Secuestrador de equipos .Odin

Conocido también como: Odin virus
Propagación: Bajo
Nivel de peligrosidad: Extremo

Instrucciones para eliminar el virus criptográfico Odin

¿Qué es Odin?

Odin es la nueva versión del virus encriptador Locky. Los ciberdelincuentes propagan Odin a través de archivos script adjuntos a correos basura. Una vez que la víctima ejecuta el script, se descarga un archivo malicioso encriptado, se desencripta y se ejecuta usando un programa de Windows (Rundll32.exe). Este archivo malicioso encripta a su vez y cambia el nombre de varios tipos de archivos en el equipo de la víctima (p. ej., .doc, .ppt, .php, .html, etc.). Odin actúa exactamente de la misma forma que su versión anterior (Locky). No obstante, en vez de añadir la extensión ".locky" o ".zepto", esta versión añade la extensión ".odin". Los archivos son renombrados con el siguiente patrón: "[ID de la víctima]-[4 símbolos]-[12 símbolos].odin" (p. ej., el archivo encriptado de "sample.jpg" pasaría a llamarse aprox. de la siguiente forma: "D56F3331-E80D-9E17-8D2A-1A11D40A6BD3.odin"). Una vez se ha completado la encriptación, Odin crea tres archivos ("_5_HOWDO_text.html", "_HOWDO_text.bmp" (se establece como el fondo de escritorio de la víctima) y "_HOWDO_text.html"), y se copian en el escritorio de la víctima.

Los tres archivos contienen el mismo mensaje donde se pide un rescate. A las víctimas se les dice que los archivos han sido encriptados mediante criptografía asimétrica. Esto quiere decir que se generan dos claves (pública para la encriptación y privada para la desencriptación) en el proceso de cifrado. En el mensaje se indica que la clave privada está en los servidores remotos controlados por los desarrolladores de Odin. Por consiguiente, para recibir esta clave, las víctimas deben visitar uno de los enlaces del proyecto Tor facilitados. Posteriormente, se detallará la información que necesitan las víctimas para realizar el pago. Sepa que es imposible desencriptar archivos sin la clave privada. Por este motivo, los ciberdelincuentes intentan vender una herramienta de desencriptación (con la clave privada incorporada) por un valor de 3 bitcoins (actualmente, equivalentes a ~$1811). La cuantía del rescate es excesiva, ya que normalmente los desarrolladores de ransomware piden 0,5-1,5 Bitcoins. No obstante, le recomendamos que haga caso omiso a las peticiones de pago y no contacte con esas personas. Los estudios sugieren que los ciberdelincuentes suelen ignorar a sus víctimas sin importar si han pagado o no. Por todo ello, hay muchas razones para pensar que se trata de una estafa. Pagar equivale a enviar dinero a los ciberdelincuentes; solo estará apoyando su negocio malicioso. Lamentablemente, no existen en la actualidad herramientas capaces de deshacer la encriptación de Odin, por lo que la única solución para este problema es recuperar el sistema/archivos a partir de una copia de respaldo.

Captura de pantalla del mensaje que insta a los usuarios a contactar con los desarrolladores de Odin para desencriptar los archivos afectados:

instrucciones desencriptación Odin

Odin comparte muchas similitudes con cientos de virus de la categoría ransomware como CrypMICCryCerber y  Odin. En realidad, todos los virus de este tipo son casi idénticos. Han sido diseñados para encriptar los archivos de las víctimas y exigir el pago de una recompensa. La mayor parte se sirve de algoritmos de encriptación asimétrica; por tanto, la única diferencia perceptible está en la cuantía del rescate. Lo más probable es que estos virus se distribuyan a través de correo basura (adjuntos maliciosos), redes P2P, herramientas falsas para actualizar software y troyanos. Por este motivo, es muy importante proceder con cautela al abrir adjuntos enviados de direcciones de e-mail desconocidas y al descargar archivos o aplicaciones de terceras fuentes (p. ej. sitios web de descargas gratuitas). Es muy importante igualmente mantener actualizadas sus aplicaciones instaladas y usar una solución fiable antivirus o antiespía. Una forma de proceder descuidada y la falta de conocimiento son las causas más comunes de la infección. Por tanto, la clave para mantener el equipo seguro es la precaución.

Texto escrito en los archivos "_5_HOWDO_text.html", "_HOWDO_text.bmp" y "_HOWDO_text.html" de Odin:

d=*-|==** __$$|$
.+.|.
|.=_=$-*$|-$|=|++-|+
!!! IMPORTANT INFORMATION!!!!
All of your files are encrypted with RSA-2048 and AES-128 ciphers.
More information about the RSA and AES can be found here:
hxxp://en.wikipedia.org/wiki/RSA (cryptosystem)
hxxp://en.wikipedia.org/wiki/Advanced Encryption Standard
Decrypting of your files is only possible with the private key and decrypt program, which is on our secret server.
To receive your private key follow one of the links:
hxxps://jhomitevd2abj3fk.tor2web.org/D56F3331E80D9E17
hxxp://jhomitevd2abj3fk.onion.to/D56F3331E80D9E17
If all of this addresses are not available, follow these steps:
1. Download and install Tor Browser: hxxps://www.torproject.org/download/download-easy.html
2. After a successful installation, run the browser and wait for initialisation.
3. Type in the address bar: jhomitevd2abj3fk.onion/D56F3331E80D9E17
4. Follow the instructions on the site.
!!! Your personal identification ID: D56F3331E80D9E17 !!!
=+_$ =** +.+
+=*_$.*.=_
=__|+-$|+*.=*$
=-.$

Captura de pantalla del archivo .html en el virus encriptador Odin (_HOWDO_text.html):

archivo html del virus encriptador Odin

Captura de pantalla del fondo de escritorio Odin:

fondo de escritorio del virus encriptador Odin

Captura de pantalla del sitio web en Tor del virus encriptador Odin:

Sitio web del virus criptográfico Odin

Texto mostrado en el sitio web de Odin:

Locky Decryptor™

We present a special software - Locky Decryptor™ - which allows to decrypt and return control to all your encrypted files.
How to buy Locky Decryptor™
You can make a payment with BitCoins, there are many methods to get them.
You should register BitCoin wallet:
Simplest online wallet or Some other methods of creating wallet
Purchasing Bitcoins, although it's not yet easy to buy bitcoins, it's getting simpler every day.
Here are our recommendations:
localbitcoins.com (WU) Buy Bitcoins with Western Union.
coincafe.com Recommended for fast, simple service.
Payment Methods: Western Union, Bank of America, Cash by FedEx, Moneygram, Money Order. In NYC: Bitcoin ATM, in person.
localbitcoins.com Service allows you to search for people in your community willing to sell bitcoins to you directly.
cex.io Buy Bitcoins with VISA/MASTERCARD or wire transfer.
btcdirect.eu The best for Europe.
bitquick.co Buy Bitcoins instantly for cash.
howtobuybitcoins.info An international directory of bitcoin exchanges.
cashintocoins.com Bitcoin for cash.
coinjar.com CoinJar allows direct bitcoin purchases on their site.
anxpro.com
bittylicious.com
Send 3.00 BTC to Bitcoin address: 1BkR8zL6jAn8zcF4t6FM85DYLFG1dZ12ip
Note: Payment pending up to 30 mins or more for transaction confirmation, please be patient...
Refresh the page and download decryptor.
When Bitcoin transactions will receive one confirmation, you will be redirected to the page for downloading the decryptor.

Captura de pantalla de archivos cifrados por el virus encriptador Odin (con el patrón "[ID de las víctimas]-[4 símbolos]-[12 símbolos].odin"):

El virus encriptador Odin encripta los archivos de sus víctimas

Ejemplo de correo basura propagado junto con el secuestrador de equipos Odin:

From: "Melody"
To: ******
Subject: Documents Requested
Date: Wed, 28 Sep 2016 14:04:22
Dear ******,
Please find attached documents as requested.
Best Regards,
Melody
Attachment: doc(553).zip

Tipos de archivo afectados por el virus encriptador Odin:

.7zip, .aac, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .ads, .aes, .agdl, .aiff, .ait, .aoi, .apj, .apk, .ARC, .arw, .asc, .asf, .asm, .asp, .aspx, .asset, .asx, .avi, .awg, .back, .backup, .backupdb, .bak, .bank, .bat, .bay, .bdb, .bgt, .bik, .bin, .bkp, .blend, .bmp, .bpw, .brd, .bsa, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .cer, .cfg, .cgm, .cib, .class, .cls, .cmd, .cmt, .config, .contact, .cpi, .cpp, .craw, .crt, .crw, .csh, .csl, .csr, .css, .csv, .CSV, .d3dbsp, .dac, .das, .dat, .db_journal, .dbf, .dbx, .dch, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .design, .dgc, .dif, .dip, .dit, .djv, .djvu, .dng, .doc, .DOC, .docb, .docm, .docx, .dot, .DOT, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .edb, .eml, .eps, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fhd, .fla, .flac, .flf, .flv, .flvv, .forge, .fpx, .frm, .fxg, .gif, .gpg, .gray, .grey, .groups, .gry, .hbk, .hdd, .hpp, .html, .hwp, .ibank, .ibd, .ibz, .idx, .iif, .iiq, .incpas, .indd, .iwi, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .kdbx, .kdc, .key .kpdx, .kwm, .laccdb, .lay, .lay6, .lbf, .ldf, .lit, .litemod, .litesql, .log, .ltx, .lua, .m2ts, .mapimail, .max, .mbx, .mdb, .mdc, .mdf, .mef, .mfw, .mid, .mkv, .mlb, .mml, .mmw, .mny, .moneywell, .mos, .mov, .mpeg, .mpg, .mrw, .ms11 (Security copy), .msg, .myd, .MYD, .MYI, .ndd, .ndf, .nef, .NEF, .nop, .nrw, .nsd, .nsf, .nsg, .nsh, .nvram, .nwb, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .onetoc2, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .pab, .pages, .PAQ, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .plc, .plus_muhd, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .PPT, .pptm, .pptx, .prf, .psafe3, .psd, .pspimage, .pst, .ptx, .pwm, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qed, .raf, .rar, .rat, .raw, .rdb, .rtf, .RTF, .rvt, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sch, .sda, .sdf, .sldm, .sldx, .slk, .sql, .sqlite, .sqlite3, .SQLITE3, .sqlitedb, .SQLITEDB, .srf, .srt, .srw, .stc, .std, .sti, .stm, .stw, .stx, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tar, .tar.bz2, .tbk, .tex, .tga, .tgz, .thm, .tif, .tiff, .tlg, .txt, .uop, .uot, .upk, .vbox, .vbs, .vdi, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .wab, .wad, .wallet, .wav, .wks, .wma, .wmv, .wpd, .wps, .xis, .xla, .xlam, .xlc, .xlk, .xlm, .xlr, .xls, .XLS, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .ycbcra, .yuv, .zip

Eliminar el virus encriptador Odin:

Menú rápido:

Paso 1

Usuarios de Windows XP y Windows 7: Inicie su equipo en modo seguro. Haga clic en Inicio, Apagar, Reiniciar y aceptar. Mientras el equipo arranca, pulse la tecla F8 en su teclado varias veces hasta que vea el menú de Opciones avanzadas de Windows, luego seleccione modo seguro con funciones de red de la lista.

Modo seguro con funciones de red

Este vídeo muestra cómo iniciar Windows 7 en "Modo seguro con funciones de red":

Usuarios de Windows 8: Inicie Windows 8 en modo seguro con funciones de red: Diríjase a la pantalla de inicio de Windows 8, escriba "avanzadas", en los resultados de búsqueda, seleccione "Cambiar opciones avanzadas de inicio". En la nueva ventana "Configuración de PC", vaya hasta la sección "Inicio avanzado". Haga clic en el botón "Reiniciar ahora". Su PC se reiniciará ahora con el "Menú de opciones de arranque avanzadas". Haga clic en el botón de "Solucionar problemas", luego haga clic en el botón de "Opciones avanzadas". En la pantalla de opciones avanzadas, haga clic en "Configuración de inicio". Haga clic en el botón "Reiniciar". Su PC se reiniciará mostrando primero la pantalla de Configuración de inicio. Pulse F5 para arrancar en Modo seguro con funciones de red.

Modo seguro en Windows 8 con funciones de red

Este vídeo muestra cómo iniciar Windows 8 en "Modo seguro con funciones de red":

Usuarios de Windows 10: Haga clic en el logo de Windows y seleccione el icono de Inicio/Apagado. En el nuevo menú, haga clic en "Reiniciar" mientras mantiene pulsada la tecla "mayúsculas" en su teclado. En la ventana "seleccione una opción", haga clic en "Solucionar problemas" y luego en "Opciones avanzadas". En el menú de opciones avanzadas, seleccione "Configuración de inicio" y haga clic en el botón "Reiniciar". En la siguiente pantalla, tendrá que pulsar la tecla F5 de su teclado. Luego se reiniciará el sistema operativo en modo seguro con funciones de red.

Modo seguro en Windows 10 con funciones de red

Este vídeo muestra cómo iniciar Windows 10 en "Modo seguro con funciones de red":

Paso 2

Inicie sesión con la cuenta que ha sido infectada con el virus Odin:. Abra su navegador web y descargue un programa legítimo anti-spyware. Actualice el software antiespía e inicie un análisis de sistema completo. Elimine todas las entradas que se detecten.


Descargar programa para eliminar Odin virus
1) Descarga e instala   2) Ejecuta el análisis en tu sistema   3) ¡Tu equipo estará ahora desinfectado!

Su detector gratuito verifica si su equipo está infectado. Para eliminar el software malicioso, tendrá que comprar la versión completa de Reimage.

Si no puede arrancar su equipo en modo seguro con funciones de red, pruebe ejecutando una restauración del sistema.

Este vídeo muestra cómo eliminar el virus ransomware usando "Modo seguro con funciones de red" y "Restaurar sistema":

1. Durante el proceso de arranque de su ordenador, pulse la tecla F8 en su teclado varias veces hasta que se muestre el menú de Opciones avanzadas de Windows, luego seleccione Modo seguro con símbolo de sistema de la lista y pulse ENTER.

Inicie su sistema en modo seguro con símbolo de sistema

2. Cuando el símbolo del sistema se cargue, introduzca la siguiente línea: cd restore y pulse ENTER.

restauración de sistema usando símbolo del sistema cd restore

3. Luego teclee esta línea: rstrui.exe y pulse ENTER.

restaurar sistema usando símbolo de sistema rstrui.exe

4. En la nueva pantalla, haga clic en "Siguiente".

restaurar archivos del sistema y configuraciones

5. Seleccione uno de los puntos de restauración disponibles y haga clic en "Siguiente" (se restaurará el sistema de su equipo a una fecha anterior antes de que el ransomware Odin: se introdujera en su PC).

seleccione un punto de restauración

6. En la ventana abierta, haga clic en "Sí".

ejecutar restauración de sistema

7. Después de restaurar su sistema a un punto anterior, descargue y analice su PC con un software de seguridad antimalware recomendado para eliminar los remanentes del virus Odin:.

Para restaurar individualmente cada archivo encriptado por este virus, pruebe con la función versiones anteriores de archivo. Este método es únicamente eficaz si la función de Restaurar sistema estaba activa en el sistema operativo infectado. Tenga en cuenta que algunas variantes de Odin: eliminan las instantáneas de volumen de los ficheros, por lo que puede que este método no funcione en algunos equipos.

Para restaurar un archivo, haga clic con el botón derecho del ratón sobre el archivo, seleccione Propiedades y haga clic en la pestaña Versiones anteriores. Si el archivo en cuestión tiene su punto de restauración, selecciónelo y haga clic en el botón "Restaurar".

Restaurando archivos encriptados por CryptoDefense

Si no puede iniciar su sistema en modo seguro con funciones de red (o con símbolo de sistema), inicie su ordenador usando un disco de rescate. Algunos tipos de ransomware desactivan el modo seguro, por lo que la desinfección es más compleja. Para este paso, necesitará tener acceso a otro PC.

Para recuperar el control de los archivos encriptados por Odin:, pruebe un programa llamado Shadow ExplorerAquí podrá leer más información sobre cómo usar este programa.

captura de pantalla de shadow explorer

Para proteger su equipo de virus encriptadores de archivos, analice su sistema con programas antivirus y antiespía fiables. Como medida de protección extra, le recomendamos el programa HitmanPro.Alert y Malwarebytes Anti-Ransomware que introduce de forma artificial directivas de grupo en el registro para bloquear programas maliciosos como Odin:.

HitmanPro.Alert CryptoGuard detecta el cifrado de archivos y neutraliza tales intentos sin la necesidad de que el usuario intervenga:

la aplicación hitmanproalert que protege del ransomware

Malwarebytes Anti-Ransomware Beta recurre a tecnología avanzada proactiva que supervisa la actividad de los virus secuestradores de equipos y la interrumpe de inmediato antes de que afecten a los archivos de los usuarios:

malwarebytes anti-ransomware

  • La mejor forma de evitar daños ocasionados por infecciones de tipo ransomware (secuestradores de sistemas) es realizando habitualmente copias de seguridad. Aquí encontrará más información sobre soluciones informáticas para realizar copias de seguridad y para recuperar datos.

Otras herramientas conocidas para eliminar el virus Odin:

Fuente: https://www.pcrisk.com/removal-guides/10524-odin-ransomware