , ,
About novati