Cibersecuestro BlackRuby

Conocido también como: BlackRuby (virus)
Propagación: Baja
Nivel de peligrosidad: Extremo

Instrucciones para eliminar el virus criptográfico BlackRuby

¿Qué es BlackRuby?

BlackRuby es un virus secuestrador de sistemas descubierto primeramente por MalwareHunterTeam. Justo después de introducirse, BlackRuby cifra casi todos los archivos almacenados y cambia su nombre siguiendo el patrón  "ENCRYPTED_[caracteres_y_dígitos_aleatorios].BlackRuby". Por ejemplo, el archivo "1.jpg" pasaría a llamarse algo como "Encrypted_zIX2dFXFt9qNfifBu1mqkNVYTX79ZS48TWWU5BRm3Q.BlackRuby"". Por tanto, los archivos se vuelven inutilizables e imposibles de diferenciar. Al finalizar correctamente el cifrado, BlackRuby crea un archivo de texto ("how-to-decrypt-files.txt") que coloca en todas las carpetas existentes.

BlackRuby tiene una serie de funciones interesantes que son raras en la mayoría de cibersecuestros. En primer lugar, comprueba la dirección IP de la víctima para detectar su ubicación. Si la ubicación es Irán, los archivos no serán cifrados. Asimismo, BlackRuby instala una herramienta XMRig que hace un mal uso de los recursos del sistema para hacer minería con la criptomoneda Monero (puede informarse sobre este software de minería aquí). Por tanto, el rendimiento del sistema se ve considerablemente afectado. El nuevo archivo de texto informa a las víctimas del cifrado y facilita más instrucciones para recuperar los archivos. Se dice que la desencriptación requiere de una clave única; por desgracia, esta información es correcta. Aunque no se sabe actualmente si BlackRuby usa criptografía simétrica o asimétrica, es imposible descifrar los archivos sin una clave (generada de forma única para cada víctima). Los delincuentes ocultan esas claves en un servidor remoto. Por tanto, para recibir una clave y la herramienta de descifrado, las víctimas tienen que pagar un rescate de $650 en Bitcoins. Asimismo, los desarrolladores de ransomware suelen ignorar a las víctimas cuando se ha realizado el pago. Por ello, normalmente pagar no dará ningún fruto y los usuarios podrían ser estafados. Aparte de perder su dinero, estará apoyando el modelo de negocio malicioso de los ciberdelincuentes. Por estos motivos, no intente nunca contactar con esa gente ni pagar un rescate. Por desgracia, no existen herramientas actualmente que sean capaces de desencriptar los archivos afectados por el ransomware BlackRuby. Por tanto, solo puede recuperar sus archivos y sistema desde una copia de seguridad.

Captura de pantalla del mensaje donde se insta a los usuarios a pagar la recompensa para desencriptar los archivos afectados:

instrucciones desencriptación BlackRuby

Este malware es prácticamente idéntico a decenas de virus de la categoría secuestradora de equipos como Payerranso, LOCKME, AAC y GANDCRAB. Aunque esos virus han sido desarrollados por diferentes ciberdelincuentes, su comportamiento es idéntico. Todos ellos encriptan los archivos y exigen el pago de una recompensa. Según la investigación, la mayor parte de virus de tipo ransomware presentan solo dos diferencias importantes: 1) coste de la desencriptación y 2) tipo de algoritmo encriptador usado. Por desgracia, casi todos emplean algoritmos (como RSA, AES, etc.) que generan claves únicas de descifrado. Por tanto, a no ser que el malware esté sin desarrollar al 100 % o tenga fallos de seguridad  (p. ej. que almacene la clave de forma local o que esté mal programado, etc.), es imposible restaurar los archivos sin contar con los desarrolladores (no se recomienda contactar con esos individuos). Los virus de tipo encriptador nos recuerdan lo importante que es realizar frecuentemente copias de seguridad. Sin embargo, no olvide que las copias de seguridad deben almacenarse en un servidor remoto o unidad de almacenamiento externa; de lo contrario el virus las encriptará también como cualquier otro archivo.

¿Cómo llegó el cibersecuestro a mi equipo?

Los virus de tipo criptográfico se propagan de distintas formas; sin embargo, las más comunes son: 1) correos basura, 2) redes P2P, 3) fuentes de descarga de no oficiales, 4) herramientas de actualización de software fraudulentas y 5) troyanos. Los mensajes de correo basura contienen probablemente adjuntos maliciosos (p. ej. documentos MS Office, archivos JavaScript, etc.) que cuando se abren, descargan e instalan malware. Las redes P2P (torrents, eMule, etc.) y otras fuentes de descarga de software no oficiales (sitios web de descargas gratuitas, sitios web de alojamiento de archivos, etc.) presentan a menudo ejecutables maliciosos como software legítimo. Los usuarios descargar e instalan software malicioso sin ser conscientes. Las falsas herramientas de actualización se aprovechan de los errores del software desactualizado para infectar el sistema. En algunos casos, esas herramientas descargan virus en vez de actualizaciones de software. Los troyanos son los más simples; solo abren "puertas" para que entren otros programas maliciosos en el sistema.

¿Cómo protegerse de los cibersecuestros?

Los principales motivos por lo que se infecta el equipo son un conocimiento insuficiente y un comportamiento imprudente. La clave para la seguridad es la precaución. Para evitar las infecciones de ransomware, vaya con cautela al navegar por internet. No abra nunca archivos recibidos por parte de direcciones de email desconocidas o sospechosas. Le recomendamos encarecidamente descargar sus aplicaciones de fuentes oficiales a través de un enlace de descarga directo. Los instaladores o descargadores de terceros incluyen a menudo (empaquetan) programas dudosos y estas herramientas no deberían usarse. Mantenga actualizado el software instalado y use una solución antivirus o antiespía fiable; sin embargo, dado que los delincuentes usan actualizadores falsos para propagar el malware, use la funcionalidad integrada de actualizaciones o, al menos, un herramienta que ofrezca un desarrollador oficial.

Texto mostrado en el archivo de texto del ransomware BlackRuby ("how-to-decrypt-files.txt"):

=== Identification Key ===
-
=== Identification Key ===


[Can not access your files?]

Congratulations, you are now part of our family #BlackRuby Ransomware. The range of this family is wider and bigger every day.
Our hosts welcome our presence because we will give them a scant souvenir from the heart of Earth.

This time, we are guest with a new souvenir called "Black Ruby". A ruby in black, different, beautiful, and brilliant, which has been bothered to extract those years and you must also endure this hard work to keep it. If you do not have the patience of this difficulty or you hate some of this precious stone, we are willing to receive the price years of mining and finding rubies for your relief and other people of the world who are guests of the black ruby.

So let's talk a little bit with you without a metaphor and literary terms to understand the importance of the subject.
It does not matter if you're a small business or you manage a large organization, no matter whether you are a regular user or a committed employee, it's important that you have a black ruby and to get rid of it, you need to get back to previous situation and we need a next step.

The breadth of this family is not supposed to stop, because we have enough knowledge and you also trust our knowledge.

We are always your backers and guardian of your information at this multi-day banquet and be sure that no one in the world can take it from you except for us who extracts this precious stone.
We need a two-sided cooperation in developing cybersecurity knowledge. The background to this cooperation is a mutual trust, which will result in peace and tranquility, you must pay $650 (USD) worth of Bitcoins for restore your system to the previous state and you are free to choose to stay in this situation or return to the normal.

Do not forget that your opportunity is limited. From these limits you can create golden situations. Be sure we will help you in this way and to know that having a black ruby does not always mean riches. You and your system are poor, poor knowledge of cybersecurity and lack of security on your system!.


===============
[HOW TO DECRYPT FILES]
1. Copy "Identification Key".
2. Send this key with two encrypted files (less than 5 MB) for trust us to email address "TheBlackRuby@Protonmail.com".
3. We decrypt your two files and send them to your email.
4. After ensuring the integrity of the files, you must pay $650 (USD) with bitcoin and send transaction code to our email, our bitcoin address is "19S7k3zHphKiYr85T25FnqdxizHcgmjoj1".
5. You get "Black Ruby Decryptor" Along with the private key of your system.
6. Everything returns to the normal and your files will be released.
===============


[What is encryption?]

Encryption is a reversible modification of information for security reasons but providing full access to it for authorised users.
To become an authorised user and keep the modification absolutely reversible (in other words to have a possibility to decrypt your files) you should have an "Personal identification Key". But not only it. It is required also to have the special decryption software (in your case "Black Ruby Decryptor" software) for safe and complete decryption of all your files and data.

[Everything is clear for me but what should I do?]

The first step is reading these instructions to the end. Your files have been encrypted with the "Black Ruby Ransomware" software; the instructions ("how-to-decrypt-files.txt") in the folders with your encrypted files are not viruses, they will help you. After reading this text the most part of people start searching in the internet the words the "Black Ruby Ransomware" where they find a lot of ideas, recommendation and instructions, it is necessary to realise that we are the ones who closed the lock on your files and we are the only ones who have this secret key to open them.

[Have you got advice?]

[*** Any attempts to get back you files with the third-party tools can be fatal for your encrypted files ***]
The most part of the tried-party software change data with the encrypted files to restore it but this cases damage to the files.
Finally it will be impossible to decrypt your files, when you make a puzzle but some items are lost, broken or not put in its place - the puzzle items will never match, the same way the third-party software will ruin your files completely and irreversibly. You should realise that any intervention of the third-party software to restore files encrypted with the Black Ruby Ransomware" software may be fatal for your files.

If you look through this text in the internet and realise that something is wrong with your files but you do not have any instructions to restore your files, please contact your antivirus support.

Captura de pantalla de archivos cifrados por BlackRuby (patrón de nomenclatura "ENCRYPTED_[random_characters_and_digits].BlackRuby"):

archivos cifrados por BlackRuby Eliminar el cibersecuestro BlackRuby:

BlackRuby ransomware removal:

Eliminar automáticamente de forma instantánea BlackRuby (virus): Eliminar las amenazas de forma manual puede acabar siendo un proceso largo y tedioso que precisa de conocimientos informáticos avanzados. Spyhunter es una herramienta profesional para eliminar software malicioso de forma automática y está recomendada para acabar con BlackRuby (virus). La descarga se iniciará al hacer clic en el siguiente botón:
▼ DESCARGAR Spyhunter Su detector gratuito verifica si su equipo está infectado. Para eliminar el software malicioso, tendrá que comprar la versión completa de Spyhunter. Si decide descargar este programa, quiere decir que usted está conforme con nuestra Política de privacidad y Condiciones de uso.

Menú rápido:

Paso 1

Usuarios de Windows XP y Windows 7: Inicie su equipo en modo seguro. Haga clic en Inicio, Apagar, Reiniciar y aceptar. Mientras el equipo arranca, pulse la tecla F8 en su teclado varias veces hasta que vea el menú de Opciones avanzadas de Windows, luego seleccione modo seguro con funciones de red de la lista.

Modo seguro con funciones de red

Este vídeo muestra cómo iniciar Windows 7 en "Modo seguro con funciones de red":

Usuarios de Windows 8: Inicie Windows 8 en modo seguro con funciones de red: Diríjase a la pantalla de inicio de Windows 8, escriba "avanzadas", en los resultados de búsqueda, seleccione "Cambiar opciones avanzadas de inicio". En la nueva ventana "Configuración de PC", vaya hasta la sección "Inicio avanzado".  Haga clic en el botón "Reiniciar ahora". Su PC se reiniciará ahora con el "Menú de opciones de arranque avanzadas". Haga clic en el botón de "Solucionar problemas", luego haga clic en el botón de "Opciones avanzadas". En la pantalla de opciones avanzadas, haga clic en "Configuración de inicio". Haga clic en el botón "Reiniciar". Su PC se reiniciará mostrando primero la pantalla de Configuración de inicio. Pulse F5 para arrancar en Modo seguro con funciones de red.

Modo seguro en Windows 8 con funciones de red

Este vídeo muestra cómo iniciar Windows 8 en "Modo seguro con funciones de red":

Usuarios de Windows 10: Haga clic en el logo de Windows y seleccione el icono de Inicio/Apagado. En el nuevo menú, haga clic en "Reiniciar" mientras mantiene pulsada la tecla "mayúsculas" en su teclado. En la ventana "seleccione una opción", haga clic en "Solucionar problemas" y luego en "Opciones avanzadas". En el menú de opciones avanzadas, seleccione "Configuración de inicio" y haga clic en el botón "Reiniciar". En la siguiente pantalla, tendrá que pulsar la tecla F5 de su teclado. Luego se reiniciará el sistema operativo en modo seguro con funciones de red

Modo seguro en Windows 10 con funciones de red

Este vídeo muestra cómo iniciar Windows 10 en "Modo seguro con funciones de red":

Paso 2

Inicie sesión con la cuenta que ha sido infectada con el virus BlackRuby. Abra su navegador web y descargue un programa legítimo anti-spyware. Actualice el software antiespía e inicie un análisis de sistema completo. Elimine todas las entradas que se detecten

Si no puede arrancar su equipo en modo seguro con funciones de red, pruebe ejecutando una restauración del sistema.

Este vídeo muestra cómo eliminar el virus ransomware usando "Modo seguro con funciones de red" y "Restaurar sistema":

1. Durante el proceso de arranque de su ordenador, pulse la tecla F8 en su teclado varias veces hasta que se muestre el menú de Opciones avanzadas de Windows, luego seleccione Modo seguro con símbolo de sistema de la lista y pulse ENTER.

Inicie su sistema en modo seguro con símbolo de sistema

2. Cuando el símbolo del sistema se cargue, introduzca la siguiente línea: cd restore y pulse ENTER.

restauración de sistema usando símbolo del sistema cd restore

3. Luego teclee esta línea: rstrui.exe y pulse ENTER.

restaurar sistema usando símbolo de sistema rstrui.exe

4. En la nueva pantalla, haga clic en "Siguiente".

restaurar archivos del sistema y configuraciones

5. Seleccione uno de los puntos de restauración disponibles y haga clic en "Siguiente" (se restaurará el sistema de su equipo a una fecha anterior antes de que el ransomware BlackRuby se introdujera en su PC).

seleccione un punto de restauración

6. En la ventana abierta, haga clic en "Sí".

ejecutar restauración de sistema

7. Después de restaurar su sistema a un punto anterior, descargue y analice su PC con un software de seguridad antimalware recomendado para eliminar los remanentes del virus BlackRuby.

Para restaurar individualmente cada archivo encriptado por este virus, pruebe con la función versiones anteriores de archivo. Este método es únicamente eficaz si la función de Restaurar sistema estaba activa en el sistema operativo infectado. Tenga en cuenta que algunas variantes de BlackRuby eliminan las instantáneas de volumen de los ficheros, por lo que puede que este método no funcione en algunos equipos.

Para restaurar un archivo, haga clic con el botón derecho del ratón sobre el archivo, seleccione Propiedades y haga clic en la pestaña Versiones anteriores. Si el archivo en cuestión tiene su punto de restauración, selecciónelo y haga clic en el botón "Restaurar".

Restaurando archivos encriptados por CryptoDefense

Si no puede iniciar su sistema en modo seguro con funciones de red (o con símbolo de sistema), inicie su ordenador usando un disco de rescate. Algunos tipos de ransomware desactivan el modo seguro, por lo que la desinfección es más compleja. Para este paso, necesitará tener acceso a otro PC.

Para recuperar el control de los archivos encriptados por BlackRuby, pruebe un programa llamado Shadow Explorer. Aquí podrá leer más información sobre cómo usar este programa.

captura de pantalla de shadow explorer

Para proteger su equipo de virus encriptadores de archivos, analice su sistema con programas antivirus y antiespía fiables. Como medida de protección extra, le recomendamos el programa HitmanPro.Alert y EasySync CryptoMonitor que introduce de forma artificial directivas de grupo en el registro para bloquear programas maliciosos como BlackRuby.

Tenga en cuenta que la actualización Windows 10 Fall Creators incluye la función "Acceso controlado a carpetas" que bloquea los intentos de los virus encriptadores para cifrar sus archivos. Por defecto, esta función protege de forma automática los archivos almacenados en Documentos, Imágenes, Vídeos, Música, Favoritos, así como las carpetas del escritorio.

acceso controlado a carpetas

Los usuarios de Windows 10 deberían instalar esta actualización para proteger sus archivos frente a los cibersecuestros. Aquí verá más información de cómo puede conseguir esta actualización para incrementar la protección de su equipo frente a las infecciones ransomware.

HitmanPro.Alert CryptoGuard detecta el cifrado de archivos y neutraliza tales intentos sin la necesidad de que el usuario intervenga:

la aplicación hitmanproalert que protege del ransomware

Malwarebytes Anti-Ransomware Beta recurre a tecnología avanzada proactiva que supervisa la actividad de los virus secuestradores de equipos y la interrumpe de inmediato antes de que afecten a los archivos de los usuarios:

malwarebytes anti-ransomware

  • La mejor forma de evitar daños ocasionados por infecciones de tipo ransomware (secuestradores de sistemas) es realizando habitualmente copias de seguridad. Aquí encontrará más información sobre soluciones informáticas para realizar copias de seguridad y para recuperar datos.

Otras herramientas conocidas para eliminar el virus BlackRuby:

Fuente: https://www.pcrisk.com/removal-guides/12266-blackruby-ransomware