Virus 'Sus archivos personales han sido encriptados'

Conocido también como: CTB-Locker virus
Propagación: Moderado
Nivel de peligrosidad: Extremo

Instrucciones para eliminar el virus con el mensaje 'Sus archivos personales han sido encriptados'

¿Qué es el ransomware de Citroni "Sus archivos personales han sido encriptados"?

El virus Citroni, tipo ransomware (bloqueador de sistemas), se introduce de forma ilegal en el sistema operativo del usuario a través de mensajes de correo electrónico infectados o descargas fraudulenta, por ejemplo, supuestos reproductores de vídeo o actualizaciones de flash. Tras entrar en el sistema con éxito, este programa malicioso encripta los archivos almacenados en los equipos (*.doc, *.docx, *.xls, *.ppt, *.psd, *.pdf, *.eps, *.ai, *.cdr, *.jpg, etc.) y exige el pago de un rescate de 300 dólares (en Bitcoins) para desencriptarlos (a los documentos desencriptados, se les asigna la extensión .ctbl) . Los ciberdelincuentes responsables de lanzar este programa fraudulento se cercioraron de que se puede ejecutar en todas las versiones de Windows (Windows XP, Windows Vista, Windows 7 y Windows 8). El virus Critroni crea los archivos AllFilesAreLocked.bmp, DecryptAllFiles.txt y [siete letras aleatorias].html en todas las carpetas donde haya archivos encriptados.

Esos archivos incluyen instrucciones detalladas sobre cómo los usuarios pueden desencriptar sus archivos y cómo usar el navegador Tor (navegador web anónimo). Los ciberdelincuentes ocultan su identidad tras el navegador Tor. Los usuarios deben saber que, aunque no es complicado eliminar la infección, la desencriptación de los archivos afectados (encriptados con el sistema criptográfico RSA 2048) por este programa malicioso no es posible si no se abona la suma del rescate. En la fecha de nuestro análisis, no se encontraron herramientas o soluciones capaces de desencriptar los archivos encriptados por Critroni. Tenga en cuenta que la clave privada necesaria para desencriptar los archivos se encuentra en los servidores de mando y control de Citroni, gestionados por los ciberdelincuentes. Por tanto, la mejor solución sería eliminar este virus ransomware y posteriormente restaurar los archivos a partir de una copia de seguridad.

Virus ransomware de Citroni 'Sus archivos personales han sido encriptados

Las infecciones ransomware como CryptoWall (por ejemplo: CryptoWall CryptoDefense, CryptorBit y  Cryptolocker) nos recuerdan lo importante que es realizar habitualmente copias de seguridad de los datos almacenados. No olvide que si llegara a pagar la suma del rescate exigida por este virus, equivaldría a enviar su dinero a ciberdelincuentes; estaría apoyando su modelo de negocio fraudulento y nadie le garantiza que sus archivos serán desencriptados en algún momento. Para evitar que nuestros sistemas se infecten con virus ransomware de este tipo, tenga cuidado a la hora de abrir mensajes de email, ya que los ciberdelincuentes usan un lenguaje atractivo para engañar a los usuarios y que así abran los adjuntos infectados, por ejemplo "UPS - Notificación de excepciones" o "Notificación de incidencia en el envío de FedEx".

Algunos estudios sugieren que los ciberdelincuentes también utilizan redes P2P y descargas fraudulentas con este virus empaquetado para que se propague Citroni. Actualmente, la amenaza ransomware "Sus archivos personales han sido encriptados" está disponible en inglés y ruso, por lo que los países en los que se hablan esas lenguas constituyen el principal blanco de los ciberdelincuentes para propagar sus programas malintencionados.

Mensaje mostrado en los archivos AllFilesAreLocked.bmp, DecryptAllFiles.txt y [7 letras aleatorias].html:

Sus documentos, fotos, bases de datos y otros archivos importantes han sido fuertemente encriptados y se ha generado una clave única para este equipo. La clave privada para desencriptar los archivos se almacena en un servidor secreto en internet y nadie podrá desencriptar sus archivos hasta que pague y reciba la clave privada. Si ve la ventana principal de bloqueo, siga las instrucciones que se indican. De lo contrario, es posible que usted o su antivirus ha eliminado el programa de bloqueo. Ahora tiene la oportunidad de desencriptar sus archivos.
1. Introduzca la dirección hxxp://torproject.org en sus navegadores web.
El sitio de Tor se abrirá.
2. Pulse en 'Descargar Tor', luego pulse en 'DESCARGAR Tor Browser Bundle',
Instálelo y ejecútelo.
3. Ahora podrá ver el navegador Tor. En el navegador Tor, diríjase a hxxp://zaxseiufetlkwpeu.onion
Tenga en cuenta que este servidor está exclusivamente disponible a través del navegador Tor.
Intente acceder de nuevo en una hora si el sitio no está disponible.
4. Copie y pegue la siguiente clave pública en el formulario del servidor. Intente no equivocarse.
436VPT-XI445Z-X4CFSL-MPOT6U-PQL2TK-74RNAQ-XYCCWO-ADYDL6
27UGA3-4YIAVP-IF3TTK-YGXGAI-3FATAX-SFK2XJ-VMELOS-YQNMI7
Q456FO-OVG476-FXKES2-TIAVXZ-ME2RLY-OWBKKV-L7EWNS-KYSWLB
5. Siga las instrucciones facilitadas en el servidor.

Captura de pantalla de un mensaje de email infectado que se usa en la distribución del virus "Sus archivos personales han sido encriptados":

El virus ransomware de Citroni 'Sus archivos personales han sido encriptados

Texto mostrado en el correo electrónico infectado:

Asunto: UPS notification
De: United Parcel Service (0511notify (at) ups.com)
Estimado cliente:

Este es un mensaje de seguimiento de su envío (número de envío 0p2uYq5RIho). El paquete que se ha incluido en el envío citado arriba no fue aceptado en la dirección de destino. Por favor, póngase en contacto con su oficina local de UPS y presente el justificante de envío impreso que se adjunta a este mensaje. Tenga en cuenta que en caso de no contactar con su oficina local de UPS en un plazo de 21 días, su paquete será devuelto al remitente.

Quedamos a su disposición,
UPS.com
Este es un mensaje generado automáticamente con el estado de se envío, por favor no conteste.

Captura de pantalla del archivo AllFilesAreLocked.bmp:

citroni allfilesarelocked bmp

Captura de pantalla del archivo DecryptAllFiles.txt:

citroni decryptallfiles txt

Captura de pantalla del archivo [siete letras aleatorias].html:

citroni decrypt html file

Página de pago del virus "Sus archivos personales han sido encriptados":

página de pago del virus citroni

Mensaje mostrado en la página de pago del virus "Sus archivos personales han sido encriptados":

Realice el pago.
El servidor solo acepta pagos en Bitcoin (BTC).
1. Abone la cantidad de 0,2 BTC (sobre 24 USD) a la dirección - dirección de monedero Bitcoin.
2. La transacción se confirmará en aprox. 15-30 minutos.
El proceso de desencriptación se iniciará de forma automática. No apague su PC, no ejecute ningún programa antivirus y no desactive la conexión a internet. En caso de interrupciones de servicio durante la recuperación de la clave, podrían dañarse los archivos de forma accidental. Si no tiene Bitcoins, haga clic en "Cambiar".

Página de cambio de divisas de Citroni:

página de cambio de divisas por bitcoins virus citroni

Tenga en cuenta que en la fecha de redacción del artículo todavía no había ninguna herramienta conocida que pudiera desencriptar los archivos cifrados por Critroni sin pagar el rescate. Con esta guía, podrá eliminar este virus ransomware de su sistema, aunque los archivos afectados seguirán encriptados. Actualizaremos el artículo en cuanto haya más información sobre la desencriptación de los archivos infectados.

Eliminar el virus Critroni:

Menú rápido:

Paso 1

Usuarios de Windows XP y Windows 7: Inicie su equipo en modo seguro. Haga clic en Inicio, Apagar, Reiniciar y aceptar. Mientras el equipo arranca, pulse la tecla F8 en su teclado varias veces hasta que vea el menú de Opciones avanzadas de Windows, luego seleccione modo seguro con funciones de red de la lista.

Modo seguro con funciones de red

Este vídeo muestra cómo iniciar Windows 7 en "Modo seguro con funciones de red":

Usuarios de Windows 8: Inicie Windows 8 en modo seguro con funciones de red: Diríjase a la pantalla de inicio de Windows 8, escriba Avanzado, en los resultados de búsqueda, seleccione Configuración. Haga clic en las opciones de inicio avanzadas; tras abrir la ventana de "Configuración general del PC", seleccione "Arranque avanzado". Haga clic en el botón de "Reiniciar ahora". Su PC se reiniciará ahora con el "Menú de opciones de arranque avanzadas". Haga clic en el botón de "Solucionar", luego haga clic en el botón de "Opciones avanzadas". En la pantalla de opciones avanzadas, haga clic en "Configuración de arranque". Haga clic en el botón "Reiniciar". Su PC se reiniciará con la pantalla de Configuración de arranque. Pulse F5 para arrancar en Modo seguro con funciones de red.

Modo seguro en Windows 8 con funciones de red

Este vídeo muestra cómo iniciar Windows 8 en "Modo seguro con funciones de red":

Usuarios de Windows 10: Haga clic en el logo de Windows y seleccione el icono de Inicio/Apagado. En el nuevo menú, haga clic en "Reiniciar" mientras mantiene pulsada la tecla "mayúsculas" en su teclado. En la ventana "seleccione una opción", haga clic en "Solucionar problemas" y luego en "Opciones avanzadas". En el menú de opciones avanzadas, seleccione "Configuración de inicio" y haga clic en el botón "Reiniciar". En la siguiente pantalla, tendrá que pulsar la tecla F5 de su teclado. Luego se reiniciará el sistema operativo en modo seguro con funciones de red.

Modo seguro en Windows 10 con funciones de red

Este vídeo muestra cómo iniciar Windows 10 en "Modo seguro con funciones de red":

Paso 2

Inicie sesión con la cuenta que ha sido infectada con el virus Critroni. Abra su navegador web y descargue un programa legítimo anti-spyware. Actualice el software antiespía e inicie un análisis de sistema completo. Elimine todas las entradas que se detecten.


Descargar programa para eliminar CTB-Locker virus
1) Descarga e instala   2) Ejecuta el análisis en tu sistema   3) ¡Tu equipo estará ahora desinfectado!

Su detector gratuito verifica si su equipo está infectado. Para eliminar el software malicioso, tendrá que comprar la versión completa de Reimage.

Si no puede arrancar su equipo en modo seguro con funciones de red, pruebe ejecutando una restauración del sistema.

Este vídeo muestra cómo eliminar el virus ransomware usando "Modo seguro con funciones de red" y "Restaurar sistema":

1. Durante el proceso de arranque de su ordenador, pulse la tecla F8 en su teclado varias veces hasta que se muestre el menú de Opciones avanzadas de Windows, luego seleccione Modo seguro con símbolo de sistema de la lista y pulse ENTER.

Inicie su sistema en modo seguro con símbolo de sistema

2. Cuando el símbolo del sistema se cargue, introduzca la siguiente línea: cd restore y pulse ENTER.

restauración de sistema usando símbolo del sistema cd restore

3. Luego teclee esta línea: rstrui.exe y pulse ENTER.

restaurar sistema usando símbolo de sistema rstrui.exe

4. en la ventana abierta, haga clic en "Siguiente".

restaurar archivos del sistema y configuraciones

5. Seleccione uno de los puntos de restauración disponibles y haga clic en "Siguiente" (se restaurará el sistema de su equipo a una fecha anterior antes de que el ransomware Critroni se introdujera en su PC).

seleccione un punto de restauración

6. En la ventana abierta, haga clic en "Sí".

ejecutar restauración de sistema

7. Después de restaurar su sistema a un punto anterior, descargue y analice su PC con un software de seguridad antimalware recomendado para eliminar los remanentes del virus Critroni.

Para restaurar individualmente cada archivo encriptado por este virus, pruebe con la función versiones anteriores de archivo. Este método es únicamente eficaz si la función de Restaurar sistema estaba activa en el sistema operativo infectado. Tenga en cuenta que algunas variantes de Critroni eliminan las instantáneas de volumen de los ficheros, por lo que puede que este método no funcione en algunos equipos.

Para restaurar un archivo, haga clic con el botón derecho del ratón sobre el archivo, seleccione Propiedades y haga clic en la pestaña Versiones anteriores. Si el archivo en cuestión tiene su punto de restauración, selecciónelo y haga clic en el botón "Restaurar".

Restaurando archivos encriptados por CryptoDefense

 

Si no puede iniciar su sistema en modo seguro con funciones de red (o con símbolo de sistema), inicie su ordenador usando un disco de rescate. Algunos tipos de ransomware desactivan el modo seguro, por lo que la desinfección es más compleja. Para este paso, necesitará tener acceso a otro PC.

 

Otras herramientas conocidas para eliminar el virus Critroni:

Fuente: https://www.pcrisk.com/removal-guides/8120-your-personal-files-are-encrypted-virus

Xlr8

Pero en caso de que alguien no tenga punto de restauracion (osea mi caso :c) ¿que hacemos? ¿se podra usar el modo restauracion de pc mediante un Dvd o Usb? AYUDA

AQUILES VOY

A mi me encriptaron mis archivos con la extensión .af48 y no he encontrado información al respecto, quizá sea nueva esta forma de encritar. ¿Alguien puede ayudarme?

Pablito Godoy

Pudiste eliminar la extencion .osiris?

Brianda Cabrera

para quitarle la extension vv a archivos ya infectados que puedes hacer

Yolanda Peñuelas Silva

gracias!

Serrana

Hola soy de Uruguay me pasó con la tablet Android pero sin pedir rescate, pienso que como sólo tenía juegos y fotos sería por eso, además como tengo copia de seguridad sólo tuve que restaurarla y listo, pero siempre van a estar apareciendo cyberdelincuentes y hay que estar alertas, vuestro informe me sirvió mucho gracias