Cibersecuestro Aleta

Conocido también como: Aleta (virus)
Propagación: Baja
Nivel de peligrosidad: Extremo

Instrucciones para deshacerse del cibersecuestro Aleta

¿Qué es Aleta?

Aleta es una versión actualizada de un virus secuestrador de equipos llamado BTCWare. Una vez dentro, Aleta cifra los datos y añade la extensión "[developers'_email].aleta" al nombre de todos los archivos encriptados (por ejemplo, "sample.jpg" podría pasar a llamarse "sample.jpg.[chines34@protonmail.ch].aleta"). Para ver la lista completa de direcciones de e-mal usadas en esas extensiones, haga clic aquí. Al finalizar el cifrado, Aleta crea un archivo HTA ("!#_READ_ME_#!.hta") y lo coloca en todas las carpetas que tengan archivos encriptados.

El archivo HTA contiene un mensaje que informa a las víctimas sobre la encriptación. Para restaurar los archivos, se anima a las víctimas a que contacten con los ciberdelincuentes y paguen un rescate. No se sabe aún con certeza si Aleta se sirve de criptografía simétrica o asimétrica; sin embargo, en cualquier caso, se precisa una clave única para desencriptar. Los ciberdelincuentes almacenan esta clave en un servidor remoto y piden un rescate para revelarla. No se sabe cuánto cuesta y, al parecer, depende de la rapidez en que las víctimas contacten con los desarrolladores de Aleta. La mayor parte de los desarrolladores de ransomware suelen pedir el equivalente entre $500 y 1500 en Bitcoins. Nunca se fíe de esa gente. Los estudios ponen de manifiesto que los ciberdelincuentes ignoran a las víctimas una vez que se ha realizado el pago del rescate. Pagar no significa recuperar los archivos desencriptados y con toda probabilidad será estafado. No intente nunca contactar con esa gente ni tampoco pagar un rescate. Por desgracia, no existen herramientas actualmente que sean capaces de restaurar los archivos encriptados por Aleta. Por consiguiente, solo podrá recuperar los archivos/sistema a partir de una copia de seguridad.

Captura de pantalla del mensaje donde se insta a los usuarios a pagar la recompensa para desencriptar los archivos afectados:

instrucciones desencriptación Aleta

Aleta comparte muchas similitudes con Blocking, ONYONLOCK, YourRansom, RSAUtil y decenas de virus secuestradores. Como Aleta, estas infecciones por malware cifran también archivos y exigen el pago de recompensas. Las únicas diferencias significativas están en el tipo de algoritmo criptográfico usado y la cuantía del rescate. Sin embargo, sepa que en la mayor parte de los cibersecuestros se emplean algoritmos que generan claves únicas de descifrado (por ejemplo, RSA, AES, etc.) y, por tanto, a no ser que se le encuentren errores al malware, restaurar los archivos manualmente (sin la intervención del desarrollador, lo cual no se recomienda) es casi imposible.

¿Cómo llegó el cibersecuestro a mi equipo?

Los cibersecuestros se propagan a menudo a través de falsas herramientas de actualización de software, troyanos, asistentes falsos de actualización de software, redes P2P (torrents, eMule, etc.), fuentes de descarga de software de terceros (portales de descargas gratuitos, sitios web de alojamiento de archivos gratuitos, etc.), spam (adjuntos maliciosos). Las falsas herramientas de actualización se aprovechan del software desactualizado para infectar equipos. Las redes P2P y otras fuentes de descarga no oficiales presentan a menudo ejecutables maliciosos como software legítimo. Los adjuntos maliciosos son con toda probabilidad archivos JavaScript o algún documento MS Office (con macros infecciosos) que descargan software malicioso.

¿Cómo protegerse de los cibersecuestros?

Para evitar las infecciones de ransomware, vaya con cautela al navegar por internet. No abra nunca archivos recibidos en e-mails sospechosos ni descargue programas desde fuentes no oficiales. Mantenga actualizado el software instalado y use una solución antivirus o antiespía fiable.

Texto mostrado en el archivo HTA del ransomware Aleta ("!#_READ_ME_#!.hta"):

All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail chines34@protonmail.ch in body of your message write your ID
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 1 file for free decryption. The total size of files must be less than 1Mb (non archived), and files should not contain valuable information. (databases, backups, large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
Your ID -

Captura de pantalla de archivos cifrados por Aleta (extensión "[developers'_email].aleta"):

Archivos cifrados por Aleta

Eliminar el bloqueador de sistemas Aleta:

Eliminar automáticamente de forma instantánea Aleta (virus): Eliminar las amenazas de forma manual puede acabar siendo un proceso largo y tedioso que precisa de conocimientos informáticos avanzados. Malwarebytes es una herramienta profesional para eliminar software malicioso de forma automática y está recomendada para acabar con Aleta (virus). La descarga se iniciará al hacer clic en el siguiente botón:
▼ DESCARGAR Malwarebytes Su detector gratuito verifica si su equipo está infectado. Para usar el producto con todas las funciones, debe comprar una licencia para Malwarebytes. 14 días de prueba gratuita limitada disponible. Si decide descargar este programa, quiere decir que usted está conforme con nuestra Política de privacidad y Condiciones de uso.

Menú rápido:

Paso 1

Usuarios de Windows XP y Windows 7: Inicie su equipo en modo seguro. Haga clic en Inicio, Apagar, Reiniciar y aceptar. Mientras el equipo arranca, pulse la tecla F8 en su teclado varias veces hasta que vea el menú de Opciones avanzadas de Windows, luego seleccione modo seguro con funciones de red de la lista.

Modo seguro con funciones de red

Este vídeo muestra cómo iniciar Windows 7 en "Modo seguro con funciones de red":

Usuarios de Windows 8: Inicie Windows 8 en modo seguro con funciones de red: Diríjase a la pantalla de inicio de Windows 8, escriba "avanzadas", en los resultados de búsqueda, seleccione "Cambiar opciones avanzadas de inicio". En la nueva ventana "Configuración de PC", vaya hasta la sección "Inicio avanzado". Haga clic en el botón "Reiniciar ahora". Su PC se reiniciará ahora con el "Menú de opciones de arranque avanzadas". Haga clic en el botón de "Solucionar problemas", luego haga clic en el botón de "Opciones avanzadas". En la pantalla de opciones avanzadas, haga clic en "Configuración de inicio". Haga clic en el botón "Reiniciar". Su PC se reiniciará mostrando primero la pantalla de Configuración de inicio. Pulse F5 para arrancar en Modo seguro con funciones de red.

Modo seguro en Windows 8 con funciones de red

Este vídeo muestra cómo iniciar Windows 8 en "Modo seguro con funciones de red":

Usuarios de Windows 10: Haga clic en el logo de Windows y seleccione el icono de Inicio/Apagado. En el nuevo menú, haga clic en "Reiniciar" mientras mantiene pulsada la tecla "mayúsculas" en su teclado. En la ventana "seleccione una opción", haga clic en "Solucionar problemas" y luego en "Opciones avanzadas". En el menú de opciones avanzadas, seleccione "Configuración de inicio" y haga clic en el botón "Reiniciar". En la siguiente pantalla, tendrá que pulsar la tecla F5 de su teclado. Luego se reiniciará el sistema operativo en modo seguro con funciones de red.

Modo seguro en Windows 10 con funciones de red

Este vídeo muestra cómo iniciar Windows 10 en "Modo seguro con funciones de red":

Paso 2

Inicie sesión con la cuenta que ha sido infectada con el virus Aleta. Abra su navegador web y descargue un programa legítimo anti-spyware. Actualice el software antiespía e inicie un análisis de sistema completo. Elimine todas las entradas que se detecten.

Si no puede arrancar su equipo en modo seguro con funciones de red, pruebe ejecutando una restauración del sistema.

Este vídeo muestra cómo eliminar el virus ransomware usando "Modo seguro con funciones de red" y "Restaurar sistema":

1. Durante el proceso de arranque de su ordenador, pulse la tecla F8 en su teclado varias veces hasta que se muestre el menú de Opciones avanzadas de Windows, luego seleccione Modo seguro con símbolo de sistema de la lista y pulse ENTER.

Inicie su sistema en modo seguro con símbolo de sistema

2. Cuando el símbolo del sistema se cargue, introduzca la siguiente línea: cd restore y pulse ENTER.

restauración de sistema usando símbolo del sistema cd restore

3. Luego teclee esta línea: rstrui.exe y pulse ENTER.

restaurar sistema usando símbolo de sistema rstrui.exe

4. En la nueva pantalla, haga clic en "Siguiente".

restaurar archivos del sistema y configuraciones

5. Seleccione uno de los puntos de restauración disponibles y haga clic en "Siguiente" (se restaurará el sistema de su equipo a una fecha anterior antes de que el ransomware Aleta se introdujera en su PC).

seleccione un punto de restauración

6. En la ventana abierta, haga clic en "Sí".

ejecutar restauración de sistema

7. Después de restaurar su sistema a un punto anterior, descargue y analice su PC con un software de seguridad antimalware recomendado para eliminar los remanentes del virus Aleta.

Para restaurar individualmente cada archivo encriptado por este virus, pruebe con la función versiones anteriores de archivo. Este método es únicamente eficaz si la función de Restaurar sistema estaba activa en el sistema operativo infectado. Tenga en cuenta que algunas variantes de Aleta eliminan las instantáneas de volumen de los ficheros, por lo que puede que este método no funcione en algunos equipos.

Para restaurar un archivo, haga clic con el botón derecho del ratón sobre el archivo, seleccione Propiedades y haga clic en la pestaña Versiones anteriores. Si el archivo en cuestión tiene su punto de restauración, selecciónelo y haga clic en el botón "Restaurar".

Restaurando archivos encriptados por CryptoDefense

Si no puede iniciar su sistema en modo seguro con funciones de red (o con símbolo de sistema), inicie su ordenador usando un disco de rescate. Algunos tipos de ransomware desactivan el modo seguro, por lo que la desinfección es más compleja. Para este paso, necesitará tener acceso a otro PC.

Para recuperar el control de los archivos encriptados por Aleta, pruebe un programa llamado Shadow Explorer. Aquí podrá leer más información sobre cómo usar este programa.

captura de pantalla de shadow explorer

Para proteger su equipo de virus encriptadores de archivos, analice su sistema con programas antivirus y antiespía fiables. Como medida de protección extra, le recomendamos el programa HitmanPro.Alert y Malwarebytes Anti-Ransomware que introduce de forma artificial directivas de grupo en el registro para bloquear programas maliciosos como Aleta.

HitmanPro.Alert CryptoGuard detecta el cifrado de archivos y neutraliza cualquier intento sin la necesidad de que el usuario intervenga:

la aplicación hitmanproalert que protege del ransomware

Malwarebytes Anti-Ransomware Beta recurre a tecnología avanzada proactiva que supervisa la actividad de los virus secuestradores de equipos y la interrumpe de inmediato antes de que afecten a los archivos de los usuarios:

malwarebytes anti-ransomware

  • La mejor forma de evitar daños ocasionados por infecciones de tipo ransomware (secuestradores de sistemas) es realizando habitualmente copias de seguridad. Aquí encontrará más información sobre soluciones informáticas para realizar copias de seguridad y para recuperar datos.

Otras herramientas conocidas para eliminar el virus Aleta:

Fuente: https://www.pcrisk.com/removal-guides/11548-aleta-ransomware

Haga clic acá para publicar un comentario.

Acerca del autor:

Tomas Meskauskas

Me apasiona todo lo relacionado con seguridad informática y tecnología. Me avala una experiencia de más de 10 años trabajando para varias empresas de reparación de problemas técnicos y seguridad on-line. Como editor y autor de PCrisk, llevo trabajando desde 2010. Sígueme en Twitter y LinkedIn para no perderte nada sobre las últimas amenazas de seguridad en internet. Leer más sobre el autor.

El portal de seguridad PCrisk ha sido creado conjuntamente por varios investigadores de seguridad con el propósito de formar e informar a los usuarios sobre las últimas amenazas detectadas en internet. Podrá leer más información sobre los autores e investigadores que trabajan en PCrisk en nuestra página de Contacto.

Nuestras guías de desinfección de software malicioso son gratuitas. No obstante, si desea colaborar, puede realizar una donación.

Guías de desinfección en otros idiomas
Código QR
Aleta (virus) Código QR
Un código QR (código de respuesta rápida) es un código que puede ser escaneado usando dispositivos y que almacena direcciones web y otra información. Este código puede ser escaneado usando una cámara en un smartphone o tablet. Escanee este código QR para acceder fácilmente a la guía de desinfección de Aleta (virus) desde su dispositivo móvil.
Nuestra recomendación:

Despídase ya de Aleta (virus):

▼ ELIMINAR AHORA con Malwarebytes

Plataforma: Windows

Valoración de Malwarebytes por parte del editor:
¡Excelente!

[Volver al principio]

Su detector gratuito verifica si su equipo está infectado. Para usar el producto con todas las funciones, debe comprar una licencia para Malwarebytes. 14 días de prueba gratuita limitada disponible.