Secuestrador de sistemas GoldenEye

Conocido también como: Virus de GoldenEye
Propagación: Bajo
Nivel de peligrosidad: <strong>Extremo</strong>

Elimínalo ahora

Descripción Desinfección Prevención

Instrucciones para eliminar el virus criptográfico GoldenEye

¿Qué es GoldenEye?

GoldenEye es una combinación de los virus secuestradores Petya y MISCHA. Como en Petya y MISCHA, GoldenEye se distribuye a través de correos electrónico basura (spam). En este e-mail, se envía una falsa oferta de trabajo con texto en alemán y dos archivos adjuntos. Uno de ellos es un currículum falso; el otro, un archivo malicioso de Microsoft Excel. Si se abre el archivo Excel, aparece una ventana emergente para habilitar macros. Si el usuario habilita las macros, el archivo Excel generará un archivo ejecutable y ejecutará el virus encriptador.

MISCHA y Petya se diferencian en que MISCHA encripta solo ciertos archivos, mientras que Petya encripta el propio disco duro (por lo que se hace imposible usar el equipo correctamente). GoldenEye, sin embargo, se encarga de ambas tareas. El virus encriptador Pety fue diseñado para infiltrarse en los sistemas e intentar sobrescribir el registro de arranque principal del sistema (Master Boot Record). Para ello, se tiene que conceder a Petya permisos de administrador. Si el usuario deniega esos permisos, el proceso de encriptación simplemente concluirá. Si, por el contrario, se da permiso, Petya modificará el registro de arranque principal con gestor de arranque personalizado. Petya reinicia el equipo automáticamente, muestra una falsa pantalla de revisión de disco (CHKDSK) y encripta el disco duro en un segundo plano. Luego muestra un mensaje para pedir el rescate con caracteres ASCII. El mensaje se proyecta de forma temporal al arrancar el equipo. MISCHA, por el contrario, no intenta modificar el registro de arranque principal, simplemente encripta los archivos. Este modus operandi es frecuente entre los virus secuestradores de equipos. GoldenEye ejecuta esas acciones al revés: encripta los archivos y solo entonces intenta modificar el registro de arranque principal, por lo que evita que las víctimas finalicen el proceso de encriptación (si no concedieran permisos). Tras completarse la encriptación, GoldenEye muestra también un mensaje similar para pedir una recompensa. Asimismo, GoldenEye crea una archivo de texto ("YOUR_FILES_ARE_ENCRYPTED.txt" con el mismo mensaje) y lo guarda en algunas carpetas (p. ej., Escritorio, Documentos, etc.). Aparte, GoldenEye añade ocho caracteres aleatorios al nombre de los archivos encriptados (p. ej., "ejemplo.jpg" pasaría a llamarse "ejemplo.jpg.g8k3jmol"). En el mensaje donde se pide el rescate, se informa a las víctimas de la encriptación y se exige el pago de un rescate por valor de 1,31034193 Bitcoins (aproximadamente, $1000) para la desencriptación. Para realizar el pago, las víctimas deben seguir las instrucciones que se proporcionan en el sitio web de GoldenEye de la red Tor (el enlace se facilita en el mensaje donde se pide el rescate). Sepa que el pago no garantiza que sus archivos serán desencriptados. Según varios estudios, los ciberdelincuentes suelen ignorar a sus víctimas aunque se hayan realizado los pagos. Por ello, nunca debería intentar contactar con esos delincuentes ni tampoco pagar ningún rescate. Actualmente, no hay herramientas que puedan recuperar los archivos encriptados por GoldenEye; sin embargo, analistas de seguridad han desarrollado una herramienta que desencripta los archivos cifrados por Petya. Esta situación puede cambiar; aunque, por ahora, los usuarios pueden solucionar este problema restaurando sus archivos/sistema a partir de una copia de seguridad. Si GoldenEye ha modificado el registro de arranque principal, la solución de restaurar el sistema a partir de una copia de seguridad no será efectiva.

Captura de pantalla de una calavera (dibujo confeccionado mediante arte ASCII) que se muestra tras completarse la encriptación:

instrucciones desencriptación GoldenEye

Hay cientos de virus encriptadores. Algunos ejemplos son DharmaCTB-Locker, GoldenEye, ASN1Cerber y otros tantos. Todos ellos encriptan los archivos y exigen el pago de una recompensa. Solo hay dos principales diferencias: 1) cuantía del rescate, y; 2) algoritmo de encriptación usado (simétrico o asimétrico). Según varios estudios, estos virus se distribuyen a menudo a través de correos electrónico basura (adjuntos maliciosos), redes P2P y otras fuentes de descarga de software de terceros (sitios web de descarga gratuita, sitios web de alojamiento de archivos gratuitos, etc.), fuentes de descarga de software no oficiales y troyanos. Por tanto, vaya con cuidado al abrir archivos recibidos en e-mails sospechosos y al descargar software de fuentes no oficiales. Los ciberdelincuentes son capaces de aprovecharse de los errores y fallos de seguridad en el software para infectar los sistemas. Por tanto, mantenga actualizadas las aplicaciones instaladas y no use nunca ningún asistente de actualización de terceros. También es esencial usar una solución fiable antivirus y antiespía.

El virus secuestrador GoldenEye pidiendo permisos de administrador:

GoldenEye pidiendo permisos de administrador (ejemplo 1) GoldenEye pidiendo permisos de administrador (ejemplo 2)

Captura de pantalla del archivo de texto de GoldenEye (YOUR_FILES_ARE_ENCRYPTED.txt):

archivo de texto GoldenEye

Texto mostrado en el archivo de texto de GoldenEye:

You became victim of the GOLDENEYE RANSOMWARE!
The files on your computer have been encrypted with an military grade encryption algorithm. There is no way to restore your data without a special key. You can purchase this key on the darknet page shown in step 2.
To purchase your key and restore your data, please follow these three easy steps:
1. Download the Tor Browser at "hxxps://www.torproject.org/". If you need help, please google for "access onion page".
2. Visit one of the following pages with the Tor Browser: hxxp://golden5a4eqranh7.onion/oTmqRcKj hxxp://goldeny4vs3nyoht.onion/oTmqRcKj
3. Enter your personal decryption code there: oTmqRcKj6ZvwAsqewqzYz9t8smYzWLaAzsvjQ5YX8JY53FKv5nAHc7W9L4VFnwSGd8Dw4rVi2nfkPGSX39mwCerLst1Tw4vb

Captura de pantalla de un mensaje de error mostrado antes de reiniciarse el equipo:

falso error de GoldenEye

Falsa pantalla de revisión de disco CHKDSK mostrada durante el cifrado:

tarea de revisión de disco falsa en GoldenEye

Texto mostrado en esta pantalla:

Repairing file system on C:
The type of the file system in NTFS
One of your disks contains errors and needs to be repaired. This process may take several hours to complete. It is strongly recommended to let it complete.
WARNING: DO NOT TURN OFF YOUR PC! IF YOU ABORT THIS PROCESS, YOU COULD DESTROY ALL OF YOUR DATA! PLEASE ENSURE THAT YOUR POWER CABLE IS PLUGED IN!
CHKDSK is repairing sector - of -

Captura de la pantalla que se muestra después de la desencriptación:

pantalla de GoldenEye después de la encriptación

Captura de pantalla del mensaje de GoldenEye donde se pide el pago del rescate:

Mensaje donde se exige el pago del rescate en GoldenEye

Texto mostrado en esta pantalla:

You became a victim of the GOLDENEYE RANSOMWARE!
The hard disks of your computer have been encrypted with an military grade encryption algorithm. There is no way to restore your data without a special key. You can purchase this key on the darknet page shown in step 2.
To purchase your key and restore your data, please follow these three easy steps:
1. Download the Tor Browser at “hxxps://www.torproject.org/“. If you need help, please google for “access onion page”.
2. Visit one of the following pages with the Tor Browser:
hxxp://goldenhjnqvc2lld.onion/
hxxp://golden2uqpiqcs6j.onion/
3. Enter your personal decryption code there: -
If you already purchased your key, please enter it below.

Captura de pantalla del sitio web de GoldenEye (primer paso: pago):

Captura de pantalla del sitio web de GoldenEye (primer paso: pago):

Texto mostrado en esta página:

Step 1: Enter your personal identifier
First you have to enter your personal identifier. This code contains important informations for the decryption process. It's important that you enter it exactly like shown on the encrypted computer. The code contains a checksum, which prevents typos and ensures a successfull decryption.
The personal identifier is 96 characters long and can be found in the "YOUR_FILES_ARE_ENCRYPTED.TXT" files, which the ransomware created in several locations (e.g. Desktop, Documents) on your computer.

Captura de pantalla del sitio web de GoldenEye (segundo paso: pago):

Sitio web de GoldenEye (segundo paso: pago):

Texto mostrado en esta página:

Step 2: Purchase Bitcoins
Your decryption key can only be purchased with Bitcoins. Bitcoin is a digital currency which can be exchanged from nearly every normal currency. There are a lot of exchange platforms on the internet, most of them are specialized on a single currency. Today buying bitcoins online is very easy and it's getting simpler every day!
You have to purchase at least the amount shown below. It is recommended to purchase a bit more, to ensure a successfull payment. An extra of 2% should be enough. If you already own enough Bitcoins, you could skip this step.
Demand: 1.31034193 Bitcoins
The following exchanges and marketplaces are recommended:
http://www.bitcoin.de - Bank Wire FAST!
http://www.btcdirect.eu - Sofort Banking, Giropay, Bank Wire, Mastercard and Visa
http://www.localbitcoins.com - Bank Wire and Cash
http://www.coincafe.com - Instant in NYC, Bank Wire and Mail Cash, Bank Wire and Credit Card
Any kind of Bitcoin-Wallet isn't required, you can transfer the purchased bitcoins directly to the payment address. If you want create a wallet anyway, http://www.blockchain.com is recommended.
If you successfull bought the right amount of Bitcoins, click "Next" for the next step.

Captura de pantalla del sitio web de GoldenEye (tercer paso: pago):

Sitio web de GoldenEye (tercer paso: pago):

Texto mostrado en esta página:

Step 3: Do a bitcoin transaction
Now you have to send your purchased Bitcoins to the payment address. If you just purchased Bitcoins on a exchange or marketplace site, look for a section called "Withdraw" and enter the details shown below. If you already own Bitcoins, send the right amount to the payment address shown below, directly from the wallet you use.
If you have any problems with the transaction, feel free to contact our Support.
Address: 1CwCMCS6GUJuz45x1LrqPWAuE41cMK7FtQ
Demand: 1.31034193 Bitcoins
After you made the payment transaction, you have to wait until we manually confirm it. This process usually takes a few hours. In some rare cases some payments need more time to get confirmed. Please refresh this page to see if your payment got confirmed.

Captura de pantalla del sitio web de GoldenEye (Preguntas frecuentes):

sitio web de GoldenEye (Preguntas frecuentes)

Captura de pantalla del sitio web de GoldenEye (Soporte):

sitio web de GoldenEye (soporte)

Captura de pantalla de archivos cifrados por GoldenEye (extensión ".[8_caracteres_aleatorios]"):

instrucciones desencriptación GoldenEye

Eliminar el secuestrador de sistemas GoldenEye:

Menú rápido: Solución rápida para eliminar Virus de GoldenEye

Paso 1

Usuarios de Windows XP y Windows 7: Inicie su equipo en modo seguro. Haga clic en Inicio, Apagar, Reiniciar y aceptar. Mientras el equipo arranca, pulse la tecla F8 en su teclado varias veces hasta que vea el menú de Opciones avanzadas de Windows, luego seleccione modo seguro con funciones de red de la lista.

Modo seguro con funciones de red

Este vídeo muestra cómo iniciar Windows 7 en "Modo seguro con funciones de red":

Usuarios de Windows 8: Inicie Windows 8 en modo seguro con funciones de red: Diríjase a la pantalla de inicio de Windows 8, escriba "avanzadas", en los resultados de búsqueda, seleccione "Cambiar opciones avanzadas de inicio". En la nueva ventana "Configuración de PC", vaya hasta la sección "Inicio avanzado". Haga clic en el botón "Reiniciar ahora". Su PC se reiniciará ahora con el "Menú de opciones de arranque avanzadas". Haga clic en el botón de "Solucionar problemas", luego haga clic en el botón de "Opciones avanzadas". En la pantalla de opciones avanzadas, haga clic en "Configuración de inicio". Haga clic en el botón "Reiniciar". Su PC se reiniciará mostrando primero la pantalla de Configuración de inicio. Pulse F5 para arrancar en Modo seguro con funciones de red.

Modo seguro en Windows 8 con funciones de red

Este vídeo muestra cómo iniciar Windows 8 en "Modo seguro con funciones de red":

Usuarios de Windows 10: Haga clic en el logo de Windows y seleccione el icono de Inicio/Apagado. En el nuevo menú, haga clic en "Reiniciar" mientras mantiene pulsada la tecla "mayúsculas" en su teclado. En la ventana "seleccione una opción", haga clic en "Solucionar problemas" y luego en "Opciones avanzadas". En el menú de opciones avanzadas, seleccione "Configuración de inicio" y haga clic en el botón "Reiniciar". En la siguiente pantalla, tendrá que pulsar la tecla F5 de su teclado. Luego se reiniciará el sistema operativo en modo seguro con funciones de red.

Modo seguro en Windows 10 con funciones de red

Este vídeo muestra cómo iniciar Windows 10 en "Modo seguro con funciones de red":

Paso 2

Inicie sesión con la cuenta que ha sido infectada con el virus GoldenEye. Abra su navegador web y descargue un programa legítimo anti-spyware. Actualice el software antiespía e inicie un análisis de sistema completo. Elimine todas las entradas que se detecten.


DESCARGAR
Programa para eliminar Virus de GoldenEye

Si necesita ayuda para eliminar secuestrador de sistemas goldeneye, contacte con nosotros por teléfono, 24x7:
+34 951 390 922 (España)
Al descargar cualquier programa publicado en este sitio web, está conforme con nuestra Política de privacidad y Condiciones de uso. El servicio de análisis de SpyHunter está pensado para la detección de virus. Para eliminar las infecciones detectadas, tendrá que comprar la versión completa de este producto. Más información sobre SpyHunter. Si desea desinstalar SpyHunter, siga estas instrucciones. Todos los productos que recomendamos han sido cuidadosamente sometidos a pruebas y han sido aprobados por nuestros técnicos como unas de las soluciones más efectivas para eliminar estas amenazas.

Si no puede arrancar su equipo en modo seguro con funciones de red, pruebe ejecutando una restauración del sistema.

Este vídeo muestra cómo eliminar el virus ransomware usando "Modo seguro con funciones de red" y "Restaurar sistema":

1. Durante el proceso de arranque de su ordenador, pulse la tecla F8 en su teclado varias veces hasta que se muestre el menú de Opciones avanzadas de Windows, luego seleccione Modo seguro con símbolo de sistema de la lista y pulse ENTER.

Inicie su sistema en modo seguro con símbolo de sistema

2. Cuando el símbolo del sistema se cargue, introduzca la siguiente línea: cd restore y pulse ENTER.

restauración de sistema usando símbolo del sistema cd restore

3. Luego teclee esta línea: rstrui.exe y pulse ENTER.

restaurar sistema usando símbolo de sistema rstrui.exe

4. En la nueva pantalla, haga clic en "Siguiente".

restaurar archivos del sistema y configuraciones

5. Seleccione uno de los puntos de restauración disponibles y haga clic en "Siguiente" (se restaurará el sistema de su equipo a una fecha anterior antes de que el ransomware GoldenEye se introdujera en su PC).

seleccione un punto de restauración

6. En la ventana abierta, haga clic en "Sí".

ejecutar restauración de sistema

7. Después de restaurar su sistema a un punto anterior, descargue y analice su PC con un software de seguridad antimalware recomendado para eliminar los remanentes del virus GoldenEye.

Para restaurar individualmente cada archivo encriptado por este virus, pruebe con la función versiones anteriores de archivo. Este método es únicamente eficaz si la función de Restaurar sistema estaba activa en el sistema operativo infectado. Tenga en cuenta que algunas variantes de GoldenEye eliminan las instantáneas de volumen de los ficheros, por lo que puede que este método no funcione en algunos equipos.

Para restaurar un archivo, haga clic con el botón derecho del ratón sobre el archivo, seleccione Propiedades y haga clic en la pestaña Versiones anteriores. Si el archivo en cuestión tiene su punto de restauración, selecciónelo y haga clic en el botón "Restaurar".

Restaurando archivos encriptados por CryptoDefense

Si no puede iniciar su sistema en modo seguro con funciones de red (o con símbolo de sistema), inicie su ordenador usando un disco de rescate. Algunos tipos de ransomware desactivan el modo seguro, por lo que la desinfección es más compleja. Para este paso, necesitará tener acceso a otro PC.

Para recuperar el control de los archivos encriptados por GoldenEye, pruebe un programa llamado Shadow ExplorerAquí podrá leer más información sobre cómo usar este programa.

captura de pantalla de shadow explorer

Para proteger su equipo de virus encriptadores de archivos, analice su sistema con programas antivirus y antiespía fiables. Como medida de protección extra, le recomendamos el programa HitmanPro.Alert y Malwarebytes Anti-Ransomware que introduce de forma artificial directivas de grupo en el registro para bloquear programas maliciosos como GoldenEye.

HitmanPro.Alert CryptoGuard detecta el cifrado de archivos y neutraliza tales intentos sin la necesidad de que el usuario intervenga:

la aplicación hitmanproalert que protege del ransomware

Malwarebytes Anti-Ransomware Beta recurre a tecnología avanzada proactiva que supervisa la actividad de los virus secuestradores de equipos y la interrumpe de inmediato antes de que afecten a los archivos de los usuarios:

malwarebytes anti-ransomware

  • La mejor forma de evitar daños ocasionados por infecciones de tipo ransomware (secuestradores de sistemas) es realizando habitualmente copias de seguridad. Aquí encontrará más información sobre soluciones informáticas para realizar copias de seguridad y para recuperar datos.

Otras herramientas conocidas para eliminar el virus GoldenEye:

Nuestras guías de eliminación de programas maliciosos son gratuitas. No obstante, si quiere ayudarnos, puede enviarnos una donación.