Virus encriptador *.thor

Conocido también como: Thor virus
Propagación: Bajo
Nivel de peligrosidad: Medio

Instrucciones para eliminar el virus criptográfico *.thor

¿Qué es *.thor?

*.thor es una nueva versión del virus encriptador Locky. Los desarrolladores propagan este ransomware a través de correos basura. Una vez esté dentro, *.thor cifra varios archivos mediante criptografía asimétrica. Durante el cifrado, este ransomware cambia el nombre de los archivos con esta lógica: "[8_caracteres_aleatorios]-[4_caracteres_aleatorios]-[4_caracteres_aleatorios]-[4_caracteres_aleatorios]-[12_caracteres_aleatorios].thor". Por ejemplo, el nombre de un archivo encriptado sería "D56F3331-380D-9317-3F9C-6CE2C2BB051.thor". Una vez que los archivos han sido encriptados, *.thor coloca dos archivos (.html y .bmp, ambos con el nombre "_WHAT_is") en el escritorio y cambia el fondo de escritorio.

Los archivos .html y .bmp contienen un mensaje idéntico para pedir el rescate en el que se dice que los archivos han sido encriptados a través de un algoritmo criptográfico RSA-2048 y AES-128. En el mensaje se dice también que los archivos pueden solo recuperarse si se consigue una clave privada con una herramienta de desencriptación. Como se ha indicado anteriormente, *.thor encripta los archivos mediante criptografía asimétrica. Por tanto, se generan dos claves: una pública (encriptación) y privada (desencriptación) en el proceso de cifrado de archivos. La clave privada se almacena en servidores remotos controlados por los ciberdelincuentes. Las afirmaciones que se hacen sobre la imposibilidad de llevar a cabo la desencriptación sin esta clave son desafortunadamente ciertas. Para recuperar sus archivos, las víctimas deben pagar supuestamente 3 Bitcoins (en la actualidad, esto equivale a ~$1952); sin embargo, pagar no garantiza que sus archivos vayan a ser desencriptados. Los ciberdelincuentes suelen ignorar a sus víctimas aunque se hayan realizado los pagos. Si paga, hay una alta probabilidad de que le acaben estafando. Por ello, le recomendamos encarecidamente que haga caso omiso de todas las peticiones de pago y no contacte con esa gente. Por desgracia, no existen herramientas actualmente que sean capaces de desencriptar los archivos afectados de forma gratuita; la única solución es recuperar los archivos/sistema a partir de una copia de seguridad.

Captura de pantalla (fondo de escritorio) del mensaje donde se insta a los usuarios a pagar la recompensa para desencriptar los archivos afectados:

instrucciones desencriptación *.thor

Todos los virus de la categoría secuestrador de sistemas son prácticamente idénticos. Como pasa en *.thor, los programas malintencionados como CerberCTB-Locker y Cry encriptan también archivos y exigen cientos o incluso miles de dólares. Solo hay dos diferencias importantes: cuantía del rescate y tipo de criptografía usada (simétrica/asimétrica). Los virus como *.thor se distribuyen a través de emails basura (adjuntos maliciosos), redes P2P (por ejemplo, Torrent, eMule, etc.), herramientas falsas de actualización de software y troyanos. Por tanto, vaya con cautela al abrir archivos recibidos por parte de direcciones de email desconocidas/sospechosas y al descargar software de fuentes no oficiales. Por consiguiente, mantenga actualizado el software instalado; los ciberdelincuentes son capaces de aprovechar los errores de software para infiltrarse en el sistema. También es muy importante usar una solución fiable antivirus y antiespía.

Captura de pantalla del archivo .bmp en el virus encriptador *.thor ("_WHAT_is.bmp"):

archivo BMP del virus encriptador *.thor

Captura de pantalla del archivo .html en el virus encriptador *.thor ("_WHAT_is.html"):

archivo html del virus encriptador *.thor

Captura de pantalla del sitio web de Tor:

Sitio web del virus criptográfico *.thor

Captura de pantalla de archivos encriptados por el virus encriptador *.thor (lógica: "[8_caracteres_aleatorios]-[4_caracteres_aleatorios]-[4_caracteres_aleatorios]-[4_caracteres_aleatorios]-[12_caracteres_aleatorios].thor"):

El virus encriptador *.thor encripta los archivos de sus víctimas

Tipos de archivo afectados por el virus encriptador *.thor:

7zip; .aac; .accdb; .accde; .accdr; .accdt; .ach; .acr; .act; .adb; .adp; .ads; .aes; .agdl; .aiff; .ait; .aoi; .apj; .apk; .ARC; .arw; .asc; .asf; .asm; .asp; .aspx; .asset; .asx; .avi; .awg; .back; .backup; .backupdb; .bak; .bank; .bat; .bay; .bdb; .bgt; .bik; .bin; .bkp; .blend; .bmp; .bpw; .brd; .bsa; .cdf; .cdr; .cdr3; .cdr4; .cdr5; .cdr6; .cdrw; .cdx; .cer; .cfg; .cgm; .cib; .class; .cls; .cmd; .cmt; .config; .contact; .cpi; .cpp; .craw; .crt; .crw; .csh; .csl; .csr; .css; .csv; .CSV; .d3dbsp; .dac; .das; .dat; .db_journal; .dbf; .dbx; .dch; .dcr; .dcs; .ddd; .ddoc; .ddrw; .dds; .der; .des; .design; .dgc; .dif; .dip; .dit; .djv; .djvu; .dng; .doc; .DOC; .docb; .docm; .docx; .dot; .DOT; .dotm; .dotx; .drf; .drw; .dtd; .dwg; .dxb; .dxf; .dxg; .edb; .eml; .eps; .erbsql; .erf; .exf; .fdb; .ffd; .fff; .fhd; .fla; .flac; .flf; .flv; .flvv; .forge; .fpx; .frm; .fxg; .gif; .gpg; .gray; .grey; .groups; .gry; .hbk; .hdd; .hpp; .html; .hwp; .ibank; .ibd; .ibz; .idx; .iif; .iiq; .incpas; .indd; .iwi; .jar; .java; .jnt; .jpe; .jpeg; .jpg; .kdbx; .kdc; .key; .kpdx; .kwm; .laccdb; .lay; .lay6; .lbf; .ldf; .lit; .litemod; .litesql; .log; .ltx; .lua; .m2ts; .mapimail; .max; .mbx; .mdb; .mdc; .mdf; .mef; .mfw; .mid; .mkv; .mlb; .mml; .mmw; .mny; .moneywell; .mos; .mov; .mpeg; .mpg; .mrw; .ms11 (Security copy); .msg; .myd; .MYD; .MYI; .ndd; .ndf; .nef; .NEF; .nop; .nrw; .nsd; .nsf; .nsg; .nsh; .nvram; .nwb; .nxl; .nyf; .oab; .obj; .odb; .odc; .odf; .odg; .odm; .odp; .ods; .odt; .ogg; .oil; .onetoc2; .orf; .ost; .otg; .oth; .otp; .ots; .ott; .pab; .pages; .PAQ; .pas; .pat; .pcd; .pct; .pdb; .pdd; .pdf; .pef; .pem; .pfx; .php; .pif; .plc; .plus_muhd; .png; .pot; .potm; .potx; .ppam; .pps; .ppsm; .ppsx; .ppt; .PPT; .pptm; .pptx; .prf; .psafe3; .psd; .pspimage; .pst; .ptx; .pwm; .qba; .qbb; .qbm; .qbr; .qbw; .qbx; .qby; .qcow; .qcow2; .qed; .raf; .rar; .rat; .raw; .rdb; .rtf; .RTF; .rvt; .rwl; .rwz; .s3db; .safe; .sas7bdat; .sav; .save; .say; .sch; .sda; .sdf; .sldm; .sldx; .slk; .sql; .sqlite; .sqlite3; .SQLITE3; .sqlitedb; .SQLITEDB; .srf; .srt; .srw; .stc; .std; .sti; .stm; .stw; .stx; .svg; .swf; .sxc; .sxd; .sxg; .sxi; .sxm; .sxw; .tar; .tarbz2; .tbk; .tex; .tga; .tgz; .thm; .tif; .tiff; .tlg; .txt; .uop; .uot; .upk; .vbox; .vbs; .vdi; .vhd; .vhdx; .vmdk; .vmsd; .vmx; .vmxf; .vob; .wab; .wad; .wallet; .wav; .wks; .wma; .wmv; .wpd; .wps; .xis; .xla; .xlam; .xlc; .xlk; .xlm; .xlr; .xls; .XLS; .xlsb; .xlsm; .xlsx; .xlt; .xltm; .xltx; .xlw; .xml; .ycbcra; .yuv; .zip

Eliminar el virus encriptador *.thor:

Menú rápido:

Paso 1

Usuarios de Windows XP y Windows 7: Inicie su equipo en modo seguro. Haga clic en Inicio, Apagar, Reiniciar y aceptar. Mientras el equipo arranca, pulse la tecla F8 en su teclado varias veces hasta que vea el menú de Opciones avanzadas de Windows, luego seleccione modo seguro con funciones de red de la lista.

Modo seguro con funciones de red

Este vídeo muestra cómo iniciar Windows 7 en "Modo seguro con funciones de red":

Usuarios de Windows 8: Inicie Windows 8 en modo seguro con funciones de red: Diríjase a la pantalla de inicio de Windows 8, escriba "avanzadas", en los resultados de búsqueda, seleccione "Cambiar opciones avanzadas de inicio". En la nueva ventana "Configuración de PC", vaya hasta la sección "Inicio avanzado". Haga clic en el botón "Reiniciar ahora". Su PC se reiniciará ahora con el "Menú de opciones de arranque avanzadas". Haga clic en el botón de "Solucionar problemas", luego haga clic en el botón de "Opciones avanzadas". En la pantalla de opciones avanzadas, haga clic en "Configuración de inicio". Haga clic en el botón "Reiniciar". Su PC se reiniciará mostrando primero la pantalla de Configuración de inicio. Pulse F5 para arrancar en Modo seguro con funciones de red.

Modo seguro en Windows 8 con funciones de red


Este vídeo muestra cómo iniciar Windows 8 en "Modo seguro con funciones de red":

Usuarios de Windows 10: Haga clic en el logo de Windows y seleccione el icono de Inicio/Apagado. En el nuevo menú, haga clic en "Reiniciar" mientras mantiene pulsada la tecla "mayúsculas" en su teclado. En la ventana "seleccione una opción", haga clic en "Solucionar problemas" y luego en "Opciones avanzadas". En el menú de opciones avanzadas, seleccione "Configuración de inicio" y haga clic en el botón "Reiniciar". En la siguiente pantalla, tendrá que pulsar la tecla F5 de su teclado. Luego se reiniciará el sistema operativo en modo seguro con funciones de red.

Modo seguro en Windows 10 con funciones de red

Este vídeo muestra cómo iniciar Windows 10 en "Modo seguro con funciones de red":

Paso 2

Inicie sesión con la cuenta que ha sido infectada con el virus *.thor. Abra su navegador web y descargue un programa legítimo anti-spyware. Actualice el software antiespía e inicie un análisis de sistema completo. Elimine todas las entradas que se detecten.


Descargar programa para eliminar Thor virus
1) Descarga e instala   2) Ejecuta el análisis en tu sistema   3) ¡Tu equipo estará ahora desinfectado!

Su detector gratuito verifica si su equipo está infectado. Para eliminar el software malicioso, tendrá que comprar la versión completa de Reimage.

Si no puede arrancar su equipo en modo seguro con funciones de red, pruebe ejecutando una restauración del sistema.

Este vídeo muestra cómo eliminar el virus ransomware usando "Modo seguro con funciones de red" y "Restaurar sistema":

1. Durante el proceso de arranque de su ordenador, pulse la tecla F8 en su teclado varias veces hasta que se muestre el menú de Opciones avanzadas de Windows, luego seleccione Modo seguro con símbolo de sistema de la lista y pulse ENTER.

Inicie su sistema en modo seguro con símbolo de sistema

2. Cuando el símbolo del sistema se cargue, introduzca la siguiente línea: cd restore y pulse ENTER.

restauración de sistema usando símbolo del sistema cd restore

3. Luego teclee esta línea: rstrui.exe y pulse ENTER.

restaurar sistema usando símbolo de sistema rstrui.exe

4. En la nueva pantalla, haga clic en "Siguiente".

restaurar archivos del sistema y configuraciones

5. Seleccione uno de los puntos de restauración disponibles y haga clic en "Siguiente" (se restaurará el sistema de su equipo a una fecha anterior antes de que el ransomware *.thor se introdujera en su PC).

seleccione un punto de restauración

6. En la ventana abierta, haga clic en "Sí".

ejecutar restauración de sistema

7. Después de restaurar su sistema a un punto anterior, descargue y analice su PC con un software de seguridad antimalware recomendado para eliminar los remanentes del virus *.thor.

Para restaurar individualmente cada archivo encriptado por este virus, pruebe con la función versiones anteriores de archivo. Este método es únicamente eficaz si la función de Restaurar sistema estaba activa en el sistema operativo infectado. Tenga en cuenta que algunas variantes de *.thor eliminan las instantáneas de volumen de los ficheros, por lo que puede que este método no funcione en algunos equipos.

Para restaurar un archivo, haga clic con el botón derecho del ratón sobre el archivo, seleccione Propiedades y haga clic en la pestaña Versiones anteriores. Si el archivo en cuestión tiene su punto de restauración, selecciónelo y haga clic en el botón "Restaurar".

Restaurando archivos encriptados por CryptoDefense

Si no puede iniciar su sistema en modo seguro con funciones de red (o con símbolo de sistema), inicie su ordenador usando un disco de rescate. Algunos tipos de ransomware desactivan el modo seguro, por lo que la desinfección es más compleja. Para este paso, necesitará tener acceso a otro PC.

Para recuperar el control de los archivos encriptados por *.thor, pruebe un programa llamado Shadow ExplorerAquí podrá leer más información sobre cómo usar este programa.

captura de pantalla de shadow explorer

Para proteger su equipo de virus encriptadores de archivos, analice su sistema con programas antivirus y antiespía fiables. Como medida de protección extra, le recomendamos el programa HitmanPro.Alert y Malwarebytes Anti-Ransomware que introduce de forma artificial directivas de grupo en el registro para bloquear programas maliciosos como *.thor.

HitmanPro.Alert CryptoGuard detecta el cifrado de archivos y neutraliza tales intentos sin la necesidad de que el usuario intervenga:

la aplicación hitmanproalert que protege del ransomware

Malwarebytes Anti-Ransomware Beta recurre a tecnología avanzada proactiva que supervisa la actividad de los virus secuestradores de equipos y la interrumpe de inmediato antes de que afecten a los archivos de los usuarios:

malwarebytes anti-ransomware

  • La mejor forma de evitar daños ocasionados por infecciones de tipo ransomware (secuestradores de sistemas) es realizando habitualmente copias de seguridad. Aquí encontrará más información sobre soluciones informáticas para realizar copias de seguridad y para recuperar datos.

Otras herramientas conocidas para eliminar el virus *.thor:

Fuente: https://www.pcrisk.com/removal-guides/10597-thor-ransomware