Secuestrador de sistemas Purge

Conocido también como: Purge (virus)
Propagación: Baja
Nivel de peligrosidad: Extremo

Instrucciones para eliminar el virus criptográfico Purge

¿Qué es Purge?

Purge es un virus de la categoría criptográfica que cifra archivos mediante un algoritmo criptográfico RSA. Durante el cifrado, Purge añade la extensión ".purge" al nombre de cada archivo encriptado (por ejemplo, "sample.jpg" cambia su nombre por "sample.jpg.purge"). Otros virus encriptadores que proceden de este grupo de virus usan las extensiones .nazarbayev, .lovewindows, .orgasm, .dcrptme, .gurdian-decrypt@india.com.ps4, .decryptallfiles@india.com, .SGood, .grapn206@india.com, .brute3389@india.com, .x3m, .MK, .exploit, .duhust, .ACRYPT, .zendrz, .UCRYPT, .bahij2@india.com.huyred, .orgasm@india.com, .decryptallfiles3@india.com, .zendr2, .siri-down@india.com, .GSupport3, .raid15, .blackblock, .kyra, .@@@.cantread, .strike, .gsupport, .globe, .blt, .encrypted y .raid10. Tras completar el cifrado con éxito, Purge abre el archivo "How to restore files.hta" con un mensaje donde se pide el rescate.

En el mensaje se dice que los archivos han sido cifrados a través de un algoritmo RSA (encriptación asimétrica) y que solo pueden ser recuperados mediante un único desencriptador. Sepa que se generan dos claves: una pública (encriptación) y privada (desencriptación) durante el proceso de cifrado de archivos con un algoritmo asimétrico. Es imposible, de hecho, realizar la desencriptación sin la clave privada. La clave se almacena en servidores remotos controlados por los ciberdelincuentes; por tanto, las víctimas deben comprar un software de desencriptación con una clave incorporada. Para ello, tienen que contactar con los ciberdelincuentes a través de una dirección de email facilitada (bahij2@india.com, usdubzub@aol.com, kuprin@india.com, deyscriptors24@india.com, mkscorpion@india.com, support-ransomware@india.com, duhust@india.com, siri-down@india.com, support-locking@india.com, Good Men goodsupport@india.com, powerbase@tutanota.com, viewclear@yandex.com, xitreu@india.com, mia.kokers@aol.com, o okean-1955@india.com). También se afirma que el rescate debe pagarse en siete días después de la infección; de lo contrario, la clave se eiliminará y será imposible realizar la desencriptación. Los ciberdelincuentes permiten a las víctimas desencriptar un archivo seleccionado sin ningún coste; esto se hace para ver que la encriptación es posible. A pesar de ello, los desarrolladores de virus encriptadores suelen ignorar a sus víctimas aunque hayan realizado el pago. Por ello, es arriesgado pagar y puede no tener ningún efecto positivo. Además, es caro, ya que los virus secuestradores de equipos exigen normalmente $500-$1500 en Bitcoins (este método de pago permite a los ciberdelincuentes permanecer en el anonimato). Por ello, le recomendamos encarecidamente que haga caso omiso de todas las peticiones de pago y no contacte con esa gente. En tal caso, solo estaría apoyando su modelo malicioso de negocio. Por desgracia, no existen herramientas actualmente que sean capaces de desencriptar los archivos afectados por el ransomware Purge. La única solución sería restaurar los archivos/sistema a partir de una copia de seguridad.

Captura de pantalla del mensaje que insta a los usuarios a contactar con los desarrolladores de Purge para desencriptar los archivos afectados (How to restore files.hta):

instrucciones desencriptación Purge

Internet está repleto de software malicioso similar a Purge. Algunos ejemplos son CerberJohnyCryptorChimeraCTB-Locker y muchos otros. El estudio muestra que todos los virus de la categoría ransomware son prácticamente idénticos; encriptan los archivos y exigen un rescate. Las únicas diferencias perceptibles están en el tipo de algoritmo criptográfico usado y la cuantía del rescate. Los ciberdelincuentes distribuyen a menudo los virus encriptadores a través de asistentes de actualización falsos, troyanos, redes P2P (por ejemplo, Torrent) y correo basura (adjuntos maliciosos). Por tanto, mantenga actualizado el software instalado y use una solución antivirus o antiespía fiable. Asimismo, vaya con mucho cuidado al abrir archivos enviados desde direcciones de e-mail sospechosas/desconocidas. Le recomendamos encarecidamente descargar los archivos/aplicaciones elegidos solo desde fuentes fiables (por ejemplo; sitios web oficiales de descarga). Otros asistentes de descarga pueden incluir aplicaciones maliciosas adicionales y, por lo tanto, debería evitar usarlos. Lo fundamental de la seguridad informática es la precaución.

Actualización a 1 de octubre de 2016: las víctimas de este virus secuestrador de equipos pueden utilizar una herramienta gratuita desarrollada por Fabian Wosar para recuperar el control de los archivos afectados de forma gratuita. Para desencriptar los archivos, descargue el archivo Emsisoft Decrypter for Globe - enlace de descarga AQUÍ.

Captura de pantalla de una imagen que se añade como fondo en el escritorio de la víctima:

fondo de escritorio de purge

Mensaje que solicita el pago del rescate en Purge:

YOUR FILES HAVE BEEN ENCRYPTED!

Your files have been been encrypted with a powerfull strain of a virus called ransomware. Your files are encrytped using rsa encryption, the same standard used by the military and banks. It is currently impossible to decrypt files encrypted with rsa encryption.
Lucky for you, we can help. We are willing to sell you a decryptor UNIQUELY made for your computer (meaning someone else's decryptor will not work for you). Once you pay a small fee, we will instantly send you the software/info neccessary to decrypt all your files, quickly and easilly.
In order to get in touch with us email us at powerbase@tutanota.com.In your email write your personal ID (its located at the up of the page, it is a string of random characters). Once we receive your personal ID, we will send you payment instructions.
As proff we can decrypt you files we may decrypt 1 small file for test.
If you dont get answer from powerbase@tutanota.com in 10 hours
Register here: hxxp://bitmsg.me
Write to adress BM-2cUrKsazEKiamN9cZ17xQq9c5JpRpokca5 with you email and personal ID
When you payment will bee confirmed, You will get decrypter of files on you computer. After you run decrypter software all you files will be decryped and restored. Do not try restore files without our help, this is useless and you may lose data permanetly. Decrypters of others clients are unique and work only on PC with they personal ID. We can not keep your decryption keys forever, meaning after 1 week after you have been infected, if you have not paid, we will not be able to decrypt your files. Email us as soon as you see this message, we know exactly when everyone has been encrypted and the longer you wait, the higher the payment gets.

Captura de pantalla de archivos cifrados por el virus encriptador Purge (extensión .purge):

El virus encriptador Purge encripta los archivos de sus víctimas

Eliminar el secuestrador de sistemas Purge:

Eliminar automáticamente de forma instantánea Purge (virus): Eliminar las amenazas de forma manual puede acabar siendo un proceso largo y tedioso que precisa de conocimientos informáticos avanzados. Spyhunter es una herramienta profesional para eliminar software malicioso de forma automática y está recomendada para acabar con Purge (virus). La descarga se iniciará al hacer clic en el siguiente botón:
▼ DESCARGAR Spyhunter Su detector gratuito verifica si su equipo está infectado. Para eliminar el software malicioso, tendrá que comprar la versión completa de Spyhunter. Si decide descargar este programa, quiere decir que usted está conforme con nuestra Política de privacidad y Condiciones de uso.

Menú rápido:

Paso 1

Usuarios de Windows XP y Windows 7: Inicie su equipo en modo seguro. Haga clic en Inicio, Apagar, Reiniciar y aceptar. Mientras el equipo arranca, pulse la tecla F8 en su teclado varias veces hasta que vea el menú de Opciones avanzadas de Windows, luego seleccione modo seguro con funciones de red de la lista.

Modo seguro con funciones de red

Este vídeo muestra cómo iniciar Windows 7 en "Modo seguro con funciones de red":

Usuarios de Windows 8: Inicie Windows 8 en modo seguro con funciones de red: Diríjase a la pantalla de inicio de Windows 8, escriba "avanzadas", en los resultados de búsqueda, seleccione "Cambiar opciones avanzadas de inicio". En la nueva ventana "Configuración de PC", vaya hasta la sección "Inicio avanzado". Haga clic en el botón "Reiniciar ahora". Su PC se reiniciará ahora con el "Menú de opciones de arranque avanzadas". Haga clic en el botón de "Solucionar problemas", luego haga clic en el botón de "Opciones avanzadas". En la pantalla de opciones avanzadas, haga clic en "Configuración de inicio". Haga clic en el botón "Reiniciar". Su PC se reiniciará mostrando primero la pantalla de Configuración de inicio. Pulse F5 para arrancar en Modo seguro con funciones de red.

Modo seguro en Windows 8 con funciones de red


Este vídeo muestra cómo iniciar Windows 8 en "Modo seguro con funciones de red":

Paso 2

Inicie sesión con la cuenta que ha sido infectada con el virus Purge. Abra su navegador web y descargue un programa legítimo anti-spyware. Actualice el software antiespía e inicie un análisis de sistema completo. Elimine todas las entradas que se detecten.

Si no puede arrancar su equipo en modo seguro con funciones de red, pruebe ejecutando una restauración del sistema.

Este vídeo muestra cómo eliminar el virus ransomware usando "Modo seguro con funciones de red" y "Restaurar sistema":

1. Durante el proceso de arranque de su ordenador, pulse la tecla F8 en su teclado varias veces hasta que se muestre el menú de Opciones avanzadas de Windows, luego seleccione Modo seguro con símbolo de sistema de la lista y pulse ENTER.

Inicie su sistema en modo seguro con símbolo de sistema

2. Cuando el símbolo del sistema se cargue, introduzca la siguiente línea: cd restore y pulse ENTER.

restauración de sistema usando símbolo del sistema cd restore

3. Luego teclee esta línea: rstrui.exe y pulse ENTER.

restaurar sistema usando símbolo de sistema rstrui.exe

4. En la nueva pantalla, haga clic en "Siguiente".

restaurar archivos del sistema y configuraciones

5. Seleccione uno de los puntos de restauración disponibles y haga clic en "Siguiente" (se restaurará el sistema de su equipo a una fecha anterior antes de que el ransomware Purge se introdujera en su PC).

seleccione un punto de restauración

6. En la ventana abierta, haga clic en "Sí".

ejecutar restauración de sistema

7. Después de restaurar su sistema a un punto anterior, descargue y analice su PC con un software de seguridad antimalware recomendado para eliminar los remanentes del virus Purge.

Para restaurar individualmente cada archivo encriptado por este virus, pruebe con la función versiones anteriores de archivo. Este método es únicamente eficaz si la función de Restaurar sistema estaba activa en el sistema operativo infectado. Tenga en cuenta que algunas variantes de Purge eliminan las instantáneas de volumen de los ficheros, por lo que puede que este método no funcione en algunos equipos.

Para restaurar un archivo, haga clic con el botón derecho del ratón sobre el archivo, seleccione Propiedades y haga clic en la pestaña Versiones anteriores. Si el archivo en cuestión tiene su punto de restauración, selecciónelo y haga clic en el botón "Restaurar".

Restaurando archivos encriptados por CryptoDefense

Si no puede iniciar su sistema en modo seguro con funciones de red (o con símbolo de sistema), inicie su ordenador usando un disco de rescate. Algunos tipos de ransomware desactivan el modo seguro, por lo que la desinfección es más compleja. Para este paso, necesitará tener acceso a otro PC.

Para recuperar el control de los archivos encriptados por Purge, pruebe un programa llamado Shadow ExplorerAquí podrá leer más información sobre cómo usar este programa.

captura de pantalla de shadow explorer

Para proteger su equipo de virus encriptadores de archivos, analice su sistema con programas antivirus y antiespía fiables. Como medida de protección extra, le recomendamos el programa HitmanPro.Alert y Malwarebytes Anti-Ransomware que introduce de forma artificial directivas de grupo en el registro para bloquear programas maliciosos como Purge.

HitmanPro.Alert CryptoGuard detecta el cifrado de archivos y neutraliza tales intentos sin la necesidad de que el usuario intervenga:

la aplicación hitmanproalert que protege del ransomware

Malwarebytes Anti-Ransomware Beta recurre a tecnología avanzada proactiva que supervisa la actividad de los virus secuestradores de equipos y la interrumpe de inmediato antes de que afecten a los archivos de los usuarios:

malwarebytes anti-ransomware

  • La mejor forma de evitar daños ocasionados por infecciones de tipo ransomware (secuestradores de sistemas) es realizando habitualmente copias de seguridad. Aquí encontrará más información sobre soluciones informáticas para realizar copias de seguridad y para recuperar datos.

Otras herramientas conocidas para eliminar el virus Purge:

Fuente: https://www.pcrisk.com/removal-guides/10385-purge-ransomware