FacebookTwitterLinkedIn

Virus ransomware Rocklee (.rocklee) - opciones de eliminación y descifrado

Conocido también como: Virus "Rocklee"
Tipo: Ransomware
Nivel de peligrosidad: Extremo

Tomas Meskauskas Escrito por el

¿Qué tipo de malware es Rocklee?

Mientras analizábamos muestras de malware subidas a VirusTotal, descubrimos una variante de ransomware de la familia Makop denominada Rocklee. Este ransomware cifra los datos, cambia los nombres de todos los archivos cifrados y coloca una nota de rescate ("+README-WARNING+.txt").

Rocklee añade el ID de la víctima, la dirección de correo electrónico del atacante y la extensión ".rocklee" a los nombres de los archivos. Por ejemplo, sustituye "1.jpg" por "1.jpg.[2AF20FA3].[cyberrestore2024@onionmail.org].rocklee", "2.png" por "2.png.[2AF20FA3].[cyberrestore2024@onionmail.org].rocklee", etc.

Captura de pantalla de los archivos cifrados por este ransomware:

Archivos cifrados por el ransomware Rocklee (extensión .rocklee)

Resumen de la nota de rescate de Rocklee

La nota explica que los archivos de la víctima han sido encriptados sin dañar su estructura. Indica que la víctima debe pagar a los autores para recuperar los archivos. Hay una sección sobre garantías, en la que se afirma que a los autores sólo les preocupan sus beneficios y no tienen en cuenta la situación de la víctima.

Los delincuentes ofrecen un método para probar su capacidad de desencriptar archivos enviando dos archivos pequeños con extensiones sencillas. Se proporciona información de contacto, ofreciendo una dirección de correo electrónico (cyberrestore2024@onionmail.org), un TOX ID y un enlace para descargar el cliente TOX para la comunicación.

Se explica el proceso de descifrado tras el pago, prometiendo proporcionar un programa escáner-decodificador e instrucciones detalladas para su uso. Por último, la nota aborda la posible resistencia, advirtiendo de que no cooperar supondrá perder tiempo y datos, ya que sólo los autores poseen la clave privada necesaria para el descifrado.

Una nota de advertencia hace hincapié en no intentar alterar los archivos cifrados sin arriesgarse a sufrir más daños.

Más detalles sobre el ransomware

Se desaconseja encarecidamente pagar un rescate debido al riesgo que conlleva. No hay garantías de que los atacantes cumplan sus promesas de restaurar los archivos tras el pago. En su lugar, se insta a las víctimas a utilizar cualquier copia de seguridad disponible o explorar opciones alternativas, como buscar herramientas de descifrado de terceros en línea.

Además, es imperativo eliminar rápidamente el ransomware de los sistemas comprometidos para mitigar la posibilidad de mayores daños, incluyendo el cifrado de archivos adicionales.

El ransomware en general

El ransomware cifra archivos o restringe el acceso a los sistemas informáticos, coaccionando a las víctimas para que paguen un rescate por su liberación. Su difusión se produce a través de diversos canales. Normalmente, se extorsiona a las víctimas para que paguen un rescate, a menudo en criptomoneda, para recuperar sus datos o el acceso al sistema. Variantes como ZENEX, Water y Lkfr ilustran la diversidad de variantes de ransomware.

Las medidas preventivas incluyen el mantenimiento de software actualizado, el despliegue de software antivirus y la concienciación sobre las tácticas de phishing. Además, los sistemas de copia de seguridad robustos desempeñan un papel fundamental para facilitar la recuperación en caso de ataque.

¿Cómo infectó el ransomware mi ordenador?

El ransomware puede infiltrarse en los ordenadores por múltiples vías, a menudo aprovechándose de las acciones inconscientes de los usuarios. Una táctica frecuente consiste en enviar correos electrónicos engañosos con archivos adjuntos o enlaces maliciosos. Al abrirlos, el ransomware puede ejecutarse en los sistemas.

Otro método son los kits de explotación, que aprovechan las vulnerabilidades del software o del sistema operativo. Los atacantes aprovechan estas debilidades para introducir subrepticiamente el ransomware.

Además, el ransomware puede propagarse a través de anuncios maliciosos, software pirata, herramientas de cracking, descargas de fuentes no fiables como redes P2P y descargadores de terceros, unidades USB infectadas y sitios web comprometidos. Cada uno de estos vectores supone un riesgo de infección por ransomware para los usuarios desprevenidos.

Resumen de la amenaza:
Nombre Virus "Rocklee"
Tipo de amenaza Ransomware, criptovirus, bloqueador de archivos
Extensión de archivos cifrados .Rocklee
Mensaje de petición de rescate +README-WARNING+.txt
¿Desencriptador gratuito disponible? No
Contacto del ciberdelincuente cyberrestore2024@onionmail.org, intelrestore@onionmail.com, intelrestore2022@onionmail.org, Tox chat
Nombres de detección Avast (Win32:Evo-gen [Trj]), Combo Cleaner (Gen:Variant.Ransom.Makop.149), ESET-NOD32 (Una variante de Win32/Filecoder.Phobos.E), Kaspersky (HEUR:Trojan-Ransom.Win32.Generic), Microsoft (Ransom:Win32/Phobos.PB!MTB), Lista completa de detecciones (VirusTotal)
Síntomas No se pueden abrir los archivos almacenados en el ordenador, los archivos que antes funcionaban ahora tienen una extensión diferente (por ejemplo, mi.docx.bloqueado). Aparece un mensaje de petición de rescate en el escritorio. Los ciberdelincuentes exigen el pago de un rescate (normalmente en Bitcoin) para desbloquear sus archivos.
Información adicional Rocklee forma parte de la familia Makop
Métodos de distribución Adjuntos de correo electrónico infectados (macros), sitios web de torrents, anuncios maliciosos.
Daños Todos los archivos quedan encriptados y no pueden abrirse sin pagar un rescate. Junto con una infección de ransomware pueden instalarse troyanos que roban contraseñas e infecciones de malware adicionales.
Eliminación de Malware

Para eliminar posibles infecciones de malware, escanee su computadora con un software antivirus legítimo. Nuestros investigadores de seguridad recomiendan usar Combo Cleaner.
▼ Descargue Combo Cleaner para Windows
El detector gratuito verifica si su equipo está infectado. Para usar el producto con todas las funciones, debe comprar una licencia para Combo Cleaner. 7 días de prueba gratuita limitada disponible. Combo Cleaner es propiedad y está operado por Rcs Lt, la empresa matriz de PCRisk. Leer más.

¿Cómo protegerse de las infecciones de ransomware?

Actualice regularmente su software y sistema operativo para parchear vulnerabilidades conocidas, reduciendo así la probabilidad de explotación por parte del ransomware. Utilice software antivirus y antimalware de confianza para detectar y neutralizar las amenazas de ransomware antes de que puedan comprometer su sistema. Sea prudente al hacer clic en enlaces o descargar archivos adjuntos de correos electrónicos y sitios web desconocidos o sospechosos.

Absténgase de visitar sitios web potencialmente peligrosos, especialmente los que ofrecen software pirata o contenidos ilícitos. Sea escéptico ante los anuncios y ventanas emergentes de páginas web dudosas, ya que pueden ser vectores de infiltración de ransomware.

Si su ordenador ya está infectado con Rocklee, le recomendamos que ejecute un análisis con Combo Cleaner para eliminar automáticamente este ransomware.

Archivo de texto del ransomware Rocklee, "+README-WARNING+.txt" (GIF):

Archivo de texto del ransomware Rocklee (+README-WARNING+.txt)

Texto de la nota de rescate:

::: Greetings :::

Little FAQ:

.1.
Q: Whats Happen?
A: Your files have been encrypted. The file structure was not damaged, we did everything possible so that this could not happen.

.2.
Q: How to recover files?
A: If you wish to decrypt your files you will need to pay us.

.3.
Q: What about guarantees?
A: Its just a business. We absolutely do not care about you and your deals, except getting benefits. If we do not do our work and liabilities - nobody will cooperate with us. Its not in our interests.
To check the ability of returning files, you can send to us any 2 files with SIMPLE extensions(jpg,xls,doc, etc... not databases!) and low sizes(max 1 mb), we will decrypt them and send back to you. That is our guarantee.

.4.
Q: How to contact with you?
A: You can write us to our mailbox: cyberrestore2024@onionmail.org
Or you can contact us via TOX: 2045F43C36CF86051CC7129C1FF74E84BCDC7A527C059676E546F58A1D8DF94B3C47F17F2E54
You can download TOX client here: hxxps://qtox.github.io/

.5.
Q: How will the decryption process proceed after payment?
A: After payment we will send to you our scanner-decoder program and detailed instructions for use. With this program you will be able to decrypt all your encrypted files.

.6.
Q: If I don t want to pay bad people like you?
A: If you will not cooperate with our service - for us, its does not matter. But you will lose your time and data, cause only we have the private key. In practice - time is much more valuable than money.

:::BEWARE:::
DON'T try to change encrypted files by yourself!
If you will try to use any third party software for restoring your data or antivirus solutions - please make a backup for all encrypted files!
Any changes in encrypted files may entail damage of the private key and, as result, the loss all data.

Eliminación del ransomware Rocklee:

Eliminación automática instantánea de malware: La eliminación manual de amenazas puede ser un proceso largo y complicado que requiere conocimientos informáticos avanzados. Combo Cleaner es una herramienta profesional para eliminar malware de forma automática, que está recomendado para eliminar malware. Descárguelo haciendo clic en el siguiente botón:
 ▼ DESCARGAR Combo Cleaner El detector gratuito verifica si su equipo está infectado. Para usar el producto con todas las funciones, debe comprar una licencia para Combo Cleaner. 7 días de prueba gratuita limitada disponible. Combo Cleaner es propiedad y está operado por Rcs Lt, la empresa matriz de PCRisk. Leer más. Si decide descargar este programa, quiere decir que usted está conforme con nuestra Política de privacidad y Condiciones de uso.

{loadposition position31

Preguntas frecuentes (FAQ)

¿Cómo hackearon mi ordenador y cómo encriptaron mis archivos los hackers?

Las infecciones informáticas suelen deberse a que los usuarios son engañados por correos electrónicos de phishing que contienen enlaces o archivos adjuntos dañinos. Asimismo, los sitios web comprometidos, el software pirata, las herramientas de cracking y los anuncios maliciosos presentan riesgos significativos. Además, las infecciones pueden surgir al descargar archivos y programas de fuentes no oficiales y utilizar software obsoleto.

¿Cómo abrir archivos ".rocklee"?

Para restaurar el acceso a sus archivos es necesario descifrarlos, ya que han sido cifrados en un ataque de ransomware.

¿Dónde debería buscar herramientas de descifrado gratuitas para el ransomware Rocklee?

En caso de ataque de ransomware, debería consultar el sitio web del proyecto No More Ransom (más información arriba).

Puedo pagarles mucho dinero, ¿pueden descifrarme los archivos?

Nuestro equipo no ofrece servicios de descifrado. Por lo general, los datos cifrados por ransomware son excepcionalmente difíciles de descifrar sin la participación directa del desarrollador o distribuidor, a menos que el ransomware tenga vulnerabilidades explotables. Por lo tanto, es probable que cualquier tercero que afirme ofrecer servicios de descifrado de pago actúe como intermediario o se dedique a actividades fraudulentas.

¿Me ayudará Combo Cleaner a eliminar el ransomware Rocklee?

Combo Cleaner está diseñado para realizar análisis exhaustivos de su ordenador y eliminar infecciones activas de ransomware. Utilizar un programa antivirus como Combo Cleaner constituye una primera medida vital para hacer frente a las amenazas de ransomware. Sin embargo, es importante entender que, aunque el software de seguridad puede eliminar el ransomware de su sistema, no posee la capacidad de descifrar archivos que ya han sido cifrados.

▼ Mostrar discusión.

Acerca del autor:

Tomas Meskauskas

Me apasiona todo lo relacionado con seguridad informática y tecnología. Me avala una experiencia de más de 10 años trabajando para varias empresas de reparación de problemas técnicos y seguridad on-line. Como editor y autor de PCrisk, llevo trabajando desde 2010. Sígueme en Twitter y LinkedIn para no perderte nada sobre las últimas amenazas de seguridad en internet. Leer más sobre el autor.

El portal de seguridad PCrisk ha sido creado conjuntamente por varios investigadores de seguridad con el propósito de formar e informar a los usuarios sobre las últimas amenazas detectadas en internet. Podrá leer más información sobre los autores e investigadores que trabajan en PCrisk en nuestra página de Contacto.

Nuestras guías de desinfección de software malicioso son gratuitas. No obstante, si desea colaborar, puede realizar una donación.

Sobre nosotros

PCrisk es un portal de ciberseguridad que informa a los usuarios de Internet sobre las últimas amenazas digitales. Nuestro contenido es proporcionado por expertos en seguridad e investigadores profesionales de malware. Lea más sobre nosotros.

Guías de desinfección en otros idiomas
¿Cómo evitar las infecciones?
Nuevas guías para la eliminación de virus
Top de guías para la eliminación de virus
Código QR
Virus Rocklee Código QR
Escanee este código QR para acceder fácilmente a la guía de desinfección de Virus "Rocklee" desde su dispositivo móvil.
Nuestra recomendación:

Acabe con las infecciones de malware para Windows hoy mismo:

▼ ELIMÍNELO AHORA
Descargue Combo Cleaner

Plataforma: Windows

Valoración de Combo Cleaner por parte del editor:
Valoración¡Excelente!

[Volver al principio]

El detector gratuito verifica si su equipo está infectado. Para usar el producto con todas las funciones, debe comprar una licencia para Combo Cleaner. 7 días de prueba gratuita limitada disponible. Combo Cleaner es propiedad y está operado por Rcs Lt, la empresa matriz de PCRisk. Leer más.