Cibersecuestro Aurora

Conocido también como: Aurora (virus)
Propagación: Baja
Nivel de peligrosidad: Extremo

Instrucciones para eliminar el virus criptográfico Aurora

¿Qué es Aurora?

Descubierto recientemente por MalwareHunterTeam, Aurora es un virus encriptador secuestrador de equipos que se infiltra en el sistema y cifra casi todos los archivos almacenados. Para lograrlo, Aurora usa un algoritmo de encriptación asimétrica RSA-2048. Durante el proceso, este software malicioso añade la extensión ".Aurora" a los nombres de archivo (p. ej., "sample.jpg" pasaría a llamarse  "sample.jpg.Aurora"). Los datos encriptados se vuelen inutilizables de inmediato. Tras completar el cifrado de los dato, Aurora crea un archivo de texto ("HOW_TO_DECRYPT_YOUR_FILES.txt" o "!-GET_MY_FILES-!.txt") y pone una copia en cada carpeta existente.

Como de costumbre, el archivo de texto contiene información sobre la encriptación. Si las víctimas desean recuperar sus datos, deben contactar con los desarrolladores de Aurora a través de la dirección de e-mail facilitada y comprar una clave de descifrado. Como se menciona más arriba, Aurora usa el algoritmo RSA-2048. Por tanto, se generan claves públicas (encriptación) y privadas (desencriptación) de forma individual para cada víctima. Es imposible recuperar los archivos sin la clave privada. Los desarrolladores de Aurora almacenan todas las claves en servidores remotos y exigen el pago de un rescate para revelarlas. Cada víctima debe pagar $100 (usando una criptomoneda) a cambio de su clave. En contraste con otros virus de cibersecuestro, es un coste bajo (los costes suelen oscilar entre $500 y $1500 y, en algunos casos, ascienden a muchos miles de dólares). A pesar de esas exigencias, no pague. Los estudios ponen de manifiesto que los desarrolladores de ransomware ignoran a sus víctimas una vez que han realizado el pago. Por tanto, no conseguirá probablemente nada con pagar y será estafado. Asimismo, estará apoyando el modelo malicioso de negocio de los ciberdelincuentes. Por ello, no intente nunca contactar con esa gente ni pagar ningún tipo de rescate. Por desgracia, no hay herramientas capaces de "craquear" un cifrado RSA-2048 y restaurar los archivos de forma gratuita. La única solución es restaurarlo todo desde una copia de respaldo.

Captura de pantalla del mensaje donde se insta a los usuarios a pagar la recompensa para desencriptar los archivos afectados:

instrucciones desencriptación Aurora

Internet está repleto de virus encriptadores similares a Aurora. Embrace, JosepCrypt y CryptoConsole son solo algunos ejemplos de otros tantos. Aunque esos virus han sido desarrollados por diferentes ciberdelincuentes, todos funcionan de forma idéntica: encriptan los archivos y realizan peticiones de rescate. La única diferencia está en la cuantía del rescate y en el tipo de algoritmo de encriptación usado. Por desgracia, casi todos emplean algoritmos (como RSA, AES, etc.) que generan claves únicas de descifrado. Por tanto, a no ser que el malware esté sin desarrollar al 100 % o tenga fallos de seguridad  (p. ej. que almacene la clave de forma local o que esté mal programado, etc.), es imposible restaurar los archivos sin contar con los desarrolladores (no se recomienda contactar con esos individuos). Los cibersecuestros son unas de las principales razones por las que debería mantener copias de seguridad de sus archivos; no obstante, es muy importante almacenar los archivos de respaldo en un servidor remoto o una unidad de almacenamiento externo; de lo contrario, también serán encriptados.

¿Cómo llegó el cibersecuestro a mi equipo?

Los virus de tipo criptográfico se propagan de distintas formas; sin embargo, las más comunes son: 1) correos basura, 2) fuentes de descarga de terceros, 3) redes P2P, 4) herramientas de actualización de software fraudulentas y 5) troyanos. Los mensajes de correo basura contienen probablemente adjuntos maliciosos (p. ej. documentos MS Office, archivos JavaScript, etc.) que cuando se abren, descargan e instalan malware. Asimismo, las fuentes de descarga de terceros y redes P2P (portales gratuitos de descarga, alojamiento gratuito de archivos, torrents, eMule, etc.) presentan los ejecutables maliciosos como software auténtico, lo cual confunde a los usuarios que acaban descargando y ejecutando ellos mismos el malware. Las herramientas de actualización de software falso infectan el sistema aprovechándose de errores en versiones de software antiguas o instalando virus en vez de la aplicación seleccionada. Los troyanos son probablemente los más simples; abren "puertas traseras" para que programa maliciosos como Aurora se infiltren en el sistema.

¿Cómo protegerse de los cibersecuestros?

Los principales motivos por lo que se infecta el equipo son un conocimiento insuficiente y un comportamiento imprudente. La clave para la seguridad es la precaución. Para evitar que se introduzcan programas basura, vaya con cautela al navegar por internet. Si los archivos parecen irrelevantes o sospechosos, o los ha recibido de una dirección de correo dudosa, no los abra y elimine el e-mail de inmediato. Descargue sus aplicaciones de fuentes fiables a través de un enlace de descarga directo en vez de instaladores o asistentes de descarga de terceros. Esas herramientas se usan para propagar aplicaciones malintencionadas (o incluso malware), de ahí que no deba utilizarlas. La misma norma aplica a la actualización de software. Mantenga actualizado el software instalado. Para lograr esto, use las funciones integradas o herramientas facilitadas solamente por el desarrollador oficial. Es imprescindible tener instalada y activa una solución fiable antivirus o antiespía.

Texto mostrado en el archivo de texto del ransomware Aurora:

aurora ransomware
SORRY! Your files are encrypted.
File contents are encrypted with random key.
Random key is encrypted with RSA public key (2048 bit).
We STRONGLY RECOMMEND you NOT to use any "decryption tools".
These tools can damage your data, making recover IMPOSSIBLE.
Also we recommend you not to contact data recovery companies.
They will just contact us, buy the key and sell it to you at a higher price.
If you want to decrypt your files, you have to get RSA private key.
In order to get private key, write here:
lenboza@protonmail.ch
And send me your id, your id:
1260682360
And pay 100$ on 172fqoLfYkMQXk6tmEqGH3y43gQwAzSSFJ wallet
If someone else offers you files restoring, ask him for test decryption.
Only we can successfully decrypt your files; knowing this can protect you from fraud.
You will receive instructions of what to do next.
aurora ransomware

Captura de pantalla de archivos cifrados por Aurora (extensión ".Aurora"):

archivos cifrados por Aurora

Eliminar el cibersecuestro Aurora:

Eliminar automáticamente de forma instantánea Aurora (virus): Eliminar las amenazas de forma manual puede acabar siendo un proceso largo y tedioso que precisa de conocimientos informáticos avanzados. Spyhunter es una herramienta profesional para eliminar software malicioso de forma automática y está recomendada para acabar con Aurora (virus). La descarga se iniciará al hacer clic en el siguiente botón:
▼ DESCARGAR Spyhunter Su detector gratuito verifica si su equipo está infectado. Para eliminar el software malicioso, tendrá que comprar la versión completa de Spyhunter. Si decide descargar este programa, quiere decir que usted está conforme con nuestra Política de privacidad y Condiciones de uso.

Menú rápido:

Paso 1

Usuarios de Windows XP y Windows 7: Inicie su equipo en modo seguro. Haga clic en Inicio, Apagar, Reiniciar y aceptar. Mientras el equipo arranca, pulse la tecla F8 en su teclado varias veces hasta que vea el menú de Opciones avanzadas de Windows, luego seleccione modo seguro con funciones de red de la lista.

Modo seguro con funciones de red

Este vídeo muestra cómo iniciar Windows 7 en "Modo seguro con funciones de red":

Usuarios de Windows 8: Inicie Windows 8 en modo seguro con funciones de red: Diríjase a la pantalla de inicio de Windows 8, escriba "avanzadas", en los resultados de búsqueda, seleccione "Cambiar opciones avanzadas de inicio". En la nueva ventana "Configuración de PC", vaya hasta la sección "Inicio avanzado".  Haga clic en el botón "Reiniciar ahora". Su PC se reiniciará ahora con el "Menú de opciones de arranque avanzadas". Haga clic en el botón de "Solucionar problemas", luego haga clic en el botón de "Opciones avanzadas". En la pantalla de opciones avanzadas, haga clic en "Configuración de inicio". Haga clic en el botón "Reiniciar". Su PC se reiniciará mostrando primero la pantalla de Configuración de inicio. Pulse F5 para arrancar en Modo seguro con funciones de red.

Modo seguro en Windows 8 con funciones de red

Este vídeo muestra cómo iniciar Windows 8 en "Modo seguro con funciones de red":

Usuarios de Windows 10: Haga clic en el logo de Windows y seleccione el icono de Inicio/Apagado. En el nuevo menú, haga clic en "Reiniciar" mientras mantiene pulsada la tecla "mayúsculas" en su teclado. En la ventana "seleccione una opción", haga clic en "Solucionar problemas" y luego en "Opciones avanzadas". En el menú de opciones avanzadas, seleccione "Configuración de inicio" y haga clic en el botón "Reiniciar". En la siguiente pantalla, tendrá que pulsar la tecla F5 de su teclado. Luego se reiniciará el sistema operativo en modo seguro con funciones de red

Modo seguro en Windows 10 con funciones de red

Este vídeo muestra cómo iniciar Windows 10 en "Modo seguro con funciones de red":

Paso 2

Inicie sesión con la cuenta que ha sido infectada con el virus Aurora. Abra su navegador web y descargue un programa legítimo anti-spyware. Actualice el software antiespía e inicie un análisis de sistema completo. Elimine todas las entradas que se detecten

Si no puede arrancar su equipo en modo seguro con funciones de red, pruebe ejecutando una restauración del sistema.

Este vídeo muestra cómo eliminar el virus ransomware usando "Modo seguro con funciones de red" y "Restaurar sistema":

1. Durante el proceso de arranque de su ordenador, pulse la tecla F8 en su teclado varias veces hasta que se muestre el menú de Opciones avanzadas de Windows, luego seleccione Modo seguro con símbolo de sistema de la lista y pulse ENTER.

Inicie su sistema en modo seguro con símbolo de sistema

2. Cuando el símbolo del sistema se cargue, introduzca la siguiente línea: cd restore y pulse ENTER.

restauración de sistema usando símbolo del sistema cd restore

3. Luego teclee esta línea: rstrui.exe y pulse ENTER.

restaurar sistema usando símbolo de sistema rstrui.exe

4. En la nueva pantalla, haga clic en "Siguiente".

restaurar archivos del sistema y configuraciones

5. Seleccione uno de los puntos de restauración disponibles y haga clic en "Siguiente" (se restaurará el sistema de su equipo a una fecha anterior antes de que el ransomware Aurora se introdujera en su PC).

seleccione un punto de restauración

6. En la ventana abierta, haga clic en "Sí".

ejecutar restauración de sistema

7. Después de restaurar su sistema a un punto anterior, descargue y analice su PC con un software de seguridad antimalware recomendado para eliminar los remanentes del virus Aurora.

Para restaurar individualmente cada archivo encriptado por este virus, pruebe con la función versiones anteriores de archivo. Este método es únicamente eficaz si la función de Restaurar sistema estaba activa en el sistema operativo infectado. Tenga en cuenta que algunas variantes de Aurora eliminan las instantáneas de volumen de los ficheros, por lo que puede que este método no funcione en algunos equipos.

Para restaurar un archivo, haga clic con el botón derecho del ratón sobre el archivo, seleccione Propiedades y haga clic en la pestaña Versiones anteriores. Si el archivo en cuestión tiene su punto de restauración, selecciónelo y haga clic en el botón "Restaurar".

Restaurando archivos encriptados por CryptoDefense

Si no puede iniciar su sistema en modo seguro con funciones de red (o con símbolo de sistema), inicie su ordenador usando un disco de rescate. Algunos tipos de ransomware desactivan el modo seguro, por lo que la desinfección es más compleja. Para este paso, necesitará tener acceso a otro PC.

Para recuperar el control de los archivos encriptados por Aurora, pruebe un programa llamado Shadow Explorer. Aquí podrá leer más información sobre cómo usar este programa.

captura de pantalla de shadow explorer

Para proteger su equipo de virus encriptadores de archivos, analice su sistema con programas antivirus y antiespía fiables. Como medida de protección extra, le recomendamos el programa HitmanPro.Alert y EasySync CryptoMonitor que introduce de forma artificial directivas de grupo en el registro para bloquear programas maliciosos como Aurora.

Tenga en cuenta que la actualización Windows 10 Fall Creators incluye la función "Acceso controlado a carpetas" que bloquea los intentos de los virus encriptadores para cifrar sus archivos. Por defecto, esta función protege de forma automática los archivos almacenados en Documentos, Imágenes, Vídeos, Música, Favoritos, así como las carpetas del escritorio.

acceso controlado a carpetas

Los usuarios de Windows 10 deberían instalar esta actualización para proteger sus archivos frente a los cibersecuestros. Aquí verá más información de cómo puede conseguir esta actualización para incrementar la protección de su equipo frente a las infecciones ransomware.

HitmanPro.Alert CryptoGuard detecta el cifrado de archivos y neutraliza tales intentos sin la necesidad de que el usuario intervenga:

la aplicación hitmanproalert que protege del ransomware

Malwarebytes Anti-Ransomware Beta recurre a tecnología avanzada proactiva que supervisa la actividad de los virus secuestradores de equipos y la interrumpe de inmediato antes de que afecten a los archivos de los usuarios:

malwarebytes anti-ransomware

  • La mejor forma de evitar daños ocasionados por infecciones de tipo ransomware (secuestradores de sistemas) es realizando habitualmente copias de seguridad. Aquí encontrará más información sobre soluciones informáticas para realizar copias de seguridad y para recuperar datos.

Otras herramientas conocidas para eliminar el virus Aurora:

Fuente: https://www.pcrisk.com/removal-guides/12850-aurora-ransomware