Cibersecuestro Losers

Conocido también como: Losers virus
Propagación: Bajo
Nivel de peligrosidad: Extremo

Instrucciones para eliminar el virus criptográfico Losers

¿Qué es Losers?

Losers es una nueva versión de Nemesis y Cry36, un virus de la categoría ransomware. Este cibersecuestro fue descubierto por primera vez por el investigador de malware Toffee. Una vez dentro, Losers cifra los datos almacenados y añade la extensión ".losers" a los nombres de los archivos. Cabe resaltar también que en algunos casos Losers se llama a sí mismo Damoclis Gladius Ransomware y añade la extensión ".damoclis". Por tanto, "sample.jpg" pasaría a llamarse algo como "sample.jpg.losers" o "sample.jpg.damoclis". Tras cifrar con éxito los archivos, Losers cambia el fondo de escritorio del usuario y crea un archivo HTML ("HOWTODECRYPTFILES.html") que coloca en cada carpeta que tenga archivos encriptados.

El archivo HTML contiene un mensaje donde se informa a las víctimas sobre el cifrado y se les pide visitar un sitio web Tor para recuperar los archivos encriptados. Tras visitar este sitio, se pide a los usuarios introducir un ID personal y, posteriormente, se pondrán automáticamente en contacto con los desarrolladores de Losers a través de un chat online. Esos individuos pedirán luego a los usuarios que paguen el rescate a cambio de un descifrado. El precio es de $500 en Bitcoins. Actualmente no se sabe a ciencia cierta qué tipo de criptografía (simétrica o asimétrica) usa en realidad Losers. No obstante, en cualquier caso, el descifrado requiere de una clave única que se almacena en un servidor remoto controlado por ciberdelincuentes. Por tanto, se obliga a los usuarios a pagar. No obstante, el problema es que no se puede uno fiar de los ciberdelincuentes. Es probable que esas personas ignoren a sus víctimas aunque hayan realizado el pago. Por tanto, lo único que puede pasar es que las víctimas resulten estafadas. No solo perderán su dinero, sino que también apoyarán el negocio malicioso de los ciberdelincuentes. Por ese motivo, le recomendamos encarecidamente ignorar todas las peticiones para contactar con esas personas y pagar el rescate. Por desgracia, no existen actualmente herramientas capaces de recuperar los archivos cifrados por Losers. Por tanto, la única solución es restaurar el sistema desde una copia de respaldo.

Captura de pantalla del mensaje donde se insta a los usuarios a pagar la recompensa para desencriptar los archivos afectados:

instrucciones desencriptación Losers

Diversos estudios indican que todos los virus de tipo criptográfico son muy parecidos entre sí. Como ocurre con Losers, Crypto Tyrant, Losers, Ordinal, Blind y otros tanto, todos encriptan archivos y piden una recompensa. En realidad, solo hay dos diferencias importantes: cuantía del rescate y tipo de algoritmo criptográfico usado. Por desgracia, casi todos usan algoritmos (p. ej., RSA, AES, etc.) que generan claves únicas de descifrado. Por tanto, a no ser que el malware tenga algunos fallos o errores de seguridad (p. ej. que guarde la clave en el equipo o que se incluya en el código), se hace imposible desencriptar los archivos sin contar con la ayuda de los desarrolladores. Por estos motivos, los virus encriptadores como Losers nos recuerdan lo importante que es realizar frecuentemente copias de seguridad. Cabe también resaltar que las copias de seguridad deberían almacenarse en unidades externas (extraíbles) o servidores privados (p. ej. la nube).

¿Cómo llegó el cibersecuestro a mi equipo?

Los ciberdelincuentes propagan los virus de tipo encriptador de varias formas. No obstante, los cinco más conocidos son: 1) asistentes falsos de actualización de software; 2) troyanos; 3) redes PDP; 4) fuentes oficiales de descarga de software y 5) correos electrónicos basura. Las herramientas de actualización de software falso se aprovechan de los errores de software desactualizado para infectar el sistema. Los troyanos simplemente abren "puertas traseras" para que se instale el software malicioso. Las redes P2P y otras fuentes de descarga no oficiales (sitios web de alojamiento de archivos gratuitos, sitios web de descargas gratuitas, torrents, eMule, etc.) presentan a menudo ejecutables maliciosos como software legítimo, por lo que engañan a las víctimas para que descarguen e instalen software malicioso. Los mensajes de correo basura contienen probablemente documentos MS Office con macros, archivos JavaScript, etc. que cuando se abren, descargan e instalan malware. Los principales motivos por lo que se infecta el equipo son un conocimiento insuficiente y un comportamiento imprudente.

¿Cómo protegerse de los cibersecuestros?

Para evitar que se infecte y se secuestre el equipo, debe ir con cautela al navegar por internet. Para empezar, es muy importante mantener actualizadas las aplicaciones instaladas y usar una solución legítima antivirus o antiespía. Tenga en cuenta que los asistentes de descarga e instalación incluyen a menudo programas no deseados; no deberían usarse. Asimismo, todos los pasos (especialmente, ajustes personalizados o avanzados) de los procesos de descarga e instalación deberían analizarse con cuidado y deben rechazarse todas las ofertas para descargar e instalar programas adicionales. Para colmo, nunca abra archivos recibidos en emails sospechosos. En realidad, tales e-mails deberían eliminarse de inmediato sin leerlos. Lo fundamental de la seguridad informática es la precaución.

Texto mostrado en el archivo html Losers ("HOWTODECRYPTFILES.html"):

ALL YOUR WORK AND PERSONAL FILES HAVE BEEN ENCRYPTEDhxxhxxLosers ransomware RansomwarehxxTo decrypt your files you need to buy the special software – «Losers decryptor»hxxhxxTo recover data, follow the instructions!hxxhxxYou can find out the details/ask questions in the e-mail:hxxhxxdd.coala@protonmail.comhxxhxxYou can find out the details/ask questions in the chat:hxxhxxp://kuysqebjbttaxmq2.onion.to (not need Tor)hxxhxxps://kuysqebjbttaxmq2.onion.cab (not need Tor)hxxhxxps://kuysqebjbttaxmq2.onion (need Tor)hxxYou can find out the details/ask questions in Bitmessage:hxxhxxps://bitmsg.me/ BM-2cTFScArDZfPNYbefeDn1RJL44NkvuVPrUhxxhxxhxxhxxIf the resource is not available for a long time, install and use the Tor-browser:hxxhxx1. Run your Internet-browserhxx2. Enter or copy the address hxxps://www.torproject.org/download/download-easy.html in the address bar of your browser and press key ENTERhxx3. On the site will be offered to download the Tor-browser, download and install it. Run.hxx4. Connect with the button "Connect" (if you use the English version)hxx5. After connection, the usual Tor-browser window will openhxx6. Enter or copy the address hxxp://kuysqebjbttaxmq2.onion/ in the address bar of Tor-browser and press key ENTERhxx7. Wait for the site to loadhxxhxx// If you have any problems installing or using, please visit the video tutorial hxxps://www.youtube.com/watch?v=gOgh3ABju6Q

Captura de pantalla del fondo de escritorio Losers:

fondo de escritorio de Losers

Captura de pantalla del chat con los ciberdelincuentes responsables de crear el virus Losers:

chat del virus Losers

Conversación con los ciberdelincuentes:

[07:32:30 27-10-2017]@user hi, our files were encrypted, what should we do to get them back?
[07:32:56 27-10-2017]@support hello
[07:32:57 27-10-2017]@support wait
[07:36:15 27-10-2017]@user hello?
[07:37:40 27-10-2017]@support You have to pay for decryption files.

1. It is necessary to register here - hxxps://blockchain.info/wallet/new (is the creation of the purse)
2. Find any service that sells Bitcoin (cryptocurrency) and replenish your wallet. Query: buy bitcoin (in google) or from the list below.
3. Then I give my purse and you transfer the money to me.
4. hxxps://en.bitcoin.it/wiki/Help:FAQ (for newbies)

----------
Choose any of the service:hxxp://www.bestchange.com/ recomemded
hxxps://localbitcoins.com/
hxxps://www.coinbase.com/
hxxps://www.buybitcoinworldwide.com/
hxxp://xmlgold.eu/
hxxps://www.247exchange.com/
----------

My Bitcoin wallet: "1JyXyxdxYQJEhBYSaNevNgemHp4NiyvdNQ"
Price: $ 500

Captura de pantalla de archivos cifrados por este virus encriptador (extensión .losers):

archivos cifrados por Losers

Eliminar el virus encriptador Losers:

Menú rápido:

Paso 1

Usuarios de Windows XP y Windows 7: Inicie su equipo en modo seguro. Haga clic en Inicio, Apagar, Reiniciar y aceptar. Mientras el equipo arranca, pulse la tecla F8 en su teclado varias veces hasta que vea el menú de Opciones avanzadas de Windows, luego seleccione modo seguro con funciones de red de la lista.

Modo seguro con funciones de red

Este vídeo muestra cómo iniciar Windows 7 en "Modo seguro con funciones de red":

Usuarios de Windows 8: Inicie Windows 8 en modo seguro con funciones de red: Diríjase a la pantalla de inicio de Windows 8, escriba "avanzadas", en los resultados de búsqueda, seleccione "Cambiar opciones avanzadas de inicio". En la nueva ventana "Configuración de PC", vaya hasta la sección "Inicio avanzado". Haga clic en el botón "Reiniciar ahora". Su PC se reiniciará ahora con el "Menú de opciones de arranque avanzadas". Haga clic en el botón de "Solucionar problemas", luego haga clic en el botón de "Opciones avanzadas". En la pantalla de opciones avanzadas, haga clic en "Configuración de inicio". Haga clic en el botón "Reiniciar". Su PC se reiniciará mostrando primero la pantalla de Configuración de inicio. Pulse F5 para arrancar en Modo seguro con funciones de red.

Modo seguro en Windows 8 con funciones de red

Este vídeo muestra cómo iniciar Windows 8 en "Modo seguro con funciones de red":

Usuarios de Windows 10: Haga clic en el logo de Windows y seleccione el icono de Inicio/Apagado. En el nuevo menú, haga clic en "Reiniciar" mientras mantiene pulsada la tecla "mayúsculas" en su teclado. En la ventana "seleccione una opción", haga clic en "Solucionar problemas" y luego en "Opciones avanzadas". En el menú de opciones avanzadas, seleccione "Configuración de inicio" y haga clic en el botón "Reiniciar". En la siguiente pantalla, tendrá que pulsar la tecla F5 de su teclado. Luego se reiniciará el sistema operativo en modo seguro con funciones de red.

Modo seguro en Windows 10 con funciones de red

Este vídeo muestra cómo iniciar Windows 10 en "Modo seguro con funciones de red":

Paso 2

Inicie sesión con la cuenta que ha sido infectada con el virus Losers. Abra su navegador web y descargue un programa legítimo anti-spyware. Actualice el software antiespía e inicie un análisis de sistema completo. Elimine todas las entradas que se detecten.


Descargar programa para eliminar Losers virus
1) Descarga e instala   2) Ejecuta el análisis en tu sistema   3) ¡Tu equipo estará ahora desinfectado!

Su detector gratuito verifica si su equipo está infectado. Para eliminar el software malicioso, tendrá que comprar la versión completa de Reimage.

Si no puede arrancar su equipo en modo seguro con funciones de red, pruebe ejecutando una restauración del sistema.

Este vídeo muestra cómo eliminar el virus ransomware usando "Modo seguro con funciones de red" y "Restaurar sistema":

1. Durante el proceso de arranque de su ordenador, pulse la tecla F8 en su teclado varias veces hasta que se muestre el menú de Opciones avanzadas de Windows, luego seleccione Modo seguro con símbolo de sistema de la lista y pulse ENTER.

Inicie su sistema en modo seguro con símbolo de sistema

2. Cuando el símbolo del sistema se cargue, introduzca la siguiente línea: cd restore y pulse ENTER.

restauración de sistema usando símbolo del sistema cd restore

3. Luego teclee esta línea: rstrui.exe y pulse ENTER.

restaurar sistema usando símbolo de sistema rstrui.exe

4. En la nueva pantalla, haga clic en "Siguiente".

restaurar archivos del sistema y configuraciones

5. Seleccione uno de los puntos de restauración disponibles y haga clic en "Siguiente" (se restaurará el sistema de su equipo a una fecha anterior antes de que el ransomware Losers se introdujera en su PC).

seleccione un punto de restauración

6. En la ventana abierta, haga clic en "Sí".

ejecutar restauración de sistema

7. Después de restaurar su sistema a un punto anterior, descargue y analice su PC con un software de seguridad antimalware recomendado para eliminar los remanentes del virus Losers.

Para restaurar individualmente cada archivo encriptado por este virus, pruebe con la función versiones anteriores de archivo. Este método es únicamente eficaz si la función de Restaurar sistema estaba activa en el sistema operativo infectado. Tenga en cuenta que algunas variantes de Losers eliminan las instantáneas de volumen de los ficheros, por lo que puede que este método no funcione en algunos equipos.

Para restaurar un archivo, haga clic con el botón derecho del ratón sobre el archivo, seleccione Propiedades y haga clic en la pestaña Versiones anteriores. Si el archivo en cuestión tiene su punto de restauración, selecciónelo y haga clic en el botón "Restaurar".

Restaurando archivos encriptados por CryptoDefense

Si no puede iniciar su sistema en modo seguro con funciones de red (o con símbolo de sistema), inicie su ordenador usando un disco de rescate. Algunos tipos de ransomware desactivan el modo seguro, por lo que la desinfección es más compleja. Para este paso, necesitará tener acceso a otro PC.

Para recuperar el control de los archivos encriptados por Losers, pruebe un programa llamado Shadow Explorer. Aquí podrá leer más información sobre cómo usar este programa.

captura de pantalla de shadow explorer

Para proteger su equipo de virus encriptadores de archivos, analice su sistema con programas antivirus y antiespía fiables. Como medida de protección extra, le recomendamos el programa HitmanPro.Alert y EasySync CryptoMonitor que introduce de forma artificial directivas de grupo en el registro para bloquear programas maliciosos como Losers.

HitmanPro.Alert CryptoGuard detecta el cifrado de archivos y neutraliza tales intentos sin la necesidad de que el usuario intervenga:

hitmanproalert ransomware prevention application

Malwarebytes Anti-Ransomware Beta recurre a tecnología avanzada proactiva que supervisa la actividad de los virus secuestradores de equipos y la interrumpe de inmediato antes de que afecten a los archivos de los usuarios:

malwarebytes anti-ransomware

  • La mejor forma de evitar daños ocasionados por infecciones de tipo ransomware (secuestradores de sistemas) es realizando habitualmente copias de seguridad. Aquí encontrará más información sobre soluciones informáticas para realizar copias de seguridad y para recuperar datos.

Otras herramientas conocidas para eliminar el virus Losers:

Fuente: https://www.pcrisk.com/removal-guides/11834-losers-ransomware