Virus encriptador *.aesir

Conocido también como: Aesir virus
Propagación: Bajo
Nivel de peligrosidad: Extremo

Instrucciones para eliminar el virus criptográfico *.aesir

¿Qué es *.aesir?

*.aesir es una nueva versión de Locky. Es idéntico a .odin y *.thor más allá de algunos cambios menores. Los desarrolladores propagan este ransomware a través de correos basura (adjuntos maliciosos). Una vez dentro, *.aesir encripta archivos almacenados (afecta a 456 tipos de archivo en total) mediante criptografía asimétrica. Los archivos cifrados son renombrados siguiendo el siguiente patrón: "[8_caracteres_aleatorios]-[4_caracteres_aleatorios]-[4_caracteres_aleatorios]-[4_caracteres_aleatorios]-[12_caracteres_aleatorios].aesir". Por ejemplo, el nombre de un archivo encriptado podría modificarse por algo como "F76FAA31-3A55-O591-3DDO-1A32C2HN051.aesir". Cuando los archivos estén encriptados, el secuestrador de equipos crea tres archivos ("-INSTRUCTION.bmp", "_1-INSTRUCTION.html" y "-INSTRUCTION.html"), los coloca en el escritorio de la víctima y cambia el fondo.

En los tres archivos, se puede leer el mismo mensaje donde se informa a las víctimas de la desencriptación. Se asegura que la desencriptación solo es posible usando una clave privada. Por desgracia, esto es cierto Como se ha indicado anteriormente, *.aesir se sirve de algoritmos de encriptación asimétrica. Por ello, se generan claves públicas (encriptación) y privadas (desencriptación). La desencriptación sin una clave privada es realmente imposible. Así que las víctimas se ven obligadas a pagar, ya que la clave está almacenada en un servidor remoto controlado por los ciberdelincuentes. Para abonar el pago, las víctimas deben visitar un enlace Tor facilitado donde encontrarán instrucciones detalladas. El precio es 3 Bitcoins (actualmente, 1 Bitcoin cuesta ~$734). No obstante, nunca debería intentar ponerse en contacto con esos delincuentes ni pagar el rescate. Los estafadores suelen ignorar a sus víctimas aunque estas hayan realizado el pago. Por tanto, el pago no garantiza que sus archivos serán desencriptados. Lo más probable es que le estafen. Por desgracia, no hay herramientas capaces de restaurar los archivos/sistema a partir de una copia de seguridad. Por tanto, la única solución es restaurar el sistema desde una copia de respaldo.

Captura de pantalla (fondo de escritorio) del mensaje donde se insta a los usuarios a visitar un sitio fraudulento para desencriptar los archivos afectados:

instrucciones desencriptación *.aesir

Hay decenas de virus encriptadores similares a *.aesir. Algunos ejemplos son JohnyCryptor, CTB-Locker, Cerber y muchos otros. Todos ellos actúan exactamente de la misma forma: encriptan los archivos de la víctima y exigen un rescate. Casi todos esos virus se sirven de criptografía asimétrica. Por este motivo, la única diferencia perceptible está en la cuantía del rescate. Los desarrolladores propagan el ransomware a través de sitios ajenos de descargas (torrents, eMule, sitios web de descargas gratuitas, sitios de almacenamiento de archivos gratuitos, etc.), correos basura, falsos asistentes de actualización de software y troyanos. Por este motivo, debería ir con cuidado al descargar software/archivos y al abrir archivos adjuntos recibidos en correos sospechosos. Asimismo, asegúrese siempre de que mantiene actualizados los programas instalados y usa un antivirus/antiespía fiable. Una forma de proceder descuidada y la falta de conocimiento son las causas más comunes de la infección. Por tanto, la clave para mantener el equipo seguro es la precaución.

Captura de pantalla de "-INSTRUCTION.bmp":

archivo de texto *.aesir

Captura de pantalla del archivo html en el virus encriptador *.aesir ("_1-INSTRUCTION.html"):

instrucciones desencriptación *.aesir

Texto mostrado en los archivos html y bmp de *.aesir:

$|$+$**
|+__.-
!!! IMPORTANT INFORMATION !!!
All of your files are encrypted with RSA-2048 and AES-128 ciphers.
More information about RSA and AES can be found here:
hxxp://en.wikipedia.org/wiki/RSA (cryptosystem)
hxxp://en.wikipedia.org/wiki/Advanced Encryption Standard
Decrypting of your files is only possible with the private key and decrypt program, which is on our secret server.
To receive your private key follow one of the links:
If all of this addresses are not available, follow these steps:
1. Download and install Tor Browser: hxxp://www.torproject.org/download/download-easy.html
2. After a successful installation, run the browser and wait for initialisation.
3. Type in the address bar: mwddgguaa5rj7b54.onion/D56F3331E80D9E17
4. Follow the instructions on the site.
!!! Your personal identification ID: D56F3331E80D9E17 !!!
_$+=$.$-*$$$
+*-++|| *==_*-a-
__+$|+++-$-.+

Captura de pantalla del sitio web Tor de *.aesir (página del desencriptador de Locky):

instrucciones desencriptación *.aesir

Texto mostrado en este sitio web:

We present a special software - Locky Decryptor™ -
which allows to decrypt and return control to all your encrypted files.
How to buy Locky Decryptor™?
You can make a payment with BitCoins, there are many methods to get them.
You should register BitCoin wallet:
Simplest online wallet or Some other methods of creating wallet
Purchasing Bitcoins, although it's not yet easy to buy bitcoins, it's getting simpler every day.
Send 3.00 BTC to Bitcoin address: 1BkR8zL6jAn8zcF4t6FM85DYLFG1dZ12ip
Note: Payment pending up to 30 mins or more for transaction confirmation, please be patient...
Refresh the page and download decryptor.
When Bitcoin transactions will receive one confirmation, you will be redirected to the page for downloading the decryptor.

Captura de pantalla de archivos encriptados por el virus encriptador *.aesir (lógica: "[8_caracteres_aleatorios]-[4_caracteres_aleatorios]-[4_caracteres_aleatorios]-[4_caracteres_aleatorios]-[12_caracteres_aleatorios].aesir"):

*.aesir decrypt instructions

Eliminar el virus criptográfico *.aesir:

Menú rápido:

Paso 1

Usuarios de Windows XP y Windows 7: Inicie su equipo en modo seguro. Haga clic en Inicio, Apagar, Reiniciar y aceptar. Mientras el equipo arranca, pulse la tecla F8 en su teclado varias veces hasta que vea el menú de Opciones avanzadas de Windows, luego seleccione modo seguro con funciones de red de la lista.

Modo seguro con funciones de red

Este vídeo muestra cómo iniciar Windows 7 en "Modo seguro con funciones de red":

Usuarios de Windows 8: Inicie Windows 8 en modo seguro con funciones de red: Diríjase a la pantalla de inicio de Windows 8, escriba "avanzadas", en los resultados de búsqueda, seleccione "Cambiar opciones avanzadas de inicio". En la nueva ventana "Configuración de PC", vaya hasta la sección "Inicio avanzado". Haga clic en el botón "Reiniciar ahora". Su PC se reiniciará ahora con el "Menú de opciones de arranque avanzadas". Haga clic en el botón de "Solucionar problemas", luego haga clic en el botón de "Opciones avanzadas". En la pantalla de opciones avanzadas, haga clic en "Configuración de inicio". Haga clic en el botón "Reiniciar". Su PC se reiniciará mostrando primero la pantalla de Configuración de inicio. Pulse F5 para arrancar en Modo seguro con funciones de red.

Modo seguro en Windows 8 con funciones de red

Este vídeo muestra cómo iniciar Windows 8 en "Modo seguro con funciones de red":

Usuarios de Windows 10: Haga clic en el logo de Windows y seleccione el icono de Inicio/Apagado. En el nuevo menú, haga clic en "Reiniciar" mientras mantiene pulsada la tecla "mayúsculas" en su teclado. En la ventana "seleccione una opción", haga clic en "Solucionar problemas" y luego en "Opciones avanzadas". En el menú de opciones avanzadas, seleccione "Configuración de inicio" y haga clic en el botón "Reiniciar". En la siguiente pantalla, tendrá que pulsar la tecla F5 de su teclado. Luego se reiniciará el sistema operativo en modo seguro con funciones de red.

Modo seguro en Windows 10 con funciones de red

Este vídeo muestra cómo iniciar Windows 10 en "Modo seguro con funciones de red":

Paso 2

Inicie sesión con la cuenta que ha sido infectada con el virus *.aesir . Abra su navegador web y descargue un programa legítimo anti-spyware. Actualice el software antiespía e inicie un análisis de sistema completo. Elimine todas las entradas que se detecten.


Descargar programa para eliminar Aesir virus
1) Descarga e instala   2) Ejecuta el análisis en tu sistema   3) ¡Tu equipo estará ahora desinfectado!

Su detector gratuito verifica si su equipo está infectado. Para eliminar el software malicioso, tendrá que comprar la versión completa de Reimage.

Si no puede arrancar su equipo en modo seguro con funciones de red, pruebe ejecutando una restauración del sistema.

Este vídeo muestra cómo eliminar el virus ransomware usando "Modo seguro con funciones de red" y "Restaurar sistema":

1. Durante el proceso de arranque de su ordenador, pulse la tecla F8 en su teclado varias veces hasta que se muestre el menú de Opciones avanzadas de Windows, luego seleccione Modo seguro con símbolo de sistema de la lista y pulse ENTER.

Inicie su sistema en modo seguro con símbolo de sistema

2. Cuando el símbolo del sistema se cargue, introduzca la siguiente línea: cd restore y pulse ENTER.

restauración de sistema usando símbolo del sistema cd restore

3. Luego teclee esta línea: rstrui.exe y pulse ENTER.

restaurar sistema usando símbolo de sistema rstrui.exe

4. En la nueva pantalla, haga clic en "Siguiente".

restaurar archivos del sistema y configuraciones

5. Seleccione uno de los puntos de restauración disponibles y haga clic en "Siguiente" (se restaurará el sistema de su equipo a una fecha anterior antes de que el ransomware *.aesir se introdujera en su PC).

seleccione un punto de restauración

6. En la ventana abierta, haga clic en "Sí".

ejecutar restauración de sistema

7. Después de restaurar su sistema a un punto anterior, descargue y analice su PC con un software de seguridad antimalware recomendado para eliminar los remanentes del virus *.aesir .

Para restaurar individualmente cada archivo encriptado por este virus, pruebe con la función versiones anteriores de archivo. Este método es únicamente eficaz si la función de Restaurar sistema estaba activa en el sistema operativo infectado. Tenga en cuenta que algunas variantes de *.aesir eliminan las instantáneas de volumen de los ficheros, por lo que puede que este método no funcione en algunos equipos.

Para restaurar un archivo, haga clic con el botón derecho del ratón sobre el archivo, seleccione Propiedades y haga clic en la pestaña Versiones anteriores. Si el archivo en cuestión tiene su punto de restauración, selecciónelo y haga clic en el botón "Restaurar".

Restaurando archivos encriptados por CryptoDefense

Si no puede iniciar su sistema en modo seguro con funciones de red (o con símbolo de sistema), inicie su ordenador usando un disco de rescate. Algunos tipos de ransomware desactivan el modo seguro, por lo que la desinfección es más compleja. Para este paso, necesitará tener acceso a otro PC.

Para recuperar el control de los archivos encriptados por *.aesir , pruebe un programa llamado Shadow Explorer. Aquí podrá leer más información sobre cómo usar este programa.

captura de pantalla de shadow explorer

Para proteger su equipo de virus encriptadores de archivos, analice su sistema con programas antivirus y antiespía fiables. Como medida de protección extra, le recomendamos el programa HitmanPro.Alert y Malwarebytes Anti-Ransomware que introduce de forma artificial directivas de grupo en el registro para bloquear programas maliciosos como *.aesir .

HitmanPro.Alert CryptoGuard detecta el cifrado de archivos y neutraliza tales intentos sin la necesidad de que el usuario intervenga:

la aplicación hitmanproalert que protege del ransomware

Malwarebytes Anti-Ransomware Beta recurre a tecnología avanzada proactiva que supervisa la actividad de los virus secuestradores de equipos y la interrumpe de inmediato antes de que afecten a los archivos de los usuarios:

malwarebytes anti-ransomware

  • La mejor forma de evitar daños ocasionados por infecciones de tipo ransomware (secuestradores de sistemas) es realizando habitualmente copias de seguridad. Aquí encontrará más información sobre soluciones informáticas para realizar copias de seguridad y para recuperar datos.

Otras herramientas conocidas para eliminar el virus *.aesir :

Fuente: https://www.pcrisk.com/removal-guides/10676-aesir-ransomware