Virus BitCryptor

Conocido también como: BitCryptor ransomware
Propagación: Bajo
Nivel de peligrosidad: Extremo

Instrucciones para eliminar el virus BitCryptor

¿Qué es BitCryptor?

El virus BitCryptor, tipo ransomware (bloqueador de sistemas), se introduce de forma ilegal en el sistema operativo a través de mensajes de correo electrónico infectados o descargas fraudulenta, por ejemplo, supuestos reproductores de vídeo o actualizaciones de flash. Es una variante actualizada de una infección por un bloqueador de sistemas que anteriormente era conocido como CoinVault (que a su vez procede del bloqueador CryptoGraphic). Tras entrar en el sistema con éxito, este programa malicioso encripta los archivos almacenados en los equipos (por ejemplo, los archivos .odt, .doc, .docx, .xls, .xlsx, .ppt, .pptx, psd, .cdr, .mp3, .raw, .jpeg, .gif, .bmp y .txt, entre muchos otros) y exige que se efectúe un pago de 1 bitcoin (en la fecha del artículo, aproximadamente $240 USD) en 66 horas. Los ciberdelincuentes responsables de lanzar este programa fraudulento lo prepararon para que este programa se pueda ejecutar en todas las versiones de Windows, como por ejemplo, Windows XP, Windows Vista, Windows 7 y Windows 8. Aparte de mostrar una ventana con los ficheros que han sido encriptados, BitCryptor cambia también el fondo del escritorio con el texto 'Your files have been encrypted! (en español, "Sus archivos han sido encriptados") - BitCryptor'.

A los archivos encriptados por este virus ransomware se les asigna la extensión .clf. BitCryptor no cifrará ningún archivo ubicado en las carpetas boot, windows, appdata y otros directores cruciales para el normal funcionamiento de Windows. También sabemos que este bloqueador de sistemas se protege a sí mismo finalizando cualquier proceso (por ejemplo: cmd, taskmgr, regedit) que sugiera un intento del usuario por eliminar o buscar información sobre este programa malintencionado. En la fecha de nuestro análisis, no se encontraron herramientas o soluciones capaces de desencriptar los archivos encriptados por BitCryptor. Tenga en cuenta que la clave privada necesaria para desencriptar los archivos se encuentra en los servidores de mando y control de BitCryptor, gestionados por los ciberdelincuentes. Por tanto, la solución ideal sería eliminar este virus ransomware y posteriormente restaurar los archivos a partir de una copia de seguridad. Lo bueno de esta infección ransomware es que no elimina las copias VSS (instantáneas de volumen) de estos archivos, por lo que cabría la posibilidad de recuperarlos a través de la opción restaurar sistema o con un programa llamado Shadow Explorer.

bitcryptor ransomware virus

Las infecciones ransomware como BitCryptor (o por ejemplo: CTB locker, cryptowall, alpha crypt y cryptolocker) nos recuerdan lo importante que es realizar habitualmente copias de seguridad de los archivos almacenados. No olvide que si llegara a pagar la suma del rescate exigida por este virus, equivaldría a enviar su dinero a ciberdelincuentes; estaría apoyando su modelo de negocio fraudulento y nadie le garantiza que sus archivos serán desencriptados en algún momento. Tenga en cuenta que BitCryptor genera una dirección de monedero Bitcoin distinta por cada víctima, de ahí que sea muy difícil hacer seguimiento de la evolución de este programa malicioso. Para evitar que nuestros sistemas se infecten con virus ransomware de este tipo, tenga cuidado a la hora de abrir mensajes de email, ya que los ciberdelincuentes usan un lenguaje atractivo para engañar a los usuarios y que así abran los adjuntos infectados (por ejemplo "American Airlines - Ticket Information"). Mantenga actualizado siempre su sistema operativo y todos los programas instalados (Java, Flash, etc.); solo utilice programas antivirus y antimalware que tengan una buena reputación.

BitCryptor exigiendo el pago de un rescate para desencriptar los ficheros:

BitCryptor - Your personal documents and files on this computer have just been encrypted. The original files have been detected and will only be recovered by following the steps described below. Click on “Show encrypted files” to see a list of files that got encrypted. The encryption was done with a unique generated encryption key (using AES-256). This means the encrypted files are of no use until they get decrypted using a key stored on a server. This server will only release the key if the amount of Bitcoins (displayed left of this window) is send to the Bitcoin address shown on the left of this window. Each time the timer expires the total costs will raise with the starting price. After the purchase is made, please wait a few minutes for confirmation of the Bitcoins. You can check whether the Bitcoins are confirmed with the ‘check payment’ button. After payment and confirmation your keys will appear in the text boxes. After that your simply click ‘start decryption’. Your files will be decrypted and restored to their original location. You can decrypt one files for free, using the ‘Decrypt one file free’ button. You can easily delete this software, but know that without it, you will never be able to get your original files back.

Ejemplos de mensajes de email infectados que se usan en la distribución de BitCryptor:

mensaje de email infectado para propagar el bloqueador de sistemas ejemplo 1 mensaje de email infectado para propagar el bloqueador de sistemas ejemplo 2 mensaje de email infectado para propagar el bloqueador de sistemas ejemplo 3 mensaje de email infectado para propagar el bloqueador de sistemas ejemplo 4

Tenga en cuenta que en la fecha de publicación del artículo no se conocían aún herramientas capaces de desencriptar los archivos modificados por BitCryptor a no ser que se pagara el rescate (pruebe a restaurar sus archivos a partir de copias ocultas (shadow). Con esta guía, podrá eliminar este virus ransomware de su sistema, aunque los archivos afectados seguirán encriptados. Actualizaremos el artículo en cuanto haya más información sobre la desencriptación de los archivos infectados.

Eliminar el bloqueador de sistemas BitCryptor:

Menú rápido:

Paso 1

Usuarios de Windows XP y Windows 7: Inicie su equipo en modo seguro. Haga clic en Inicio, Apagar, Reiniciar y aceptar. Mientras el equipo arranca, pulse la tecla F8 en su teclado varias veces hasta que vea el menú de Opciones avanzadas de Windows, luego seleccione modo seguro con funciones de red de la lista.

Modo seguro con funciones de red

Este vídeo muestra cómo iniciar Windows 7 en "Modo seguro con funciones de red":

Usuarios de Windows 8: Diríjase a la pantalla de inicio de Windows 8, escriba "avanzada", en los resultados de búsqueda, seleccione "Cambiar opciones avanzadas de inicio". En la nueva ventana "Configuración de PC", vaya hasta la sección "Inicio avanzado". Haga clic en el botón "Reiniciar ahora". Su PC se reiniciará ahora con el "Menú de opciones de arranque avanzadas". Haga clic en el botón de "Solucionar", luego haga clic en el botón de "Opciones avanzadas". En la pantalla de opciones avanzadas, haga clic en "Configuración de arranque". Haga clic en el botón "Reiniciar". Su PC se reiniciará mostrando primero la pantalla de Configuración de inicio. Pulse "5" para arrancar en Modo seguro con funciones de red.

Modo seguro en Windows 8 con funciones de red

Este vídeo muestra cómo iniciar Windows 8 en "Modo seguro con funciones de red":

Paso 2

Inicie sesión con la cuenta que ha sido infectada con el virus BitCryptor. Abra su navegador web y descargue un programa legítimo anti-spyware. Actualice el software antiespía e inicie un análisis de sistema completo. Elimine todas las entradas que se detecten.


Descargar programa para eliminar BitCryptor ransomware
1) Descarga e instala   2) Ejecuta el análisis en tu sistema   3) ¡Tu equipo estará ahora desinfectado!

Su detector gratuito verifica si su equipo está infectado. Para eliminar el software malicioso, tendrá que comprar la versión completa de Reimage.

Si no puede arrancar su equipo en modo seguro con funciones de red, pruebe ejecutando una restauración del sistema.

Este vídeo muestra cómo eliminar el virus ransomware usando "Modo seguro con funciones de red" y "Restaurar sistema":

1. Durante el proceso de arranque de su ordenador, pulse la tecla F8 en su teclado varias veces hasta que se muestre el menú de Opciones avanzadas de Windows, luego seleccione Modo seguro con símbolo de sistema de la lista y pulse ENTER.

Inicie su sistema en modo seguro con símbolo de sistema

2. Cuando el símbolo del sistema se cargue, introduzca la siguiente línea: cd restore y pulse ENTER.

restauración de sistema usando símbolo del sistema cd restore

3. Luego teclee esta línea: rstrui.exe y pulse ENTER.

restaurar sistema usando símbolo de sistema rstrui.exe

4. En la nueva pantalla, haga clic en "Siguiente".

restaurar archivos del sistema y configuraciones

5. Seleccione uno de los puntos de restauración disponibles y haga clic en "Siguiente" (se restaurará el sistema de su equipo a una fecha anterior antes de que el ransomware BitCryptor se introdujera en su PC).

seleccione un punto de restauración

6. En la ventana abierta, haga clic en "Sí".

ejecutar restauración de sistema

7. Después de restaurar su sistema a un punto anterior, descargue y analice su PC con un software de seguridad antimalware recomendadopara eliminar los remanentes del virus BitCryptor.

Para restaurar individualmente cada archivo encriptado por este virus, pruebe con la función versiones anteriores de archivo. Este método es únicamente eficaz si la función de Restaurar sistema estaba activa en el sistema operativo infectado. Tenga en cuenta que algunas variantes de BitCryptor eliminan las instantáneas de volumen de los ficheros, por lo que puede que este método no funcione en algunos equipos.

Para restaurar un archivo, haga clic con el botón derecho del ratón sobre el archivo, seleccione Propiedades y haga clic en la pestaña Versiones anteriores. Si el archivo en cuestión tiene su punto de restauración, selecciónelo y haga clic en el botón "Restaurar".

Restaurando archivos encriptados por CryptoDefense

 

Si no puede iniciar su sistema en modo seguro con funciones de red (o con símbolo de sistema), inicie su ordenador usando un disco de rescate. Algunos tipos de ransomware desactivan el modo seguro, por lo que la desinfección es más compleja. Para este paso, necesitará tener acceso a otro PC.

 

Para recuperar el control de los archivos encriptados por BitCryptor, pruebe un programa llamado Shadow Explorer. Aquípodrá leer más información sobre cómo usar este programa.

captura de pantalla de shadow explorer

 Para proteger su equipo de virus encriptadores de archivos, analice su sistema con programas antivirus y antiespía fiables. Como medida de protección extra, le recomendamos el programa HitmanPro.Alert y Malwarebytes Anti-Ransomware que introduce de forma artificial directivas de grupo en el registro para bloquear programas como BitCryptor.

HitmanPro.Alert CryptoGuard detecta el cifrado de archivos y neutraliza tales intentos sin que el usuario tenga que intervenir:

aplicación para prevenir los bloqueadores de sistemas hitmanproalert

Malwarebytes Anti-Ransomware Beta recurre a tecnología avanzada proactiva que supervisa la actividad de los virus secuestradores de equipos y la interrumpe de inmediato antes de que afecten a los archivos de los usuarios:

malwarebytes anti-ransomware

  • La mejor forma de evitar daños ocasionados por infecciones de tipo ransomware (secuestradores de sistemas) es realizando habitualmente copias de seguridad. Aquí encontrará más información sobre soluciones informáticas para realizar copias de seguridad y para recuperar datos.

Otras herramientas conocidas para eliminar el virus BitCryptor:

Fuente: https://www.pcrisk.com/removal-guides/8974-bitcryptor-virus