Cibersecuestro GRYPHON

Conocido también como: GRYPHON virus
Propagación: Bajo
Nivel de peligrosidad: Extremo

Instrucciones para eliminar el virus criptográfico GRYPHON

¿Qué es GRYPHON?

GRYPHON es un virus secuestrador de sistemas descubierto por el analista de seguridad de malware Leo. Una vez se infiltra, GRYPHON encripta los datos almacenados y añade la extensión ".[test].gryphon" a los nombres de archivo (por ejemplo, "sample.jpg" pasaría a llamarse "sample.jpg.[test].gryphon" Otras versiones usan la extensión .[decr@cock.li].gryphon para archivos encriptados. Al finalizar el cifrado, GRYPHON crea un archivo de texto ("!## DECRYPT FILES ##!.txt) y lo coloca en todas las carpetas que tengan archivos encriptados.

En el mensaje, se afirma que los archivos han sido encriptados que la desencriptación requiere de una clave única. Por desgracia, esta información es correcta. No se sabe aún si GRYPHON usa criptografía simétrica o asimétrica. En cualquier caso, la desencriptación requiere de una clave única. Los ciberdelincuentes almacenan esta clave en un servidor remoto; se insta a las víctimas a contactarlos para pagar un rescate. La cuantía del rescate no se conoce; sin embargo, los ciberdelincuentes exigen normalmente el equivalente a entre 500 y 1500 dólares en Bitcoins. Tenga en cuenta que la extensión de GRYPHON contiene la palabra "test" y la dirección de e-mail facilitada son "test2" y "test3". Por tanto, se supone que GRYPHON está aún en fase de desarrollo. En cualquier caso, nunca debería intentar contactar con esa gente ni tampoco pagar el rescate. Los estudios ponen de manifiesto que suelen ignorar a las víctimas aunque hayan realizado el pago. Es bastante probable que pagar no tenga ningún efecto positivo y que resulte estafado. No debe fiarse nunca de estos delincuentes. Por desgracia, no hay herramientas capaces de restaurar los archivos encriptados por GRYPHON; solo puede restaurar sus archivos/sistema a partir de una copia de seguridad.

Captura de pantalla del mensaje donde se insta a los usuarios a pagar la recompensa para desencriptar los archivos afectados:

instrucciones desencriptación GRYPHON

GRYPHON se parece bastante a Shade, Explorer, BLACKOUT, Ranrans y a decenas de otros virus de tipo ransomware. Como GRYPHON, todos cifran también archivos y exigen el pago de recompensas. Solo hay dos diferencias importantes: cuantía del rescate y tipo de criptografía usada. Por desgracia, la mayor parte de los virus de tipo ransomware usan algoritmos que generan claves únicas de desencriptación. Por tanto, es casi imposible restaurar los archivos de forma manual (si no se cuenta con los desarrolladores, lo cual no es recomendable).

¿Cómo llegó el cibersecuestro a mi equipo?

Para promocionar el cibersecuestro, los desarrolladores usan correos electrónico basura (adjuntos maliciosos), redes P2P (torrents, eMule, etc.) y otras fuentes de descarga de software de terceros (sitios web de descarga gratuita, sitios web de alojamiento de archivos gratuitos, etc.), falsas herramientas de actualización de software y troyanos. Los correos basura contienen a menudo adjuntos infecciosos (por ejemplo, archivos JavaScript, documentos MS Office, etc.) diseñados para descargar/instalar malware. Las redes P2P y otras fuentes de descarga no oficiales presentan a menudo ejecutables maliciosos como software legítimo.

¿Cómo protegerse de los cibersecuestros?

Para evitar las infecciones de ransomware, vaya con cautela al navegar por internet. No abra nunca archivos recibidos en e-mails sospechosos ni descargue programas desde fuentes no oficiales. Asimismo, mantenga actualizadas las aplicaciones instaladas. Sepa, sin embargo, que los delincuentes propagan el software malicioso usando asistentes falsos de actualización. Por tanto, es muy arriesgado usar herramientas de terceros para actualizar sus aplicaciones instaladas. Use siempre una solución antivirus y antiespía fiable. Lo fundamental de la seguridad informática es la precaución.

Mensaje donde se pide el rescate mostrado en los archivos de texto de GRYPHON ("!## DECRYPT FILES ##!.txt"):

=== GRYPHON RANSOMWARE ===

Your documents, photos, databases and other important files have been encrypted
cryptographically strong, without the original key recovery is impossible!
To decrypt your files you need to buy the special software - "GRYPHON DECRYPTER"
Using another tools could corrupt your files, in case of using third party
software we dont give guarantees that full recovery is possible so use it on
your own risk.

If you want to restore files, write us to the e-mail: test2
In subject lite write "encryption" and attach your ID in body of your message
also attach to email 3 crypted files. (files have to be less than 2 MB)

It is in your interest to respond as soon as possible to ensure the restoration
of your files, because we wont keep your decryption keys at our server more than
one week in interest of our security.

Only in case you do not receive a response from the first email address
withit 48 hours, please use this alternative email adress: test3

Your personal identification number: -

=== GRYPHON RANSOMWARE ===

Captura de pantalla de archivos cifrados por GRYPHON (extensión ".[test].gryphon"):

Archivos cifrados por GRYPHON

Eliminar el bloqueador de sistemas GRYPHON:

Menú rápido:

Paso 1

Usuarios de Windows XP y Windows 7: Inicie su equipo en modo seguro. Haga clic en Inicio, Apagar, Reiniciar y aceptar. Mientras el equipo arranca, pulse la tecla F8 en su teclado varias veces hasta que vea el menú de Opciones avanzadas de Windows, luego seleccione modo seguro con funciones de red de la lista.

Modo seguro con funciones de red

Este vídeo muestra cómo iniciar Windows 7 en "Modo seguro con funciones de red":

Usuarios de Windows 8: Inicie Windows 8 en modo seguro con funciones de red: Diríjase a la pantalla de inicio de Windows 8, escriba "avanzadas", en los resultados de búsqueda, seleccione "Cambiar opciones avanzadas de inicio". En la nueva ventana "Configuración de PC", vaya hasta la sección "Inicio avanzado". Haga clic en el botón "Reiniciar ahora". Su PC se reiniciará ahora con el "Menú de opciones de arranque avanzadas". Haga clic en el botón de "Solucionar problemas", luego haga clic en el botón de "Opciones avanzadas". En la pantalla de opciones avanzadas, haga clic en "Configuración de inicio". Haga clic en el botón "Reiniciar". Su PC se reiniciará mostrando primero la pantalla de Configuración de inicio. Pulse F5 para arrancar en Modo seguro con funciones de red.

Modo seguro en Windows 8 con funciones de red

Este vídeo muestra cómo iniciar Windows 8 en "Modo seguro con funciones de red":

Usuarios de Windows 10: Haga clic en el logo de Windows y seleccione el icono de Inicio/Apagado. En el nuevo menú, haga clic en "Reiniciar" mientras mantiene pulsada la tecla "mayúsculas" en su teclado. En la ventana "seleccione una opción", haga clic en "Solucionar problemas" y luego en "Opciones avanzadas". En el menú de opciones avanzadas, seleccione "Configuración de inicio" y haga clic en el botón "Reiniciar". En la siguiente pantalla, tendrá que pulsar la tecla F5 de su teclado. Luego se reiniciará el sistema operativo en modo seguro con funciones de red.

Modo seguro en Windows 10 con funciones de red

Este vídeo muestra cómo iniciar Windows 10 en "Modo seguro con funciones de red":

Paso 2

Inicie sesión con la cuenta que ha sido infectada con el virus Gryphon. Abra su navegador web y descargue un programa legítimo anti-spyware. Actualice el software antiespía e inicie un análisis de sistema completo. Elimine todas las entradas que se detecten.


Descargar programa para eliminar GRYPHON virus
1) Descarga e instala   2) Ejecuta el análisis en tu sistema   3) ¡Tu equipo estará ahora desinfectado!

Su detector gratuito verifica si su equipo está infectado. Para eliminar el software malicioso, tendrá que comprar la versión completa de Reimage.

Si no puede arrancar su equipo en modo seguro con funciones de red, pruebe ejecutando una restauración del sistema.

Este vídeo muestra cómo eliminar el virus ransomware usando "Modo seguro con funciones de red" y "Restaurar sistema":

1. Durante el proceso de arranque de su ordenador, pulse la tecla F8 en su teclado varias veces hasta que se muestre el menú de Opciones avanzadas de Windows, luego seleccione Modo seguro con símbolo de sistema de la lista y pulse ENTER.

Inicie su sistema en modo seguro con símbolo de sistema

2. Cuando el símbolo del sistema se cargue, introduzca la siguiente línea: cd restore y pulse ENTER.

restauración de sistema usando símbolo del sistema cd restore

3. Luego teclee esta línea: rstrui.exe y pulse ENTER.

restaurar sistema usando símbolo de sistema rstrui.exe

4. En la nueva pantalla, haga clic en "Siguiente".

restaurar archivos del sistema y configuraciones

5. Seleccione uno de los puntos de restauración disponibles y haga clic en "Siguiente" (se restaurará el sistema de su equipo a una fecha anterior antes de que el ransomware Gryphon se introdujera en su PC).

seleccione un punto de restauración

6. En la ventana abierta, haga clic en "Sí".

ejecutar restauración de sistema

7. Después de restaurar su sistema a un punto anterior, descargue y analice su PC con un software de seguridad antimalware recomendado para eliminar los remanentes del virus Gryphon.

Para restaurar individualmente cada archivo encriptado por este virus, pruebe con la función versiones anteriores de archivo. Este método es únicamente eficaz si la función de Restaurar sistema estaba activa en el sistema operativo infectado. Tenga en cuenta que algunas variantes de Gryphon eliminan las instantáneas de volumen de los ficheros, por lo que puede que este método no funcione en algunos equipos.

Para restaurar un archivo, haga clic con el botón derecho del ratón sobre el archivo, seleccione Propiedades y haga clic en la pestaña Versiones anteriores. Si el archivo en cuestión tiene su punto de restauración, selecciónelo y haga clic en el botón "Restaurar".

Restaurando archivos encriptados por CryptoDefense

Si no puede iniciar su sistema en modo seguro con funciones de red (o con símbolo de sistema), inicie su ordenador usando un disco de rescate. Algunos tipos de ransomware desactivan el modo seguro, por lo que la desinfección es más compleja. Para este paso, necesitará tener acceso a otro PC.

Para recuperar el control de los archivos encriptados por Gryphon, pruebe un programa llamado Shadow ExplorerAquí podrá leer más información sobre cómo usar este programa.

captura de pantalla de shadow explorer

Para proteger su equipo de virus encriptadores de archivos, analice su sistema con programas antivirus y antiespía fiables. Como medida de protección extra, le recomendamos el programa HitmanPro.Alert y Malwarebytes Anti-Ransomware que introduce de forma artificial directivas de grupo en el registro para bloquear programas maliciosos como Gryphon.

HitmanPro.Alert CryptoGuard detecta el cifrado de archivos y neutraliza tales intentos sin la necesidad de que el usuario intervenga:

la aplicación hitmanproalert que protege del ransomware

Malwarebytes Anti-Ransomware Beta recurre a tecnología avanzada proactiva que supervisa la actividad de los virus secuestradores de equipos y la interrumpe de inmediato antes de que afecten a los archivos de los usuarios:

malwarebytes anti-ransomware

  • La mejor forma de evitar daños ocasionados por infecciones de tipo ransomware (secuestradores de sistemas) es realizando habitualmente copias de seguridad. Aquí encontrará más información sobre soluciones informáticas para realizar copias de seguridad y para recuperar datos.

Otras herramientas conocidas para eliminar el virus Gryphon:

Fuente: https://www.pcrisk.com/removal-guides/11531-gryphon-ransomware