Virus "Pirated software has been detected"

Conocido también como: Ransomware VirLocker
Propagación: Baja
Nivel de peligrosidad: Alta

Instrucciones de eliminación del ransomware "Pirated software has been detected"

¿Qué es el mensaje "This computer was automatically blocked. Reason: Pirated software has been detected"?

El mensaje "Pirated software has been detected" ("Se ha detectado software pirateado") bloquea los sistemas informáticos que exigen el pago de una multa por supuestamente poseer software pirateado. Se trata de una estafa, un virus ransomware que se infiltra en los sistemas operativos a través de descargas no autorizadas, kits de explotación, archivos adjuntos de correo electrónico infectados y descargas falsas (por ejemplo, reproductores de vídeo fraudulentos o actualizaciones falsas de Flash). Después de una infiltración exitosa, este programa malicioso bloquea la pantalla de la computadora con un mensaje que indica que se detectó contenido pirateado y que el usuario debe pagar una multa de 500 EUR (o 500 CAD) utilizando bitcoins dentro de los tres días para evitar cargos criminales y arresto. Los ciberdelincuentes responsables de crear esta estafa tienen como objetivo engañar a los usuarios de PC haciéndoles creer que han cometido violaciones de la ley y deben pagar la multa como consecuencia. De hecho, ninguna autoridad internacional (incluido el Departamento de Justicia) utiliza mensajes de bloqueo de pantalla para cobrar multas por violaciones de la ley.

Aunque el ransomware "Pirated software has been detected" establece que los archivos de la víctima están encriptados, de hecho, este malware no los encripta. Sin embargo, cambia los archivos de imagen (por ejemplo, archivos .jpg) a archivos ejecutables agregando extensiones .exe a cada nombre de archivo. En el momento de la investigación, no está claro si los ciberdelincuentes pueden revertir estos cambios incluso si la víctima paga el rescate. La buena noticia es que este malware no se inicia en modo seguro con funciones de red ni elimina las instantáneas de los archivos ("shadow copies"). Esto hace que la eliminación y restauración de los archivos sea relativamente simple.

Captura de pantalla del mensaje de ransomware "Pirated software has been detected" dirigido a usuarios de computadoras de la Unión Europea:

Ransomware Operation Global 3

Resumen de la Amenaza:
Nombre Ransomware VirLocker
Tipo de Amenaza Ransomware, Crypto Virus, Files locker
Mensaje Demandate de Rescate Pantalla de bloqueo
Dirección de la Criptobilletera de los Cibercriminales 1NdR8tEKRBoQ1oiyAPhpuks9Uct6XftEdW
Cantidad del Rescate €500, $500, $150, $250 - el tamaño varía según la variante del ransomware.
Nombres de Detección Avast (Win32:VirLock-B [Trj]), BitDefender (Win32.Virlock.Gen.1), ESET-NOD32 (A Variant Of Win32/Virlock.D), Kaspersky (Virus.Win32.PolyRansom.b), Lista Completa de Detecciones (VirusTotal)
Síntomas No se pueden abrir archivos almacenados en su computadora, los archivos previamente funcionales ahora tienen una extensión diferente (por ejemplo, my.docx.locked). Se muestra un mensaje de solicitud de rescate en su escritorio. Los ciberdelincuentes exigen el pago de un rescate (generalmente en bitcoins) para desbloquear sus archivos.
Información Adicional Este ransomware bloquea la pantalla de la computadora y evita que los usuarios accedan al sistema. La pantalla de bloqueo afirma que el usuario está utilizando software pirateado y recibirá una multa si no envía un pago de inmediato.
Métodos de Distribución Archivos adjuntos de correo electrónico infectados (macros), sitios web de torrents, anuncios maliciosos.
Daño Todos los archivos están encriptados y no se pueden abrir sin pagar un rescate. Se pueden instalar troyanos adicionales que roban contraseñas e infecciones de malware junto con una infección de ransomware.
Eliminación

Para eliminar Ransomware VirLocker, nuestros investigadores de software malicioso recomiendan analizar el equipo con Malwarebytes.
▼ Descargar Malwarebytes
Su detector gratuito verifica si su equipo está infectado. Para usar el producto con todas las funciones, debe comprar una licencia para Malwarebytes. 14 días de prueba gratuita limitada disponible.

Otra variante (actualizada) de este virus ransomware llamada "Operation Global 3" - encripta e infecta los archivos de la víctima:

Ransomware Operation Global 3

Si está lidiando con el ransomware "Operation Global 3", puede usar una herramienta de desencriptado de archivos creada por Nathan Scott (también conocido como DecrypterFixer) para desencriptar sus archivos comprometidos. Descargue la herramienta de desencriptado "Operation Global 3" aquí.

Video que muestra cómo usar esta herramienta:

Las infecciones de ransomware como esta presentan un fuerte argumento para mantener copias de seguridad periódicas de sus datos almacenados. Tenga en cuenta que pagar la multa exigida por este ransomware equivale a enviar su dinero a los ciberdelincuentes: apoyará su modelo de negocio malicioso y no hay garantía de que alguna vez recupere sus archivos modificados. Para evitar la infección de la computadora con infecciones de ransomware como "Pirated software has been detected", tenga cuidado al abrir mensajes de correo electrónico, ya que los ciberdelincuentes utilizan varios títulos llamativos para engañar a los usuarios de PC para que abran archivos adjuntos de correo electrónico infectados (por ejemplo, 'Notificación de excepción de UPS'). Mantenga su sistema operativo y todos los programas instalados (Java, Flash, etc.) actualizados y utilice software antivirus y antispyware de buena reputación. La investigación muestra que los ciberdelincuentes también utilizan redes P2P y descargas falsas (que contienen infecciones de ransomware incluidas) para propagar el ransomware "Pirated software has been detected".

Aquí hay una captura de pantalla de otra variante de este ransomware (descubierta el 26 de enero de 2017 por el investigador de seguridad Nathan Scott):

Pagar multa

Si su computadora está infectada con esta variante, puede escribir 0000000000000000000000000000000000000000000000000000000000000000 (64 ceros) en el campo "Transfer ID:" ("ID de transferencia:"). Luego haga clic en "PAY FINE" ("PAGAR MULTA"). Esto desbloqueará su computadora y hacer doble clic en sus archivos infectados (con la extensión .exe) los abrirá en lugar de abrir el mensaje de demanda de rescate.

Captura de pantalla de un mensaje de ransomware "Pirated software has been detected" dirigido a usuarios de computadoras que viven en Canadá:

Ransomware

Mensaje falso presentado por este ransomware (los ciberdelincuentes están explotando el nombre del Departamento de Justicia):

This computer was automatically blocked. Reason: Pirated software has been detected
Wilful copyright infringement is a federal crime that carries penalties of up to five years in federal prison, a $250,000 fine, forfeiture and restitution (17 U.S.C s.506, 18 U.S.C s.2319)
As a first-time offender you are required by law to pay a fine of 500 EUR (or 500 CAD) If the fine is not paid within three days, a warrant will be issued for your arrest, which will be forwarded to your local authorities. You will be charged, fined, convicted for up to 5 years. How to pay a fine? There are two ways to pay a fine: 1. You can pay the fine online through BitCoin. BitCoin is available nationwide. Click the tabs below to find the nearest vendor. You computer will be unblocked after the payment is made. 2. (Offline Option) You can come to your local courthouse and pay the fine at the ‘Cashiers’ window. A special restoration software will be sent to you by mail within a week after payment is made. To regain access now you must make a bitcoin transfer to the Department of Justice address. Note: Files on this computer have been temporarily encrypted. Files will be permanently lost if the fine is not paid or an attempt to remove this message is detected. Operation Stop Online Piracy-Project Global 3 is a coordinated effort by U.S., Canadian, European, Australian, U.K., New Zealand and other law enforcement agencies across the globe targeting computers with pirated content.

Otra variante del ransomware "Pirated software has been detected":

ransomware

Texto presentado en esta pantalla de bloqueo:

Unauthorized or pirated software has been detected. System has been blocked under the authority of 17 U.S.C s.506

Willful copyright infringement is a federal crime that carries penalties of up to five years in federal prison, a $250,000 fine, forfeiture and restitution (17 U.S.C s.506, 18 U.S.C s.2319)

As a first-time offender you are required by law to pay a fine of 500 USD
If the fine is not paid within three days, a warrant will be issued for your arrest, which will be forwarded to your local authorities. You will be charged, fined, convicted for up to 5 years.

There are two ways to pay a fine:
1. You can pay the fine online through BitCoin. BitCoin is available nationwide.
Click the tabs below to find the nearest exchange or an ATM. Your computer will be unlocked after you make your payment.
2. (Offline Option) You can come to your local courthouse and pay the fine at the 'Cashiers' window.
You will need your personal identification documents and computer ID. You must appear in person.
Your computer will be unlocked within 4-5 working days.
To regain access now transfer BitCoins to the following address (click to copy):
1NdR8tEKRBoQ1oiyAPhpuks9Uct6XftEdW
After the payment is finalized enter Transfer ID below.
Online fine payments are processed by Chase Paymentech.
Amount Transfer ID:
BTC 1.779
PAY FINE
Note: Hard drive contents, network files on this computer have been encrypted and will be inaccessible until the fine is paid.
Any attempt to remove this message will damage your files, hardware and Windows installation.
View encrypted files
Payment BitCoin Information BitCoin Exchanges BitCoin ATM Internet Browser Notepad
Operation Global III Is a coordinated effort by U.S., Canadian, European, Australian, New Zealand and other law enforcement agencies across the globe targeting computers with pirated content.

Apariencia de esta pantalla de bloqueo (GIF):

ransomware

Otra variante más de la estafa emergente "Pirated software has been detected":

ransomware

Texto presentado:

This computer contains pirated software and has been blocked by ICE-Homeland Security Investigations.

Willful copyright infringement is a federal crime that carries penalties of up to five years in federal prison, a $250,000 fine, forfeiture and restition (17 U.S.C s.506, 18 U.S.C s.2319)

As a first-time offender you are required by law to pay a fine of 500 USD
If the fine is not paid within three days, a warrant will be issued for your arrest,
which will be forwarded to your local authorities. You will be charged, fined, convicted for up to 5 years.
How to pay a fine? There are two ways to pay a fine:
1.You can pay the fine online through BitCoin. BitCoin is available nationwide.
Click the tabs below to find the nearest vendor. Your computer will be unlocked after the payment is made.
2.(Offline Option) You can come to your local courthouse and pay the fine at the 'Cashiers' window.
A special restoration software will be sent to you by mail within a week after the payment is made.
To regain access now transfer BitCoins to the following address (click to copy):
1NdR8tEKRBoQ1oiyAPhpuks9Uct6XftEdW
After the payment is finalized enter Transfer ID below.
Amount Transfer ID:
BTC 1.773 [PAY FINE]

Note: All files on this computer have been encrypted with a strong symmetric algorithm and a 4096-bit key. Files will be inaccessible until the fine is paid.
Attempt to remove this message will result in irreversible damage to your files, hardware and Windows installation. View encrypted files
Payment BitCoin Information BitCoin Exchanges BitCoin ATMs Internet Browser Notepad
Project Global 3 is a coordinated effort by U.S., Canadian, European, Australian, New Zealand and other law enforcement agencies across the globe targeting computers with pirated content and their operators.

Eliminación del ransomware "Pirated software has been detected":

Eliminar automáticamente de forma instantánea Ransomware VirLocker: Eliminar las amenazas de forma manual puede acabar siendo un proceso largo y tedioso que precisa de conocimientos informáticos avanzados. Malwarebytes es una herramienta profesional para eliminar software malicioso de forma automática y está recomendada para acabar con Ransomware VirLocker. La descarga se iniciará al hacer clic en el siguiente botón:
▼ DESCARGAR Malwarebytes Su detector gratuito verifica si su equipo está infectado. Para usar el producto con todas las funciones, debe comprar una licencia para Malwarebytes. 14 días de prueba gratuita limitada disponible. Si decide descargar este programa, quiere decir que usted está conforme con nuestra Política de privacidad y Condiciones de uso.

Menú rápido:

Paso 1

Usuarios de Windows XP y Windows 7:

Inicie su computadora en modo seguro. Haga clic en Inicio, haga clic en Apagar, haga clic en Reiniciar, haga clic en Aceptar. Durante el proceso de inicio de su computadora, presione la tecla F8 en su teclado varias veces hasta que vea el menú de Opciones avanzadas de Windows, luego seleccione Modo seguro con funciones de red de la lista.

Modo seguro con funciones de red

Video que muestra cómo iniciar Windows 7 en "Modo seguro con redes":

Video que muestra cómo iniciar Windows XP en "Modo seguro con funciones de red":

Usuarios de Windows 8:

Usuarios de Windows 8: Vaya a la pantalla de inicio de Windows 8, escriba Avanzado, en los resultados de búsqueda seleccione Configuración. Haga clic en Opciones de inicio avanzadas, en la ventana abierta "Configuración general de PC" seleccione Inicio avanzado. Haga clic en el botón "Reiniciar ahora". Su computadora ahora se reiniciará en el "Menú de opciones de inicio avanzado". Haga clic en el botón "Solucionar problemas", luego haga clic en el botón "Opciones avanzadas". En la pantalla de opciones avanzadas, haga clic en "Configuración de inicio". Haga clic en el botón "Reiniciar". Su PC se reiniciará en la pantalla Configuración de inicio. Presione "5" para arrancar en modo seguro con funciones de red.

Modo seguro de Windows 8 con redes

Video que muestra cómo iniciar Windows 8 en "Modo seguro con funciones de red":

Paso 2

Inicie sesión con la cuenta infectada con ransomware "Pirated software has been detected". Inicie su navegador de Internet y descargue un programa anti-spyware legítimo. Actualice el software anti-spyware e inicie un análisis completo del sistema. Elimina todas las entradas detectadas.


Si no puede iniciar su computadora en "Modo seguro con funciones de red", intente realizar una Restauración del sistema.

Video que muestra cómo eliminar el virus ransomware usando "Modo seguro con símbolo del sistema" y "Restaurar Sistema":

1. Durante el proceso de inicio de su computadora, presione la tecla F8 en su teclado varias veces hasta que aparezca el menú Opciones avanzadas de Windows, seleccione Modo seguro con símbolo del sistema de la lista y presione ENTER.

Inicie su computadora en modo seguro con la línea de comandos

2. Cuando se cargue el modo de símbolo del sistema, ingrese la siguiente línea: cd restore y presione ENTER.

Restauración del sistema usando la línea de comandos, escriba cd restore

3. A continuación, escriba este comando: rstrui.exe y presione ENTER.

Restauración del sistema usando la línea de comandos, rstrui.exe

4. En la ventana abierta, haga clic en "Siguiente".

Restaurar archivos y configuraciones del sistema

5. Seleccione uno de los Puntos de restauración disponibles y haga clic en "Siguiente" (esto restaurará su sistema informático a una fecha y hora anteriores, antes de que el virus ransomware "Pirated software has been detected" se infiltrara en su PC).

Seleccionar un punto de restauración

6. En la ventana abierta, haga clic en "Sí".

Ejecutar restauración del sistema

7. Después de restaurar su computadora a una fecha anterior, descargue y analice su PC con un software de eliminación de malware recomendado para eliminar los archivos "Pirated software has been detected" restantes.

Para restaurar archivos individuales modificados por este ransomware, intente utilizar la función Versiones anteriores de Windows. Este método solo es efectivo si la función Restaurar sistema se habilitó en un sistema operativo infectado.

Para restaurar un archivo, haga clic con el botón derecho en él, vaya a Propiedades y seleccione la pestaña Versiones anteriores. Si el archivo relevante tiene un punto de restauración, selecciónelo y haga clic en el botón "Restaurar".

Restaurar archivos encriptados por CryptoDefense

Para recuperar el control de los archivos modificados por el ransomware "Pirated software has been detected", también puede intentar usar un programa llamado Shadow Explorer. Más información sobre cómo utilizar este programa está disponible aquí.

Captura de pantalla de Shadow Explorer

Para proteger su computadora contra encriptados/modificación de archivos por ransomware como este, utilice programas antivirus y anti-spyware de buena reputación.

Captura de pantalla de Cryptoprevent

Más información sobre cómo utilizar este programa disponible aquí.

Otras herramientas conocidas para eliminar el ransomware "Pirated software has been detected":

Fuente: https://www.pcrisk.com/removal-guides/8460-pirated-software-has-been-detected-virus

Haga clic acá para publicar un comentario.

Acerca del autor:

Tomas Meskauskas

Me apasiona todo lo relacionado con seguridad informática y tecnología. Me avala una experiencia de más de 10 años trabajando para varias empresas de reparación de problemas técnicos y seguridad on-line. Como editor y autor de PCrisk, llevo trabajando desde 2010. Sígueme en Twitter y LinkedIn para no perderte nada sobre las últimas amenazas de seguridad en internet. Leer más sobre el autor.

El portal de seguridad PCrisk ha sido creado conjuntamente por varios investigadores de seguridad con el propósito de formar e informar a los usuarios sobre las últimas amenazas detectadas en internet. Podrá leer más información sobre los autores e investigadores que trabajan en PCrisk en nuestra página de Contacto.

Nuestras guías de desinfección de software malicioso son gratuitas. No obstante, si desea colaborar, puede realizar una donación.

Guías de desinfección en otros idiomas
Código QR
Ransomware VirLocker Código QR
Un código QR (código de respuesta rápida) es un código que puede ser escaneado usando dispositivos y que almacena direcciones web y otra información. Este código puede ser escaneado usando una cámara en un smartphone o tablet. Escanee este código QR para acceder fácilmente a la guía de desinfección de Ransomware VirLocker desde su dispositivo móvil.
Nuestra recomendación:

Despídase ya de Ransomware VirLocker:

▼ ELIMINAR AHORA con Malwarebytes

Plataforma: Windows

Valoración de Malwarebytes por parte del editor:
¡Excelente!

[Volver al principio]

Su detector gratuito verifica si su equipo está infectado. Para usar el producto con todas las funciones, debe comprar una licencia para Malwarebytes. 14 días de prueba gratuita limitada disponible.