Virus encriptador Troldesh (.xtbl)

Conocido también como: Troldesh (virus)
Propagación: Baja
Nivel de peligrosidad: Extremo

Instrucciones para eliminar el virus criptográfico Troldesh

¿Qué es Troldesh?

Troldesh es una familia de virus de tipo encriptador. Los programas maliciosos de esta familia se crean usando un kit de desarrollador, usado por varios afiliados con sus datos de pago y correo electrónico, para distribuirlos e infectar tantos equipos como se puedan. Tras introducirse en el sistema, estos virus cifran los archivos de las víctimas mediante un algoritmo encriptador asimétrico (por ejemplo, RSA-2048) y modifican los nombres de archivo. Por ejemplo, si la copia original del archivo se llamara "archivo de ejemplo.jpg", se renombraría así: "archivo de ejemplo.jpg.[ID de la víctima].[e-mail del desarrollador].xtbl". Estos virus cambian también el fondo de escritorio y crean una serie de archivos de texto; por ejemplo: "How to decrypt your files.txt", y los colocan en cada carpeta que contenga archivos encriptados.

En el archivo de texto y fondo de escritorio, se dice que la víctima debe usar la dirección de e-mail facilitada para recuperar los datos afectados. Luego se recibe una respuesta informando de que la víctima tiene que pagar una recompensa si quiere recibir la clave de desencriptación. También se facilitan instrucciones de pago. Esta recompensa tiene que abonarse en Bitcoins (BTC) cuya cuantía oscila normalmente entre los 0,5 y 1,5 BTC (en la fecha de consulta, 1 BTC equivalía a $538,06). Sepa, no obstante, que los ciberdelincuentes ignoran a sus víctimas a pesar de los pagos realizados. Por ello, nunca debería intentar contactar con esos delincuentes ni tampoco pagar ningún rescate. Se generan dos claves: una pública (encriptación) y privada (desencriptación) en el proceso de cifrado de archivos con un algoritmo asimétrico. Es imposible desencriptar sin una clave privada. No obstante, una parte de los virus encriptadores tienen fallos de seguridad; por tanto, puede intentar recuperar sus archivos con el Rakhni Decryptor desarrollado por el equipo de Kaspersky (enlace de descarga). De lo contrario, solo podrá recuperar los archivos/sistema a partir de una copia de seguridad.

Capturas de pantallas (fondo de escritorio) que insta a los usuarios a contactar con los desarrolladores de Troldesh para desencriptar los archivos afectados:

instrucciones desencriptación Troldesh instrucciones desencriptación Troldesh instrucciones desencriptación Troldesh instrucciones desencriptación Troldesh

En la lista de virus de tipo encriptador conocidos hasta la fecha se incluyen Vegclass, Ecovector, Mahasaraswati, JohnyCryptor y Green_Ray. Todos actúan de forma idéntica: encriptan archivos y posteriormente piden recompensas. Este tipo de software malicioso se distribuye probablemente a través de adjuntos de e-mail maliciosos (por ejemplo, formularios falsos para solicitar empleo en documentos de Microsoft Word; en realidad, son archivos Javascript que descargan virus encriptadores), redes P2P, actualizaciones sospechosas de software y troyanos. Por tanto, utilice un software antivirus legítimo y mantenga actualizadas todas las aplicaciones instaladas. Asimismo, no abra nunca ningún adjunto enviado por direcciones de correo desconocidas/sospechosas y descargue los archivos deseados desde fuentes de confianza (por ejemplo, sitios web de descarga oficiales).

Las direcciones de e-mail conocidas hasta la fecha usadas por los desarrolladores de virus encriptadores pertenecientes a la familia Troldesh:

Gerkaman_@_aol.com
drugvokrug727_@_india.com
Ramachandra7_@_india.com
Redshitline_@_india.com
Gerkaman_@_aol.com
Makdonalds_@_india.com
Dakinibless_@_india.com
Ecovector_@_aol.com
Vegclass_@_aol.com
JohnyCryptor_@_aol.com
cryptopay_@_aol.com
Bitcoinrush_@_aol.com
freetibet_@_india.com
obamausa7_@_aol.com
Seven_Legion2_@_aol.com

mailrepa.lotos@aol.com

goldman0@india.com

Eliminar los virus encriptadores Troldesh:

Eliminar automáticamente de forma instantánea Troldesh (virus): Eliminar las amenazas de forma manual puede acabar siendo un proceso largo y tedioso que precisa de conocimientos informáticos avanzados. Spyhunter es una herramienta profesional para eliminar software malicioso de forma automática y está recomendada para acabar con Troldesh (virus). La descarga se iniciará al hacer clic en el siguiente botón:
▼ DESCARGAR Spyhunter Su detector gratuito verifica si su equipo está infectado. Para eliminar el software malicioso, tendrá que comprar la versión completa de Spyhunter. Si decide descargar este programa, quiere decir que usted está conforme con nuestra Política de privacidad y Condiciones de uso.

Menú rápido:

Paso 1

Usuarios de Windows XP y Windows 7: Inicie su equipo en modo seguro. Haga clic en Inicio, Apagar, Reiniciar y aceptar. Mientras el equipo arranca, pulse la tecla F8 en su teclado varias veces hasta que vea el menú de Opciones avanzadas de Windows, luego seleccione modo seguro con funciones de red de la lista.

Modo seguro con funciones de red

Este vídeo muestra cómo iniciar Windows 7 en "Modo seguro con funciones de red":

Usuarios de Windows 8: Inicie Windows 8 en modo seguro con funciones de red: Diríjase a la pantalla de inicio de Windows 8, escriba "avanzadas", en los resultados de búsqueda, seleccione "Cambiar opciones avanzadas de inicio". En la nueva ventana "Configuración de PC", vaya hasta la sección "Inicio avanzado". Haga clic en el botón "Reiniciar ahora". Su PC se reiniciará ahora con el "Menú de opciones de arranque avanzadas". Haga clic en el botón de "Solucionar problemas", luego haga clic en el botón de "Opciones avanzadas". En la pantalla de opciones avanzadas, haga clic en "Configuración de inicio". Haga clic en el botón "Reiniciar". Su PC se reiniciará mostrando primero la pantalla de Configuración de inicio. Pulse F5 para arrancar en Modo seguro con funciones de red.

Modo seguro en Windows 8 con funciones de red

Este vídeo muestra cómo iniciar Windows 8 en "Modo seguro con funciones de red":

Paso 2

Inicie sesión con la cuenta que ha sido infectada con el virus Troldesh. Abra su navegador web y descargue un programa legítimo anti-spyware. Actualice el software antiespía e inicie un análisis de sistema completo. Elimine todas las entradas que se detecten.

Si no puede arrancar su equipo en modo seguro con funciones de red, pruebe ejecutando una restauración del sistema.

Este vídeo muestra cómo eliminar el virus ransomware usando "Modo seguro con funciones de red" y "Restaurar sistema":

1. Durante el proceso de arranque de su ordenador, pulse la tecla F8 en su teclado varias veces hasta que se muestre el menú de Opciones avanzadas de Windows, luego seleccione Modo seguro con símbolo de sistema de la lista y pulse ENTER.

Inicie su sistema en modo seguro con símbolo de sistema

2. Cuando el símbolo del sistema se cargue, introduzca la siguiente línea: cd restore y pulse ENTER.

restauración de sistema usando símbolo del sistema cd restore

3. Luego teclee esta línea: rstrui.exe y pulse ENTER.

restaurar sistema usando símbolo de sistema rstrui.exe

4. En la nueva pantalla, haga clic en "Siguiente".

restaurar archivos del sistema y configuraciones

5. Seleccione uno de los puntos de restauración disponibles y haga clic en "Siguiente" (se restaurará el sistema de su equipo a una fecha anterior antes de que el ransomware Troldesh se introdujera en su PC).

seleccione un punto de restauración

6. En la ventana abierta, haga clic en "Sí".

ejecutar restauración de sistema

7. Después de restaurar su sistema a un punto anterior, descargue y analice su PC con un software de seguridad antimalware recomendado para eliminar los remanentes del virus Troldesh.

Para restaurar individualmente cada archivo encriptado por este virus, pruebe con la función versiones anteriores de archivo. Este método es únicamente eficaz si la función de Restaurar sistema estaba activa en el sistema operativo infectado. Tenga en cuenta que algunas variantes de Troldesh eliminan las instantáneas de volumen de los ficheros, por lo que puede que este método no funcione en algunos equipos.

Para restaurar un archivo, haga clic con el botón derecho del ratón sobre el archivo, seleccione Propiedades y haga clic en la pestaña Versiones anteriores. Si el archivo en cuestión tiene su punto de restauración, selecciónelo y haga clic en el botón "Restaurar".

Restaurando archivos encriptados por CryptoDefense

Si no puede iniciar su sistema en modo seguro con funciones de red (o con símbolo de sistema), inicie su ordenador usando un disco de rescate. Algunos tipos de ransomware desactivan el modo seguro, por lo que la desinfección es más compleja. Para este paso, necesitará tener acceso a otro PC.

Para recuperar el control de los archivos encriptados por Troldesh, pruebe un programa llamado Shadow Explorer. Aquí podrá leer más información sobre cómo usar este programa.

captura de pantalla de shadow explorer

 Para proteger su equipo de virus encriptadores de archivos, analice su sistema con programas antivirus y antiespía fiables. Como medida de protección extra, le recomendamos el programa HitmanPro.Alert y Malwarebytes Anti-Ransomware que introduce de forma artificial directivas de grupo en el registro para bloquear programas maliciosos como Troldesh.

HitmanPro.Alert CryptoGuard detecta el cifrado de archivos y neutraliza cualquier intento sin la necesidad de que el usuario intervenga:

la aplicación hitmanproalert que protege del ransomware

 

Malwarebytes Anti-Ransomware Beta recurre a tecnología avanzada proactiva que supervisa la actividad de los virus secuestradores de equipos y la interrumpe de inmediato antes de que afecten a los archivos de los usuarios:

malwarebytes anti-ransomware

  • La mejor forma de evitar daños ocasionados por infecciones de tipo ransomware (secuestradores de sistemas) es realizando habitualmente copias de seguridad. Aquí encontrará más información sobre soluciones informáticas para realizar copias de seguridad y para recuperar datos.

Otras herramientas conocidas para eliminar el virus Troldesh:

Fuente: https://www.pcrisk.com/removal-guides/10070-troldesh-ransomware

Acerca del autor:

Tomas Meskauskas

Me apasiona todo lo relacionado con seguridad informática y tecnología. Me avala una experiencia de más de 10 años trabajando para varias empresas de reparación de problemas técnicos y seguridad on-line. Como editor y autor de PCrisk, llevo trabajando desde 2010. Sígueme en Twitter y LinkedIn para no perderte nada sobre las últimas amenazas de seguridad en internet. Leer más sobre el autor.

El portal de seguridad PCrisk ha sido creado conjuntamente por varios investigadores de seguridad con el propósito de formar e informar a los usuarios sobre las últimas amenazas detectadas en internet. Podrá leer más información sobre los autores e investigadores que trabajan en PCrisk en nuestra página de Contacto.

Nuestras guías de desinfección de software malicioso son gratuitas. No obstante, si desea colaborar, puede realizar una donación.

Guías de desinfección en otros idiomas
Código QR
Troldesh (virus) Código QR
Un código QR (código de respuesta rápida) es un código que puede ser escaneado usando dispositivos y que almacena direcciones web y otra información. Este código puede ser escaneado usando una cámara en un smartphone o tablet. Escanee este código QR para acceder fácilmente a la guía de desinfección de Troldesh (virus) desde su dispositivo móvil.
Nuestra recomendación:

Despídase ya de Troldesh (virus):

▼ ELIMINAR AHORA con Spyhunter

Plataforma: Windows

Valoración de Spyhunter por parte del editor:
¡Excelente!

[Volver al principio]

Su detector gratuito verifica si su equipo está infectado. Para eliminar el software malicioso, tendrá que comprar la versión completa de Spyhunter.