Cibersecuestro .gif

Conocido también como: .gif (virus)
Propagación: Baja
Nivel de peligrosidad: Extremo

Instrucciones para eliminar el virus criptográfico .gif

¿Qué es .gif?

.gif, descubierto por primera vez por el investigador de seguridad Brad, es un nuevo virus secuestrador de equipos que pertenece a la familia de programas maliciosos GlobeImposter. Los delincuentes propagan este software malicioso mediante spam (candidaturas de empleo falsas con adjuntos maliciosos). Justo después de introducirse, .gif cifra casi todos los archivos almacenados y añade la extensión ".gif" a todos los nombres de archivo (p. ej. "sample.jpg" pasaría a llamarse "sample.jpg.gif"). Una vez que los archivos han sido encriptados, es imposible usarlos. Tras cifrar los datos con éxito, .gif coloca el archivo de texto "Read_ME.txt" en todas las carpetas existentes. Este archivo contiene un mensaje donde se pide el rescate.

El mensaje del archivo de texto es simple; solamente se dice que los archivos han sido encriptados y que la víctima debe visitar el sitio web de .gif para comprar el desencriptador. No se proporciona información adicional, por lo que no se sabe ciertamente qué tipo de algoritmo criptográfico utiliza .gif (simétrico o asimétrico). En cualquier caso, para la desencriptación se necesita una clave generada de forma única para cada víctima. Por desgracia, los ciberdelincuentes almacenan las claves de descifrado en un servidor remoto, por lo que controlan la situación y pueden hacer peticiones de pago a cambio de enviar la clave. Intentan vender las claves a las víctimas con una herramienta de descifrado a un coste combinado de 0,094 Bitcoins (actualmente equivalente a ~$990). El sitio también contiene un temporizador (48 horas) y afirma que el coste se duplicará una vez que el temporizador llegue a cero. En realidad, no debe fiarse de los ciberdelincuentes. Esa gente ignorará probablemente a sus víctimas una vez que paguen el rescate. Por ello, normalmente pagar no dará ningún fruto y los usuarios podrían ser estafados. Le recomendamos encarecidamente que ignore todas las peticiones de contacto y no pague ninguna recompensa. Actualmente, no hay herramientas capaces de restaurar los archivos encriptados por .gif gratuitamente y solo puede recuperarlo todo a partir de una copia de seguridad.

Captura de pantalla del mensaje donde se insta a los usuarios a pagar la recompensa para desencriptar los archivos afectados:

instrucciones desencriptación .gif

.gif comparte similitudes con Jigsaw, LockCrypt, Creeper, XiaoBa y a una decena de virus de tipo ransomware. Aunque esos virus han sido desarrollados por diferentes ciberdelincuentes, todos funcionan de forma idéntica: encriptan los archivos y realizan peticiones de rescate. En realidad, los virus de tipo ransomware presentan solo dos diferencias importantes: 1) coste de la desencriptación y 2) tipo de algoritmo encriptador usado. Por desgracia, en casi todos estos cibersecuestros se usan algoritmos que generan claves únicas de desencriptación (p. ej. AES, RSA, etc.). Por tanto, es casi imposible desencriptar los archivos de forma manual (si no se cuenta con los desarrolladores, lo cual no es recomendable). La única opción posible es que el virus encriptador no esté desarrollado al 100 % o que tenga errores o fallos de seguridad (p. ej. que la clave esté incluida en el código o almacenada localmente, etc.). El ransomware nos recuerda lo importante que es hacer regularmente copias de seguridad; sin embargo, las copias de seguridad deben almacenarse en un servidor remoto (por ejemplo, en la nube) o en una unidad de almacenamiento externa. De lo contrario, el software malicioso las encriptaría también.

¿Cómo llegó el cibersecuestro a mi equipo?

Los virus de tipo criptográfico se propagan de distintas formas; sin embargo, las más comunes son: 1) correos basura, 2) redes P2P, 3) fuentes de descarga de no oficiales, 4) herramientas de actualización de software fraudulentas y 5) troyanos. Los adjuntos maliciosos son con toda probabilidad archivos JavaScript o algún documento MS Office. Al abrir esos adjuntos, los usuarios ejecutan código que descargue e instale malware de forma silenciosa. Las redes P2P (torrents, eMule, etc.) y otras fuentes de descarga de software no oficiales (sitios web de descargas gratuitas, sitios web de alojamiento de archivos, etc.) presentan a menudo ejecutables maliciosos como software legítimo, por lo que engañan a los usuarios para que descarguen y abran malware. Las herramientas de actualización de software falso infectan el sistema aprovechándose de errores en versiones de software antiguas o instalando malware en vez de la aplicación seleccionada. Los troyanos son los más simples; solo abren "puertas" para que entren otros programas maliciosos en el sistema.

¿Cómo protegerse de los cibersecuestros?

Los principales motivos por lo que se infecta el equipo son un conocimiento insuficiente y un comportamiento imprudente. Por tanto, preste especial atención al navegar por internet. Sepa que los archivos recibidos en emails sospechosos no deberían descargarse ni abrirse nunca. Esos mensajes deben eliminarse de inmediato sin leerse. Le recomendamos encarecidamente descargar sus aplicaciones de fuentes oficiales a través de un enlace de descarga directo. Los instaladores o descargadores de terceros incluyen a menudo programas dudosos y estas herramientas no deberían usarse. Asimismo, mantenga actualizadas las aplicaciones instaladas y use una solución fiable antivirus/antiespía; sin embargo, ya que el software malicioso se distribuye en actualizadores falsos, le recomendamos que use las funciones de actualización integradas o herramientas facilitadas por los desarrolladores oficiales. Lo fundamental de la seguridad informática es la precaución.

Texto mostrado en el archivo de texto del ransomware .gif ("Read_ME.txt"):

Your files are Encrypted!
For data recovery needs decryptor.
How to buy decryptor:
1. Download "Tor Browser" from hxxps://www.torproject.org/ and install it.
2. Open this link In the "Tor Browser"

hxxp://djfl3vltmo36vure.onion/sdlskglkehhr

Note! This link is available via "Tor Browser" only.

Your PERSONAL ID: -

Aspecto de la ventana emergente del virus .gif (GIF):

.gif pop-up gif

Texto mostrado en este sitio web:

Buy Decryptor

To buy the decryptor, you must pay the cost of: 0.094 Bitcoin ($ 993.88)
You have 2 days for payment

time left : -

after finishing offer, decryptor cost will be 0.188 Bitcoin

You can buy bitcoin on one of these sites:
blockchain.info
localbitcoins.com
google.com
send 0.094 bicoin on the Bitcoin address: 38D15QFm7HMCcxgng5jhDqHYaMZDqrDFKu
after payment click HERE
Free decryption as guarantee.
Before paying you can send us 1 file for free decryption.
click HERE

Captura de pantalla de archivos cifrados por .gif (extensión ".gif"):

Archivos cifrados por .gif

Los ciberdelincuentes propagan el ransomware .gif a través de correos basura.

.gif distribuido en correo basura

Eliminar el cibersecuestro .gif:

Eliminar automáticamente de forma instantánea .gif (virus): Eliminar las amenazas de forma manual puede acabar siendo un proceso largo y tedioso que precisa de conocimientos informáticos avanzados. Spyhunter es una herramienta profesional para eliminar software malicioso de forma automática y está recomendada para acabar con .gif (virus). La descarga se iniciará al hacer clic en el siguiente botón:
▼ DESCARGAR Spyhunter Su detector gratuito verifica si su equipo está infectado. Para eliminar el software malicioso, tendrá que comprar la versión completa de Spyhunter. Si decide descargar este programa, quiere decir que usted está conforme con nuestra Política de privacidad y Condiciones de uso.

Menú rápido:

Paso 1

Usuarios de Windows XP y Windows 7: Inicie su equipo en modo seguro. Haga clic en Inicio, Apagar, Reiniciar y aceptar. Mientras el equipo arranca, pulse la tecla F8 en su teclado varias veces hasta que vea el menú de Opciones avanzadas de Windows, luego seleccione modo seguro con funciones de red de la lista.

Modo seguro con funciones de red

Este vídeo muestra cómo iniciar Windows 7 en "Modo seguro con funciones de red":

Usuarios de Windows 8: Inicie Windows 8 en modo seguro con funciones de red: Diríjase a la pantalla de inicio de Windows 8, escriba "avanzadas", en los resultados de búsqueda, seleccione "Cambiar opciones avanzadas de inicio". En la nueva ventana "Configuración de PC", vaya hasta la sección "Inicio avanzado".  Haga clic en el botón "Reiniciar ahora". Su PC se reiniciará ahora con el "Menú de opciones de arranque avanzadas". Haga clic en el botón de "Solucionar problemas", luego haga clic en el botón de "Opciones avanzadas". En la pantalla de opciones avanzadas, haga clic en "Configuración de inicio". Haga clic en el botón "Reiniciar". Su PC se reiniciará mostrando primero la pantalla de Configuración de inicio. Pulse F5 para arrancar en Modo seguro con funciones de red.

Modo seguro en Windows 8 con funciones de red

Este vídeo muestra cómo iniciar Windows 8 en "Modo seguro con funciones de red":

Usuarios de Windows 10: Haga clic en el logo de Windows y seleccione el icono de Inicio/Apagado. En el nuevo menú, haga clic en "Reiniciar" mientras mantiene pulsada la tecla "mayúsculas" en su teclado. En la ventana "seleccione una opción", haga clic en "Solucionar problemas" y luego en "Opciones avanzadas". En el menú de opciones avanzadas, seleccione "Configuración de inicio" y haga clic en el botón "Reiniciar". En la siguiente pantalla, tendrá que pulsar la tecla F5 de su teclado. Luego se reiniciará el sistema operativo en modo seguro con funciones de red

Modo seguro en Windows 10 con funciones de red

Este vídeo muestra cómo iniciar Windows 10 en "Modo seguro con funciones de red":

Paso 2

Inicie sesión con la cuenta que ha sido infectada con el virus .gif. Abra su navegador web y descargue un programa legítimo anti-spyware. Actualice el software antiespía e inicie un análisis de sistema completo. Elimine todas las entradas que se detecten

Si no puede arrancar su equipo en modo seguro con funciones de red, pruebe ejecutando una restauración del sistema.

Este vídeo muestra cómo eliminar el virus ransomware usando "Modo seguro con funciones de red" y "Restaurar sistema":

1. Durante el proceso de arranque de su ordenador, pulse la tecla F8 en su teclado varias veces hasta que se muestre el menú de Opciones avanzadas de Windows, luego seleccione Modo seguro con símbolo de sistema de la lista y pulse ENTER.

Inicie su sistema en modo seguro con símbolo de sistema

2. Cuando el símbolo del sistema se cargue, introduzca la siguiente línea: cd restore y pulse ENTER.

restauración de sistema usando símbolo del sistema cd restore

3. Luego teclee esta línea: rstrui.exe y pulse ENTER.

restaurar sistema usando símbolo de sistema rstrui.exe

4. En la nueva pantalla, haga clic en "Siguiente".

restaurar archivos del sistema y configuraciones

5. Seleccione uno de los puntos de restauración disponibles y haga clic en "Siguiente" (se restaurará el sistema de su equipo a una fecha anterior antes de que el ransomware .gif se introdujera en su PC).

seleccione un punto de restauración

6. En la ventana abierta, haga clic en "Sí".

ejecutar restauración de sistema

7. Después de restaurar su sistema a un punto anterior, descargue y analice su PC con un software de seguridad antimalware recomendado para eliminar los remanentes del virus .gif.

Para restaurar individualmente cada archivo encriptado por este virus, pruebe con la función versiones anteriores de archivo. Este método es únicamente eficaz si la función de Restaurar sistema estaba activa en el sistema operativo infectado. Tenga en cuenta que algunas variantes de .gif eliminan las instantáneas de volumen de los ficheros, por lo que puede que este método no funcione en algunos equipos.

Para restaurar un archivo, haga clic con el botón derecho del ratón sobre el archivo, seleccione Propiedades y haga clic en la pestaña Versiones anteriores. Si el archivo en cuestión tiene su punto de restauración, selecciónelo y haga clic en el botón "Restaurar".

Restaurando archivos encriptados por CryptoDefense

Si no puede iniciar su sistema en modo seguro con funciones de red (o con símbolo de sistema), inicie su ordenador usando un disco de rescate. Algunos tipos de ransomware desactivan el modo seguro, por lo que la desinfección es más compleja. Para este paso, necesitará tener acceso a otro PC.

Para recuperar el control de los archivos encriptados por .gif, pruebe un programa llamado Shadow Explorer. Aquí podrá leer más información sobre cómo usar este programa.

captura de pantalla de shadow explorer

Para proteger su equipo de virus encriptadores de archivos, analice su sistema con programas antivirus y antiespía fiables. Como medida de protección extra, le recomendamos el programa HitmanPro.Alert y EasySync CryptoMonitor que introduce de forma artificial directivas de grupo en el registro para bloquear programas maliciosos como .gif.

Tenga en cuenta que la actualización Windows 10 Fall Creators incluye la función "Acceso controlado a carpetas" que bloquea los intentos de los virus encriptadores para cifrar sus archivos. Por defecto, esta función protege de forma automática los archivos almacenados en Documentos, Imágenes, Vídeos, Música, Favoritos, así como las carpetas del escritorio.

acceso controlado a carpetas

Los usuarios de Windows 10 deberían instalar esta actualización para proteger sus archivos frente a los cibersecuestros. Aquí verá más información de cómo puede conseguir esta actualización para incrementar la protección de su equipo frente a las infecciones ransomware.

HitmanPro.Alert CryptoGuard detecta el cifrado de archivos y neutraliza tales intentos sin la necesidad de que el usuario intervenga:

la aplicación hitmanproalert que protege del ransomware

Malwarebytes Anti-Ransomware Beta recurre a tecnología avanzada proactiva que supervisa la actividad de los virus secuestradores de equipos y la interrumpe de inmediato antes de que afecten a los archivos de los usuarios:

malwarebytes anti-ransomware

  • La mejor forma de evitar daños ocasionados por infecciones de tipo ransomware (secuestradores de sistemas) es realizando habitualmente copias de seguridad. Aquí encontrará más información sobre soluciones informáticas para realizar copias de seguridad y para recuperar datos.

Otras herramientas conocidas para eliminar el virus .gif:

Fuente: https://www.pcrisk.com/removal-guides/12414-gif-ransomware