Virus CryptoDefense
Escrito por Tomas Meskauskas el (actualizado)
Instrucciones para eliminar el virus CryptoDefense
CryptoDefense es un virus tipo ransomware (bloqueador de sistemas) que se infiltra en el sistema operativo del usuario a través de un mensaje de email infectado o una descarga fraudulenta, por ejemplo supuestos reproductores de vídeo o actualizaciones de flash. Tras entrar en el sistema con éxito, este programa malicioso encripta los archivos almacenados en el PC del usuario (*.doc, *.docx, *.xls, *.ppt, *.psd, *.pdf, *.eps, *.ai, *.cdr, *.jpg, etc.) y exige el pago de un rescate de 500 dólares (en Bitcoins) para desencriptar los archivos. Los ciberdelincuentes responsables de lanzar este fraudulento programa se aseguraron de que se ejecuta en todas las versiones de Windows (Windows XP, Windows Vista, Windows 7 y Windows 8). El virus ransomware crea archivos con URL: How_Decrypt.txt, How_Decrypt.html y How_Decrypt.url en todas las carpetas donde haya archivos encriptados.
Esos archivos incluyen instrucciones para que los usuarios puedan desencriptar los archivos, entre ellas, la utilización del navegador Tor (navegador web anónimo). Los ciberdelincuentes ocultan su identidad tras el navegador Tor. Los usuarios deben ser conscientes de que, aunque no es complicado eliminar la infección, la desencriptación de los archivos afectados (encriptados con el sistema criptográfico RSA 2048) por este programa malicioso no es posible si no se abona la suma del rescate. En la fecha de nuestro análisis, no se encontraron herramientas o soluciones capaces de desencriptar los archivos encriptados por CryptoDefense. Tenga en cuenta que la clave privada que puede usarse para desencriptar los archivos se encuentra en los servidores de mando y control propiedad de CryptoDefense que son gestionados por los ciberdelincuentes. La solución ideal sería eliminar este virus ransomware y luego restaurar los archivos a partir de una copia de seguridad.
Captura de pantalla del mensaje que se muestra en los archivos How_Decrypt.txt, How_Decrypt.html y How_Decrypt.url:
Las infecciones con bloqueadores de sistema como CryptoDefense (por ejemplo, CryptorBit y Cryptolocker) deberían ser motivo suficiente para tener siempre copias de seguridad de todos los archivos guardados en el equipo. Tenga en cuenta que el hecho de pagar la suma del rescate exigida por este ransomware equivale a enviar un pago (su dinero) a ciberdelincuentes; estaría apoyando el modelo de negocio fraudulento y además no tiene garantías de que los archivos se desencriptarán en algún momento. Para evitar que nuestros sistemas se infecten con un virus ransomware, debemos tener especial cuidado a la hora de abrir mensajes de email. Los ciberdelincuentes usan varios títulos atrayentes para engañar a los usuarios y que así abran los adjuntos infectados, por ejemplo "Imagen escaneada de un Xerox WorkCentre". Según investigaciones recientes, los ciberdelincuentes también utilizan redes P2P y descargas fraudulentas con este virus empaquetado para propagar CryptoDefense.
Mensaje mostrado en los archivos con URL How_Decrypt.txt, How_Decrypt.html y How_Decrypt:
El programa CryptoDefense ha encriptado todos los archivos, incluyendo vídeos, fotos y documentos del sistema. La encriptación fue generada usando una clave única pública RSA-2048 especialmente para este PC. Para desencriptar los archivos, tendrá que conseguir una clave privada. La única copia de la clave privada, que le permitirá desencriptar los archivos, se ubica en un servidor secreto en internet; el servidor destruirá la clave en el plazo de un mes. Después, nadie podrá recuperar los archivos jamás. Para desencriptar los archivos, diríjase a a su página personal en el sitio hxxps://rj2bocejarqnpuhm.browsetor.com/UOs y siga las instrucciones.
Si no se carga la web hxxps://rj2bocejarqnpuhm.browsetor.com/UOs, siga los pasos a continuación:
1. Debe descargar e instalar este navegador hxxp://www.torproject.org/projects/torbrowser.html.en
2. Después de instalarlo, abra el navegador e introduzca esta dirección: rj2bocejarqnpuhm.onion/UOs
3. Siga las instrucciones del sitio web. Le recordamos que cuanto antes pague, más posibilidades tiene de recuperar los archivos.
Captura de pantalla de un mensaje de email infectado que se usa en la distribución de CryptoDefense:
Texto que se muestra en los mensajes de correo electrónico infectados:
De: Incoming Fax
Asunto: Scanned Image from a Xerox WorkCentrePlease open the attached document. It was scanned and sent to you using Xerox WorkCentre Pro.
Number of Images:3
Attachment File Type: ZIP [PDF]WorkCentre Pro Location: Machine location not set
Device Name: IZ38F56PS2Attached files is scanned image in PDF format.
Captura de pantalla de la página de pago para el rescate:
Mensaje que se muestra en la página de pago del rescate:
Sus archivos han sido encriptados. Para conseguir la clave que desencripta los archivos, tiene que pagar 500 USD/EUR. Si no se realiza el pago antes de [fecha - hora], la suma para desencriptar los archivos se duplicará hasta los 1000 USD/EUR. Le facilitaremos un programa especial, CryptoDefense Decrypter, para desencriptar y devolverle el control de todos sus archivos encriptados. ¿Cómo comprar CryptoDefense decrypter?
1. Debe registrarse en Bitcoin Wallet.
2. Compre Bitcoins: Aunque no es tan fácil comprar bitcoins, cada día se simplifica aún más.
3. Envía 1,09 BTC a la dirección de Bitcoin: 1EmLLj8peW292zR2VvumYPPa9wLcK4CPK1
4. Introduzca el ID de transacción y seleccione el importe.
5. Por favor, verifique la información del pago y haga clic en "PAGAR".
Tenga en cuenta que en la fecha de publicación del artículo todavía no había ninguna herramienta conocida que pudiera desencriptar los archivos encriptados por CryptoDefense sin pagar el rescate. Con esta guía, podrá eliminar este virus ransomware de su sistema, aunque los archivos afectados seguirán encriptados. Actualizaremos el artículo en cuanto haya más información sobre la desencriptación de los archivos infectados.
Eliminar el virus CryptoDefense:
Paso 1
Usuarios de Windows XP y Windows 7 users: Durante el proceso de arranque de su ordenador, pulse la tecla F8 en su teclado varias veces hasta que aparezca el menú de Opciones avanzadas de Windows, luego seleccione Modo seguro con funciones de red de la lista y pulse ENTER.
Este vídeo muestra cómo iniciar Windows 7 en "Modo seguro con funciones de red":
Usuarios de Windows 8: Diríjase a la pantalla de inicio de Windows 8, escriba Avanzado, en los resultados de búsqueda, seleccione Configuración. Haga clic en las opciones de inicio avanzadas; tras abrir la ventana de "Configuración general del PC", seleccione "Arranque avanzado". Haga clic en el botón de "Reiniciar ahora". Su PC se reiniciará ahora con el "Menú de opciones de arranque avanzadas". Haga clic en el botón de "Solucionar", luego haga clic en el botón de "Opciones avanzadas". En la pantalla de opciones avanzadas, haga clic en "Configuración de arranque". Haga clic en el botón "Reiniciar". Su PC se reiniciará con la pantalla de Configuración de arranque. Pulse "5" para arrancar en Modo seguro con símbolo de sistema.
Este vídeo muestra cómo iniciar Windows 8 en "Modo seguro con funciones de red":
Paso 2
Inicie sesión con la cuenta que está infectada con el virus CryptoDefense. Abra su navegador web y descargue un programa legítimo anti-spyware. Actualice el software antiespía e inicie un análisis de sistema completo. Elimine todas las entradas que detecte.
Si no puede arrancar su equipo en modo seguro con funciones de red, pruebe con una restauración del sistema.
Este vídeo muestra cómo eliminar el virus ransomware usando "Modo seguro con funciones de red" y "Restaurar sistema":
1. Inicie su sistema en modo seguro con símbolo de sistema - Durante el proceso de arranque de su ordenador, pulse la tecla F8 en su teclado varias veces hasta que aparezca el menú de Opciones avanzadas de Windows, luego seleccione Modo seguro con funciones de red de la lista y pulse ENTER..
2. Cuando el símbolo del sistema se cargue, introduzca la siguiente línea: cd restore y pulse ENTER.
3. Luego teclee esta línea: rstrui.exe y pulse ENTER.
4. en la ventana abierta, haga clic en "Siguiente".
5. Seleccione uno de los puntos de restauración disponibles y haga clic en "Siguiente" (se restaurará el sistema de su equipo en una fecha anterior, antes de que el ransomware CryptoDefense se colara en su PC).
6. En la ventana abierta, haga clic en "Sí".
7. Después de restaurar su sistema a un punto anterior, descargue y analice su PC con un software de seguridad antimalware recomendado para eliminar los remanentes del virus CryptoDefense.
Para restaurar individualmente cada archivo encriptado por este virus, los usuarios pueden probar con la función versiones anteriores de archivo. Este método es únicamente eficaz si la función de Restaurar sistema estaba activa en el sistema operativo infectado. Tenga en cuenta que algunas variantes de CryptoDefense eliminan las instantáneas de volumen de los ficheros, por lo que puede que este método no funcione en algunos ordenadores.
Para restaurar un archivo, haga clic con el botón derecho del ratón sobre el archivo, seleccione Propiedades y haga clic en la pestaña Versiones anteriores. Si el archivo en cuestión tiene su punto de restauración creado, selecciónelo y haga clic en el botón "Restaurar".
Si no puede iniciar su sistema en modo seguro con funciones de red (o con símbolo de sistema), debería iniciar su ordenador usando un disco de rescate. Algunos tipos de ransomware deshabilitan el modo seguro, por lo que la desinfección es más compleja. Para este paso, necesitará acceder a otro ordenador.
Otras herramientas conocidas para eliminar el virus CryptoDefense:
Fuente: https://www.pcrisk.com/removal-guides/7733-cryptodefense-virus
¡Excelente!
▼ Mostrar discusión.