Virus 'Sus archivos personales han sido encriptados'
Escrito por Tomas Meskauskas el (actualizado)
Instrucciones para eliminar el virus con el mensaje 'Sus archivos personales han sido encriptados'
¿Qué es el ransomware de Citroni "Sus archivos personales han sido encriptados"?
El virus Citroni, tipo ransomware (bloqueador de sistemas), se introduce de forma ilegal en el sistema operativo del usuario a través de mensajes de correo electrónico infectados o descargas fraudulenta, por ejemplo, supuestos reproductores de vídeo o actualizaciones de flash. Tras entrar en el sistema con éxito, este programa malicioso encripta los archivos almacenados en los equipos (*.doc, *.docx, *.xls, *.ppt, *.psd, *.pdf, *.eps, *.ai, *.cdr, *.jpg, etc.) y exige el pago de un rescate de 300 dólares (en Bitcoins) para desencriptarlos (a los documentos desencriptados, se les asigna la extensión .ctbl) . Los ciberdelincuentes responsables de lanzar este programa fraudulento se cercioraron de que se puede ejecutar en todas las versiones de Windows (Windows XP, Windows Vista, Windows 7 y Windows 8). El virus Critroni crea los archivos AllFilesAreLocked.bmp, DecryptAllFiles.txt y [siete letras aleatorias].html en todas las carpetas donde haya archivos encriptados.
Esos archivos incluyen instrucciones detalladas sobre cómo los usuarios pueden desencriptar sus archivos y cómo usar el navegador Tor (navegador web anónimo). Los ciberdelincuentes ocultan su identidad tras el navegador Tor. Los usuarios deben saber que, aunque no es complicado eliminar la infección, la desencriptación de los archivos afectados (encriptados con el sistema criptográfico RSA 2048) por este programa malicioso no es posible si no se abona la suma del rescate. En la fecha de nuestro análisis, no se encontraron herramientas o soluciones capaces de desencriptar los archivos encriptados por Critroni. Tenga en cuenta que la clave privada necesaria para desencriptar los archivos se encuentra en los servidores de mando y control de Citroni, gestionados por los ciberdelincuentes. Por tanto, la mejor solución sería eliminar este virus ransomware y posteriormente restaurar los archivos a partir de una copia de seguridad.
Las infecciones ransomware como CryptoWall (por ejemplo: CryptoWall CryptoDefense, CryptorBit y Cryptolocker) nos recuerdan lo importante que es realizar habitualmente copias de seguridad de los datos almacenados. No olvide que si llegara a pagar la suma del rescate exigida por este virus, equivaldría a enviar su dinero a ciberdelincuentes; estaría apoyando su modelo de negocio fraudulento y nadie le garantiza que sus archivos serán desencriptados en algún momento. Para evitar que nuestros sistemas se infecten con virus ransomware de este tipo, tenga cuidado a la hora de abrir mensajes de email, ya que los ciberdelincuentes usan un lenguaje atractivo para engañar a los usuarios y que así abran los adjuntos infectados, por ejemplo "UPS - Notificación de excepciones" o "Notificación de incidencia en el envío de FedEx".
| Nombre | CTB-Locker (virus) |
| Tipo de amenaza | Ransomware, virus criptográfico, cibersecuestro |
| Síntomas | No se pueden abrir los archivos almacenados en el equipo, los archivos que antes funcionaban tienen ahora una extensión diferente, por ejemplo my.docx.locked. Se muestra un mensaje en el escritorio para pedir un rescate. Los ciberdelincuentes solicitan el pago de una suma (normalmente en Bitcoins) para desbloquear los archivos. |
| Formas de distribución | Adjuntos por e-mail infectados (macros), sitios web torrent, anuncios maliciosos. |
| Daño | Todos los archivos están cifrados y no pueden abrirse si no se ha pagado un rescate. Se pueden instalar otros troyanos que roban contraseñas e infecciones de malware junto con una infección ransomware. |
| Eliminación | Para eliminar posibles infecciones de malware, escanee su computadora con un software antivirus legítimo. Nuestros investigadores de seguridad recomiendan usar Combo Cleaner. |
Algunos estudios sugieren que los ciberdelincuentes también utilizan redes P2P y descargas fraudulentas con este virus empaquetado para que se propague Citroni. Actualmente, la amenaza ransomware "Sus archivos personales han sido encriptados" está disponible en inglés y ruso, por lo que los países en los que se hablan esas lenguas constituyen el principal blanco de los ciberdelincuentes para propagar sus programas malintencionados.
Mensaje mostrado en los archivos AllFilesAreLocked.bmp, DecryptAllFiles.txt y [7 letras aleatorias].html:
Sus documentos, fotos, bases de datos y otros archivos importantes han sido fuertemente encriptados y se ha generado una clave única para este equipo. La clave privada para desencriptar los archivos se almacena en un servidor secreto en internet y nadie podrá desencriptar sus archivos hasta que pague y reciba la clave privada. Si ve la ventana principal de bloqueo, siga las instrucciones que se indican. De lo contrario, es posible que usted o su antivirus ha eliminado el programa de bloqueo. Ahora tiene la oportunidad de desencriptar sus archivos.
1. Introduzca la dirección hxxp://torproject.org en sus navegadores web.
El sitio de Tor se abrirá.
2. Pulse en 'Descargar Tor', luego pulse en 'DESCARGAR Tor Browser Bundle',
Instálelo y ejecútelo.
3. Ahora podrá ver el navegador Tor. En el navegador Tor, diríjase a hxxp://zaxseiufetlkwpeu.onion
Tenga en cuenta que este servidor está exclusivamente disponible a través del navegador Tor.
Intente acceder de nuevo en una hora si el sitio no está disponible.
4. Copie y pegue la siguiente clave pública en el formulario del servidor. Intente no equivocarse.
436VPT-XI445Z-X4CFSL-MPOT6U-PQL2TK-74RNAQ-XYCCWO-ADYDL6
27UGA3-4YIAVP-IF3TTK-YGXGAI-3FATAX-SFK2XJ-VMELOS-YQNMI7
Q456FO-OVG476-FXKES2-TIAVXZ-ME2RLY-OWBKKV-L7EWNS-KYSWLB
5. Siga las instrucciones facilitadas en el servidor.
Captura de pantalla de un mensaje de email infectado que se usa en la distribución del virus "Sus archivos personales han sido encriptados":
Texto mostrado en el correo electrónico infectado:
Asunto: UPS notification
De: United Parcel Service (0511notify (at) ups.com)
Estimado cliente:
Este es un mensaje de seguimiento de su envío (número de envío 0p2uYq5RIho). El paquete que se ha incluido en el envío citado arriba no fue aceptado en la dirección de destino. Por favor, póngase en contacto con su oficina local de UPS y presente el justificante de envío impreso que se adjunta a este mensaje. Tenga en cuenta que en caso de no contactar con su oficina local de UPS en un plazo de 21 días, su paquete será devuelto al remitente.
Quedamos a su disposición,
UPS.com
Este es un mensaje generado automáticamente con el estado de se envío, por favor no conteste.
Captura de pantalla del archivo AllFilesAreLocked.bmp:
Captura de pantalla del archivo DecryptAllFiles.txt:
Captura de pantalla del archivo [siete letras aleatorias].html:
Página de pago del virus "Sus archivos personales han sido encriptados":
Mensaje mostrado en la página de pago del virus "Sus archivos personales han sido encriptados":
Realice el pago.
El servidor solo acepta pagos en Bitcoin (BTC).
1. Abone la cantidad de 0,2 BTC (sobre 24 USD) a la dirección - dirección de monedero Bitcoin.
2. La transacción se confirmará en aprox. 15-30 minutos.
El proceso de desencriptación se iniciará de forma automática. No apague su PC, no ejecute ningún programa antivirus y no desactive la conexión a internet. En caso de interrupciones de servicio durante la recuperación de la clave, podrían dañarse los archivos de forma accidental. Si no tiene Bitcoins, haga clic en "Cambiar".
Página de cambio de divisas de Citroni:
Tenga en cuenta que en la fecha de redacción del artículo todavía no había ninguna herramienta conocida que pudiera desencriptar los archivos cifrados por Critroni sin pagar el rescate. Con esta guía, podrá eliminar este virus ransomware de su sistema, aunque los archivos afectados seguirán encriptados. Actualizaremos el artículo en cuanto haya más información sobre la desencriptación de los archivos infectados.
Eliminar el virus Critroni:
Eliminación automática instantánea de malware:
La eliminación manual de amenazas puede ser un proceso largo y complicado que requiere conocimientos informáticos avanzados. Combo Cleaner es una herramienta profesional para eliminar malware de forma automática, que está recomendado para eliminar malware. Descárguelo haciendo clic en el siguiente botón:
▼ DESCARGAR Combo Cleaner
El detector gratuito verifica si su equipo está infectado. Para usar el producto con todas las funciones, debe comprar una licencia para Combo Cleaner. 7 días de prueba gratuita limitada disponible. Combo Cleaner es propiedad y está operado por Rcs Lt, la empresa matriz de PCRisk. Leer más. Si decide descargar este programa, quiere decir que usted está conforme con nuestra Política de privacidad y Condiciones de uso.
Menú rápido:
- ¿Qué es el ransomware de Citroni "Sus archivos personales han sido encriptados"?
- PASO 1. Eliminar el virus Critroni usando Modo seguro con funciones de red.
- PASO 2. Eliminar el virus Critroni mediante Restaurar sistema.
Paso 1
Usuarios de Windows XP y Windows 7: Inicie su equipo en modo seguro. Haga clic en Inicio, Apagar, Reiniciar y aceptar. Mientras el equipo arranca, pulse la tecla F8 en su teclado varias veces hasta que vea el menú de Opciones avanzadas de Windows, luego seleccione modo seguro con funciones de red de la lista.
Este vídeo muestra cómo iniciar Windows 7 en "Modo seguro con funciones de red":
Usuarios de Windows 8: Inicie Windows 8 en modo seguro con funciones de red: Diríjase a la pantalla de inicio de Windows 8, escriba Avanzado, en los resultados de búsqueda, seleccione Configuración. Haga clic en las opciones de inicio avanzadas; tras abrir la ventana de "Configuración general del PC", seleccione "Arranque avanzado". Haga clic en el botón de "Reiniciar ahora". Su PC se reiniciará ahora con el "Menú de opciones de arranque avanzadas". Haga clic en el botón de "Solucionar", luego haga clic en el botón de "Opciones avanzadas". En la pantalla de opciones avanzadas, haga clic en "Configuración de arranque". Haga clic en el botón "Reiniciar". Su PC se reiniciará con la pantalla de Configuración de arranque. Pulse F5 para arrancar en Modo seguro con funciones de red.
Este vídeo muestra cómo iniciar Windows 8 en "Modo seguro con funciones de red":
Usuarios de Windows 10: Haga clic en el logo de Windows y seleccione el icono de Inicio/Apagado. En el nuevo menú, haga clic en "Reiniciar" mientras mantiene pulsada la tecla "mayúsculas" en su teclado. En la ventana "seleccione una opción", haga clic en "Solucionar problemas" y luego en "Opciones avanzadas". En el menú de opciones avanzadas, seleccione "Configuración de inicio" y haga clic en el botón "Reiniciar". En la siguiente pantalla, tendrá que pulsar la tecla F5 de su teclado. Luego se reiniciará el sistema operativo en modo seguro con funciones de red.
Este vídeo muestra cómo iniciar Windows 10 en "Modo seguro con funciones de red":
Paso 2
Inicie sesión con la cuenta que ha sido infectada con el virus Critroni. Abra su navegador web y descargue un programa legítimo anti-spyware. Actualice el software antiespía e inicie un análisis de sistema completo. Elimine todas las entradas que se detecten.
Si no puede arrancar su equipo en modo seguro con funciones de red, pruebe ejecutando una restauración del sistema.
Este vídeo muestra cómo eliminar el virus ransomware usando "Modo seguro con funciones de red" y "Restaurar sistema":
1. Durante el proceso de arranque de su ordenador, pulse la tecla F8 en su teclado varias veces hasta que se muestre el menú de Opciones avanzadas de Windows, luego seleccione Modo seguro con símbolo de sistema de la lista y pulse ENTER.
2. Cuando el símbolo del sistema se cargue, introduzca la siguiente línea: cd restore y pulse ENTER.
3. Luego teclee esta línea: rstrui.exe y pulse ENTER.
4. en la ventana abierta, haga clic en "Siguiente".
5. Seleccione uno de los puntos de restauración disponibles y haga clic en "Siguiente" (se restaurará el sistema de su equipo a una fecha anterior antes de que el ransomware Critroni se introdujera en su PC).
6. En la ventana abierta, haga clic en "Sí".
7. Después de restaurar su sistema a un punto anterior, descargue y analice su PC con un software de seguridad antimalware recomendado para eliminar los remanentes del virus Critroni.
Para restaurar individualmente cada archivo encriptado por este virus, pruebe con la función versiones anteriores de archivo. Este método es únicamente eficaz si la función de Restaurar sistema estaba activa en el sistema operativo infectado. Tenga en cuenta que algunas variantes de Critroni eliminan las instantáneas de volumen de los ficheros, por lo que puede que este método no funcione en algunos equipos.
Para restaurar un archivo, haga clic con el botón derecho del ratón sobre el archivo, seleccione Propiedades y haga clic en la pestaña Versiones anteriores. Si el archivo en cuestión tiene su punto de restauración, selecciónelo y haga clic en el botón "Restaurar".
Si no puede iniciar su sistema en modo seguro con funciones de red (o con símbolo de sistema), inicie su ordenador usando un disco de rescate. Algunos tipos de ransomware desactivan el modo seguro, por lo que la desinfección es más compleja. Para este paso, necesitará tener acceso a otro PC.
Otras herramientas conocidas para eliminar el virus Critroni:
Fuente: https://www.pcrisk.com/removal-guides/8120-your-personal-files-are-encrypted-virus
¡Excelente!
▼ Mostrar discusión.