Virus encriptador REBUS

Conocido también como: REBUS virus
Propagación: Bajo
Nivel de peligrosidad: Extremo

Instrucciones para eliminar el virus criptográfico REBUS

¿Qué es REBUS?

REBUS, descubierto por el investigador de seguridad Michael Gillespie, es un virus de tipo cibersecuestro que tiene su origen en la familia de software malicioso Scarab. Justo después de infiltrarse, REBUS encripta casi todos los archivos almacenados. Asimismo, cambia el nombre de los archivos usando el patrón "[32_dígitos_y_letras_aleatorios].REBUS". Por ejemplo, el archivo "sample.jpg" pasaría a llamarse algo como "89A4m9D328112834GFB6F88A4CAE75E1.REBUS". Los archivos afectados se vuelven inutilizables e imposibles de identificar. Tras completar con éxito el cifrado, REBUS genera un archivo de texto ("REBUS RECOVERY INFORMATION.TXT") y coloca una copia en todas las carpetas.

Como suele pasar, en el nuevo archivo de texto se ve un mensaje donde se dice que los archivos están encriptados y que el usuario debe comprar una herramienta de descifrado para recuperarlos. No se indica el coste; todos los detalles se facilitan por e-mail. Aunque no se sabe actualmente si REBUS usa criptografía simétrica o asimétrica, se requiere en el descifrado una clave única generada de forma individual para cada víctima Todas las claves se almacenan en un servidor remoto controlado por los ciberdelincuentes (desarrolladores de REBUS). Por tanto, para recuperar sus claves (o herramientas de descifrado con claves incorporadas), las víctimas deben pagar un rescate. A pesar de sus peticiones, no debería confiar en los ciberdelincuentes. Los estudios ponen de manifiesto que los ciberdelincuentes ignoran a las víctimas una vez que se ha realizado el pago del rescate. Por ello, normalmente pagar no dará ningún fruto y los usuarios podrían ser estafados. Le recomendamos no contactar nunca con esta gente ni realizar ningún pago. Por desgracia, no hay herramientas gratuitas capaces de restaurar los archivos encriptados por REBUS. Por tanto, la única solución es restaurarlo todo desde una copia de respaldo.

Captura de pantalla del mensaje donde se insta a los usuarios a pagar la recompensa para desencriptar los archivos afectados:

instrucciones desencriptación REBUS

Internet está llena de virus encriptadores que comparten similitudes con REBUS. Aurora, Embrace, y CryptoConsole son solo algunos ejemplos de una larga lista. Sepa que todos esos virus se comportan de forma idéntica (encriptan los datos y piden rescates) aunque procedan de distintos desarrolladores. Normalmente, hay solo dos diferencias importantes: tipo de criptografía usada y el coste de la desencriptación. Por desgracia, la mayor parte de esos virus usan RSA, AES y otros algoritmos que generan claves únicas de desencriptación. Por tanto, a no ser que el software malicioso tenga ciertos errores/fallos (p. ej. la clave esté integrada en el código o almacenada de forma local), es imposible desencriptar los archivos de forma manual. Los cibersecuestros son unas de las principales razones por las que debería mantener copias de seguridad de sus archivos; no obstante, es muy importante almacenar los archivos de respaldo en un servidor remoto o una unidad de almacenamiento externo; de lo contrario, también serán encriptados.

¿Cómo llegó el cibersecuestro a mi equipo?

Los virus de tipo criptográfico se propagan de distintas formas; sin embargo, las más comunes son: correos basura, fuentes de descarga de terceros, herramientas de actualización de software fraudulentas y troyanos. Los mensajes de correo basura contienen probablemente adjuntos maliciosos (p. ej. documentos MS Office, archivos JavaScript, etc.) que cuando se abren, descargan e instalan malware. Asimismo, las fuentes de descarga de terceros y redes P2P (portales gratuitos de descarga, alojamiento gratuito de archivos, torrents, eMule, etc.) presentan los ejecutables maliciosos como software auténtico, lo cual confunde a los usuarios que acaban descargando y ejecutando ellos mismos el malware. Los falsos asistentes de actualización de software se aprovechan de los fallos del sofware desactualizado e instalan virus en vez de actualizaciones. Los troyanos son los más simples; solo abren "puertas traseras" para que entren otros programas maliciosos en el sistema.

¿Cómo protegerse de los cibersecuestros?

Para evitar esta situación, vaya con cautela al navegar por internet. Asegúrese de que los adjuntos recibidos en e-mails son importantes y que han sido enviados por direcciones de confianza. Si no es así, elimine los correos de inmediato y no abra los adjuntos bajo ningún concepto. Asimismo, descargue sus apps solo de fuentes oficiales usando los enlaces de descarga directa. Los asistentes de descarga e instalación de terceros promocionan con toda probabilidad programas engañosos, por lo que no deberían usarse. La misma norma aplica a la actualización de software. Las apps instaladas deben mantenerse actualizadas; sin embargo, en vez de usar asistentes de terceros, use solo las funciones de actualización integradas o herramientas facilitados por el desarrollador oficial. Es imprescindible usar una solución fiable antivirus o antiespía. Lo fundamental de la seguridad informática es la precaución.

Texto mostrado en el archivo de texto del ransomware REBUS ("REBUS RECOVERY INFORMATION.TXT"):

YOUR FILES ARE ENCRYPTED!

Your personal ID

Your documents, photos, databases, save games and other important data was encrypted.
Data recovery the necessary decryption tool. To get the decryption tool, should send an email to:

rebushelp@airmail.cc or rebushelp@protonmail.com

If you dont get reply in 24 hours use jabber:

rebushelper@exploit.im

Letter must include Your personal ID (see the beginning of this document).

In the proof we have decryption tool, you can send us 1 file for test decryption.
Next, you need to pay for the decryption tool.
In response letter You will receive the address of Bitcoin wallet which you need to perform the transfer of funds.

If you have no bitcoins

* Create Bitcoin purse: hxxps://blockchain.info

* Buy Bitcoin in the convenient way

hxxps://localbitcoins.com/ (Visa/MasterCard)
hxxps://www.buybitcoinworldwide.com/ (Visa/MasterCard)
hxxps://en.wikipedia.org/wiki/Bitcoin (the instruction for beginners)

- It doesn't make sense to complain of us and to arrange a hysterics.

- Complaints having blocked e-mail, you deprive a possibility of the others, to decipher the computers.
Other people at whom computers are also ciphered you deprive of the ONLY hope to decipher. FOREVER.

- Just contact with us, we will stipulate conditions of interpretation of files and available payment,
in a friendly situation

- When money transfer is confirmed, You will receive the decrypter file for Your computer.


Attention!
* Do not attempt to remove a program or run the anti-virus tools
* Attempts to decrypt the files will lead to loss of Your data
* Decoders other users is incompatible with Your data, as each user unique encryption key

Captura de pantalla de archivos cifrados por REBUS (patrón de nomenclatura "[32_random_digits_and_letters].REBUS"):

archivos cifrados por REBUS

Eliminar el cibersecuestro REBUS:

Menú rápido:

Paso 1

Usuarios de Windows XP y Windows 7: Inicie su equipo en modo seguro. Haga clic en Inicio, Apagar, Reiniciar y aceptar. Mientras el equipo arranca, pulse la tecla F8 en su teclado varias veces hasta que vea el menú de Opciones avanzadas de Windows, luego seleccione modo seguro con funciones de red de la lista.

Modo seguro con funciones de red

Este vídeo muestra cómo iniciar Windows 7 en "Modo seguro con funciones de red":

Usuarios de Windows 8: Inicie Windows 8 en modo seguro con funciones de red: Diríjase a la pantalla de inicio de Windows 8, escriba "avanzadas", en los resultados de búsqueda, seleccione "Cambiar opciones avanzadas de inicio". En la nueva ventana "Configuración de PC", vaya hasta la sección "Inicio avanzado".  Haga clic en el botón "Reiniciar ahora". Su PC se reiniciará ahora con el "Menú de opciones de arranque avanzadas". Haga clic en el botón de "Solucionar problemas", luego haga clic en el botón de "Opciones avanzadas". En la pantalla de opciones avanzadas, haga clic en "Configuración de inicio". Haga clic en el botón "Reiniciar". Su PC se reiniciará mostrando primero la pantalla de Configuración de inicio. Pulse F5 para arrancar en Modo seguro con funciones de red.

Modo seguro en Windows 8 con funciones de red

Este vídeo muestra cómo iniciar Windows 8 en "Modo seguro con funciones de red":

Usuarios de Windows 10: Haga clic en el logo de Windows y seleccione el icono de Inicio/Apagado. En el nuevo menú, haga clic en "Reiniciar" mientras mantiene pulsada la tecla "mayúsculas" en su teclado. En la ventana "seleccione una opción", haga clic en "Solucionar problemas" y luego en "Opciones avanzadas". En el menú de opciones avanzadas, seleccione "Configuración de inicio" y haga clic en el botón "Reiniciar". En la siguiente pantalla, tendrá que pulsar la tecla F5 de su teclado. Luego se reiniciará el sistema operativo en modo seguro con funciones de red

Modo seguro en Windows 10 con funciones de red

Este vídeo muestra cómo iniciar Windows 10 en "Modo seguro con funciones de red":

Paso 2

Inicie sesión con la cuenta que ha sido infectada con el virus REBUS. Abra su navegador web y descargue un programa legítimo anti-spyware. Actualice el software antiespía e inicie un análisis de sistema completo. Elimine todas las entradas que se detecten


Descargar programa para eliminar REBUS virus
1) Descarga e instala   2) Ejecuta el análisis en tu sistema   3) ¡Tu equipo estará ahora desinfectado!

Su detector gratuito verifica si su equipo está infectado. Para eliminar el software malicioso, tendrá que comprar la versión completa de Reimage.

Si no puede arrancar su equipo en modo seguro con funciones de red, pruebe ejecutando una restauración del sistema.

Este vídeo muestra cómo eliminar el virus ransomware usando "Modo seguro con funciones de red" y "Restaurar sistema":

1. Durante el proceso de arranque de su ordenador, pulse la tecla F8 en su teclado varias veces hasta que se muestre el menú de Opciones avanzadas de Windows, luego seleccione Modo seguro con símbolo de sistema de la lista y pulse ENTER.

Inicie su sistema en modo seguro con símbolo de sistema

2. Cuando el símbolo del sistema se cargue, introduzca la siguiente línea: cd restore y pulse ENTER.

restauración de sistema usando símbolo del sistema cd restore

3. Luego teclee esta línea: rstrui.exe y pulse ENTER.

restaurar sistema usando símbolo de sistema rstrui.exe

4. En la nueva pantalla, haga clic en "Siguiente".

restaurar archivos del sistema y configuraciones

5. Seleccione uno de los puntos de restauración disponibles y haga clic en "Siguiente" (se restaurará el sistema de su equipo a una fecha anterior antes de que el ransomware REBUS se introdujera en su PC).

seleccione un punto de restauración

6. En la ventana abierta, haga clic en "Sí".

ejecutar restauración de sistema

7. Después de restaurar su sistema a un punto anterior, descargue y analice su PC con un software de seguridad antimalware recomendado para eliminar los remanentes del virus REBUS.

Para restaurar individualmente cada archivo encriptado por este virus, pruebe con la función versiones anteriores de archivo. Este método es únicamente eficaz si la función de Restaurar sistema estaba activa en el sistema operativo infectado. Tenga en cuenta que algunas variantes de REBUS eliminan las instantáneas de volumen de los ficheros, por lo que puede que este método no funcione en algunos equipos.

Para restaurar un archivo, haga clic con el botón derecho del ratón sobre el archivo, seleccione Propiedades y haga clic en la pestaña Versiones anteriores. Si el archivo en cuestión tiene su punto de restauración, selecciónelo y haga clic en el botón "Restaurar".

Restaurando archivos encriptados por CryptoDefense

Si no puede iniciar su sistema en modo seguro con funciones de red (o con símbolo de sistema), inicie su ordenador usando un disco de rescate. Algunos tipos de ransomware desactivan el modo seguro, por lo que la desinfección es más compleja. Para este paso, necesitará tener acceso a otro PC.

Para recuperar el control de los archivos encriptados por REBUS, pruebe un programa llamado Shadow Explorer. Aquí podrá leer más información sobre cómo usar este programa.

captura de pantalla de shadow explorer

Para proteger su equipo de virus encriptadores de archivos, analice su sistema con programas antivirus y antiespía fiables. Como medida de protección extra, le recomendamos el programa HitmanPro.Alert y EasySync CryptoMonitor que introduce de forma artificial directivas de grupo en el registro para bloquear programas maliciosos como REBUS.

Tenga en cuenta que la actualización Windows 10 Fall Creators incluye la función "Acceso controlado a carpetas" que bloquea los intentos de los virus encriptadores para cifrar sus archivos. Por defecto, esta función protege de forma automática los archivos almacenados en Documentos, Imágenes, Vídeos, Música, Favoritos, así como las carpetas del escritorio.

acceso controlado a carpetas

Los usuarios de Windows 10 deberían instalar esta actualización para proteger sus archivos frente a los cibersecuestros. Aquí verá más información de cómo puede conseguir esta actualización para incrementar la protección de su equipo frente a las infecciones ransomware.

HitmanPro.Alert CryptoGuard detecta el cifrado de archivos y neutraliza tales intentos sin la necesidad de que el usuario intervenga:

la aplicación hitmanproalert que protege del ransomware

Malwarebytes Anti-Ransomware Beta recurre a tecnología avanzada proactiva que supervisa la actividad de los virus secuestradores de equipos y la interrumpe de inmediato antes de que afecten a los archivos de los usuarios:

malwarebytes anti-ransomware

  • La mejor forma de evitar daños ocasionados por infecciones de tipo ransomware (secuestradores de sistemas) es realizando habitualmente copias de seguridad. Aquí encontrará más información sobre soluciones informáticas para realizar copias de seguridad y para recuperar datos.

Otras herramientas conocidas para eliminar el virus REBUS:

Fuente: https://www.pcrisk.com/removal-guides/12858-rebus-ransomware