Cibersecuestro SIGMA

Conocido también como: SIGMA (virus)
Propagación: Baja
Nivel de peligrosidad: Extremo

Instrucciones para eliminar el virus criptográfico SIGMA

¿Qué es SIGMA?

SIGMA es un virus secuestrador de sistemas descubierto por el analista de seguridad de malware Michael Gillespie. Este software malicioso clasificado como de alto riesgo se distribuye en correos basura en los que se dice que se cobrarán 3000 $ a los usuarios de sus tarjetas MasterCard a no ser que se abra el documento MS Office adjunto. Tras abrir este adjunto e introducir la contraseña facilitada, los usuarios ejecutarán sin querer los macros configurados que iniciarán de inmediato una serie de acciones para descargar y ejecutar el cibersecuestro SIGMA. Una vez infiltrado, este virus encripta los archivos almacenados mediante criptografía RSA-2048 y añade cuatro letras/cifras al nombre de cada archivo encriptado (p. ej."sample.jpg" pasaría a llamarse algo como "sample.jpg.Ka8E"). Justo después del cifrado, SIGMA cambia el fondo de escritorio y coloca dos archivos ("ReadMe.html" y "ReadMe.txt") en el escritorio.

El nuevo fondo de escritorio contiene un breve mensaje donde se anima a las víctimas a leer otro archivo de texto y HTML que proporcionará información detallada sobre la actual situación y lo que hay que hacer luego. Los archivos HTML y .txt contienen el mismo mensaje donde se dice que los archivos han sido cifrados y que solo pueden recuperarse si se usa una clave de descifrado con una herramienta especial. Por desgracia, esta información es correcta. Como se ha mencionado, SIGMA se sirve de un algoritmo de encriptación RSA-2048, por lo que se generan claves públicas (encriptación) y privada (desencriptación). Dado que es imposible restaurar los archivos sin la clave privada, los delincuentes la ocultan en un servidor remoto y piden una recompensa a cambio de cederla. El coste de la clave de descifrado y la herramienta asociada es de $1000 en Bitcoins; sin embargo, en el mensaje se dice que el coste se duplicará pasados siete días. Para realizar el pago, hay que visitar el sitio web de SIGMA en Tor y seguir las instrucciones facilitadas. Tenga en cuenta que los usuarios pueden acceder a un chat XAMP para contactar con los delincuentes. También se les permite enviar varios archivos a los desarrolladores de SIGMA. Luego los delincuentes desencriptarán esos archivos y los devolverán como garantía de que es posible realizar la desencriptación. Sin embargo, tenga en cuenta que no puede fiarse de los ciberdelincuentes. Esta gente suele ignorar a las víctimas cuando el pago ha sido realizado. Pagar no garantiza que sus archivos serán restaurados en algún momento y podría resultar estafado. Simplemente se estaría apoyando el negocio malicioso de los ciberdelincuentes y se perdería el dinero. Le recomendamos encarecidamente que ignore todas las peticiones de contacto y no pague ningún rescate. Por desgracia, no hay herramientas capaces actualmente de craquear criptografía RSA-2048 y restaurar los archivos comprometidos por SIGMA. La única opción sería restaurar los archivos/sistema a partir de una copia de seguridad.

Captura de pantalla del mensaje donde se insta a los usuarios a pagar la recompensa para desencriptar los archivos afectados:

instrucciones desencriptación SIGMA

Hay decenas de virus de tipo encriptador que son prácticamente idénticos a SIGMA. Por ejemplo: Powerful Hidden Tear, Relock, Teamo, GIBON y muchos otros. Aunque esos virus han sido desarrollados por diferentes ciberdelincuentes, su comportamiento es idéntico. Todos ellos encriptan archivos y exigen el pago de una recompensa. Las únicas diferencias significativas están en el tipo de algoritmo criptográfico usado y la cuantía del rescate. Por desgracia, casi todos esos virus emplean algoritmos que generan claves únicas de descifrado (p. ej. RSA, AES, etc.). Por tanto, a no ser que el malware tenga fallos o errores de seguridad (p. ej. que almacene la clave de forma local o que esté mal programado, etc.), es imposible restaurar los archivos de forma manual sin contar con los desarrolladores (no se recomienda contactar con esos individuos). SIGMA y otros cibersecuestros nos recuerdan lo importante que es realizar frecuentemente copias de seguridad. Sin embargo, tenga en cuenta que las copias de seguridad han de almacenarse en servidores remotos (p. ej. nube) o en un disco duro extraíble sin conectar; de lo contrario, también resultarán afectados.

¿Cómo llegó el cibersecuestro a mi equipo?

Como se ha dicho anteriormente, SIGMA se propaga a través de correo basura; sin embargo, para propagar virus de tipo ransomware, los desarrolladores emplean troyanos, falsos asistentes de actualización de software, redes P2P y otras fuentes de descarga de terceros. Los troyanos abren "puertas traseras" para que se infiltren virus en el sistema. Las herramientas de actualización de software falso instalan virus aprovechando los fallos de seguridad del software desactualizado. Las redes P2P (torrents, eMule, etc.) y otras fuentes de descarga de software no oficiales (sitios web de descargas gratuitas, sitios web de alojamiento de archivos, etc.) presentan a menudo ejecutables maliciosos como software legítimo, por lo que engañan a los usuarios para que descarguen y abran malware. Los principales motivos por lo que se infecta el equipo son un conocimiento insuficiente y un comportamiento imprudente.

¿Cómo protegerse de los cibersecuestros?

Lo fundamental de la seguridad informática es la precaución. Por tanto, preste especial atención al navegar por internet. No abran nunca adjuntos recibidos de direcciones de email sospechosas; elimine estos emails sin leerlos. También le recomendamos encarecidamente que descargue programas desde fuentes oficiales y, preferentemente, use un enlace de descarga directo (las herramientas de descarga e instalación de terceros incluyen programas maliciosos). Asimismo, mantenga actualizado el software instalado y use una solución antivirus o antiespía fiable. Sin embargo, es importante destacar que el ransomware se propaga a través de asistentes falsos de actualización. Por ello, no se debería actualizar nunca el software con herramientas de terceros.

Captura de pantalla del archivo HTML SIGMA:

archivo html SIGMA

Texto mostrado en los archivos HTML y .txt del ransomware SIGMA:

What has happened to my files ? Why i am seeing this ?

All of your files have been encrypted with RSA 2048 Encryption. Which means, you wont be able to open them or view them properly. It does NOT mean they are damaged.

Solution

Well its quite simple only we can decrypt your files because we hold your RSA 2048 private key. So you need to buy the special decryption software and your RSA private key from us if you ever want your files back. Once payment is made, you will be given a decrypter along with your private key , once you run that , All of your files will be unlocked and back to normal.


So there are 2 ways to do this either you wait for a miracle and get your price doubled or follow instructions below carefully and get back your all important files.

Payment procedure

Download a special browser called "TOR browser" and then open the given below link. Steps for the same are -

1. Go to hxxps://www.torproject.org/download/download-easy.html.en to download the "TOR Browser".
2. Click the purple button which says "Download TOR Browser"
3. Run the downloaded file, and install it.
4. Once installation is completed, run the TOR browser by clicking the icon on Desktop.
5. Now click "Connect button", wait a few seconds, and the TOR browser will open.
6. Copy and paste the below link in the address bar of the TOR browser.


hxxp://yowl2ugopitfzzwb.onion/

Now HIT "Enter"

7. Wait a few seconds, and site will open then enter your GUID mentioned below and process.

303FE8580B3167E7E1141B8AAE588AA2

If you have problems during installation or use of Tor Browser, please, visit Youtube and search for "Install Tor Browser Windows" and you will find a lot of videos.

Captura de pantalla del fondo de escritorio SIGMA:

fondo de escritorio de SIGMA

Capturas de pantalla del sitio web SIGMA:

Inicio:

sitio web SIGMA

Texto mostrado en esta página:

Sigma Ransomware

Your documents, photos, databases and other important files have been encrypted
Your files were encrypted at Nov 7 2017 7:05 AM
To recover them you need the private key of the key pair used to encrypt them and the decryptor software.
You can buy both of them for $1000.00
Within 7 days you can purchase this product at a special price: ˜ $1000
After 7 days the price of this product will increase up to: ˜ $2000
Final deadline is 06-01-2018 03:05:01 (after that you will loose your important files forever)
Register a bitcoin wallet.
Create a Bitcoin Wallet (we recommend Blockchain.info) or other wallets (click here)
Purchase the required amount of bitcoins.
There are several ways you can buy bitcoins, you can use bitcoin exchanges (click here), buy directly from people selling near you (click here) or using a bitcoin ATM (click here)
Send exactly $1000.00 to the address:
1FTgiZwhTJ1HY4gmvieio88UAfBxQtVDNj The confirmation may take several minutes, please be patient.
Status: payment awaiting...
This payment request is valid until 14-11-2017 03:05:01 UTC after that it will get double ˜ $2000
In case of any problems with payment or having any other questions, please contact us via LIVE CHAT

Chat:

SIGMA Ransomware Live Chat

Texto mostrado en esta página:

FOR CONNECT WITH US All YOU NEED IS ONE XAMP ACCOUNT , PIDGIN WITH OTR FOR SECURE INSTANT MESSAGING
Pidgin Installation Guide hxxps://securityinabox.org/en/guide/pidgin/windows/
Some secure and fast XAMP sites we recommend
exploit.im (registration can be done within pidgin)
hxxps://accounts.jwchat.org/
hxxps://jabb.im/reg/
After you done with installing Pidgin and OTR (its very important to install OTR so please dont forget it) add our XAMP as buddy and authorised it
Not only that when we chat with you in pidgin we can decrypt 1 file for free for you or may be more..
Our XAMP Account is Sigmaxxx@jabb.im

FAQ (Preguntas frecuentes):

preguntas frecuentes SIGMA Ransomware FAQ

Texto mostrado en esta página:

Question: How can i decrypt my files after payment?
Answer: After payment, you can download the from your personal page. We guarantee that all your files will be decrypted!

Question: My files was infected more then month ago, can i still decrypt it with your software?
Answer: Yes, you can still decrypt your files after the payment we keep your keypair for 2 months then its gets delte automatically and its impossible to recover your files after that!

Question: I do have multiple computers infected is there any discount?
Answer: Please follow instructions mentioned on live chat page and connect with us we can negotiate for multiple computers

Question: So if i pay and get my files back am i secure in future from this ransomware ?

Answer: we sale special Immunity as low as 100$ more on top of the decrypter payment if you buy it , we add your machine GUID to our whitelist and in future your machine never ever get infected again for buying immunity please follow instructions mentioned on live chat page and connect with us !

Captura de pantalla de archivos encriptados por SIGMA (extensión con 4 letras y números aleatorios):

archivos cifrados por SIGMA

Eliminar el cibersecuestro SIGMA:

Eliminar automáticamente de forma instantánea SIGMA (virus): Eliminar las amenazas de forma manual puede acabar siendo un proceso largo y tedioso que precisa de conocimientos informáticos avanzados. Spyhunter es una herramienta profesional para eliminar software malicioso de forma automática y está recomendada para acabar con SIGMA (virus). La descarga se iniciará al hacer clic en el siguiente botón:
▼ DESCARGAR Spyhunter Su detector gratuito verifica si su equipo está infectado. Para eliminar el software malicioso, tendrá que comprar la versión completa de Spyhunter. Si decide descargar este programa, quiere decir que usted está conforme con nuestra Política de privacidad y Condiciones de uso.

Menú rápido:

Paso 1

Usuarios de Windows XP y Windows 7: Inicie su equipo en modo seguro. Haga clic en Inicio, Apagar, Reiniciar y aceptar. Mientras el equipo arranca, pulse la tecla F8 en su teclado varias veces hasta que vea el menú de Opciones avanzadas de Windows, luego seleccione modo seguro con funciones de red de la lista.

 

Modo seguro con funciones de red

Este vídeo muestra cómo iniciar Windows 7 en "Modo seguro con funciones de red":

Usuarios de Windows 8: Inicie Windows 8 en modo seguro con funciones de red: Diríjase a la pantalla de inicio de Windows 8, escriba "avanzadas", en los resultados de búsqueda, seleccione "Cambiar opciones avanzadas de inicio". En la nueva ventana "Configuración de PC", vaya hasta la sección "Inicio avanzado".  Haga clic en el botón "Reiniciar ahora". Su PC se reiniciará ahora con el "Menú de opciones de arranque avanzadas". Haga clic en el botón de "Solucionar problemas", luego haga clic en el botón de "Opciones avanzadas". En la pantalla de opciones avanzadas, haga clic en "Configuración de inicio". Haga clic en el botón "Reiniciar". Su PC se reiniciará mostrando primero la pantalla de Configuración de inicio. Pulse F5 para arrancar en Modo seguro con funciones de red.

 

Modo seguro en Windows 8 con funciones de red

Este vídeo muestra cómo iniciar Windows 8 en "Modo seguro con funciones de red":

Usuarios de Windows 10: Haga clic en el logo de Windows y seleccione el icono de Inicio/Apagado. En el nuevo menú, haga clic en "Reiniciar" mientras mantiene pulsada la tecla "mayúsculas" en su teclado. En la ventana "seleccione una opción", haga clic en "Solucionar problemas" y luego en "Opciones avanzadas". En el menú de opciones avanzadas, seleccione "Configuración de inicio" y haga clic en el botón "Reiniciar". En la siguiente pantalla, tendrá que pulsar la tecla F5 de su teclado. Luego se reiniciará el sistema operativo en modo seguro con funciones de red

Modo seguro en Windows 10 con funciones de red

Este vídeo muestra cómo iniciar Windows 10 en "Modo seguro con funciones de red":

Paso 2

Inicie sesión con la cuenta que ha sido infectada con el virus SIGMA. Abra su navegador web y descargue un programa legítimo anti-spyware. Actualice el software antiespía e inicie un análisis de sistema completo. Elimine todas las entradas que se detecten

Si no puede arrancar su equipo en modo seguro con funciones de red, pruebe ejecutando una restauración del sistema.

Este vídeo muestra cómo eliminar el virus ransomware usando "Modo seguro con funciones de red" y "Restaurar sistema":

1. Durante el proceso de arranque de su ordenador, pulse la tecla F8 en su teclado varias veces hasta que se muestre el menú de Opciones avanzadas de Windows, luego seleccione Modo seguro con símbolo de sistema de la lista y pulse ENTER.

 

Inicie su sistema en modo seguro con símbolo de sistema

2. Cuando el símbolo del sistema se cargue, introduzca la siguiente línea: cd restore y pulse ENTER.

restauración de sistema usando símbolo del sistema cd restore

3. Luego teclee esta línea: rstrui.exe y pulse ENTER.

restaurar sistema usando símbolo de sistema rstrui.exe

4. En la nueva pantalla, haga clic en "Siguiente".

restaurar archivos del sistema y configuraciones

5. Seleccione uno de los puntos de restauración disponibles y haga clic en "Siguiente" (se restaurará el sistema de su equipo a una fecha anterior antes de que el ransomware SIGMA se introdujera en su PC).

seleccione un punto de restauración

6. En la ventana abierta, haga clic en "Sí".

ejecutar restauración de sistema

7. Después de restaurar su sistema a un punto anterior, descargue y analice su PC con un software de seguridad antimalware recomendado para eliminar los remanentes del virus SIGMA.

Para restaurar individualmente cada archivo encriptado por este virus, pruebe con la función versiones anteriores de archivo. Este método es únicamente eficaz si la función de Restaurar sistema estaba activa en el sistema operativo infectado. Tenga en cuenta que algunas variantes de SIGMA eliminan las instantáneas de volumen de los ficheros, por lo que puede que este método no funcione en algunos equipos.

Para restaurar un archivo, haga clic con el botón derecho del ratón sobre el archivo, seleccione Propiedades y haga clic en la pestaña Versiones anteriores. Si el archivo en cuestión tiene su punto de restauración, selecciónelo y haga clic en el botón "Restaurar".

Restaurando archivos encriptados por CryptoDefense

Si no puede iniciar su sistema en modo seguro con funciones de red (o con símbolo de sistema), inicie su ordenador usando un disco de rescate. Algunos tipos de ransomware desactivan el modo seguro, por lo que la desinfección es más compleja. Para este paso, necesitará tener acceso a otro PC.

Para recuperar el control de los archivos encriptados por SIGMA, pruebe un programa llamado Shadow Explorer. Aquí podrá leer más información sobre cómo usar este programa.

captura de pantalla de shadow explorer

Para proteger su equipo de virus encriptadores de archivos, analice su sistema con programas antivirus y antiespía fiables. Como medida de protección extra, le recomendamos el programa HitmanPro.Alert y EasySync CryptoMonitor que introduce de forma artificial directivas de grupo en el registro para bloquear programas maliciosos como SIGMA.

Tenga en cuenta que la actualización Windows 10 Fall Creators incluye la función "Acceso controlado a carpetas" que bloquea los intentos de los virus encriptadores para cifrar sus archivos. Por defecto, esta función protege de forma automática los archivos almacenados en Documentos, Imágenes, Vídeos, Música, Favoritos, así como las carpetas del escritorio.

acceso controlado a carpetas

Los usuarios de Windows 10 deberían instalar esta actualización para proteger sus archivos frente a los cibersecuestros. Aquí verá más información de cómo puede conseguir esta actualización para incrementar la protección de su equipo frente a las infecciones ransomware.

HitmanPro.Alert CryptoGuard detecta el cifrado de archivos y neutraliza tales intentos sin la necesidad de que el usuario intervenga:

la aplicación hitmanproalert que protege del ransomware

Malwarebytes Anti-Ransomware Beta recurre a tecnología avanzada proactiva que supervisa la actividad de los virus secuestradores de equipos y la interrumpe de inmediato antes de que afecten a los archivos de los usuarios:

malwarebytes anti-ransomware

  • La mejor forma de evitar daños ocasionados por infecciones de tipo ransomware (secuestradores de sistemas) es realizando habitualmente copias de seguridad. Aquí encontrará más información sobre soluciones informáticas para realizar copias de seguridad y para recuperar datos.

Otras herramientas conocidas para eliminar el virus SIGMA:

Fuente: https://www.pcrisk.com/removal-guides/11876-sigma-ransomware