Virus encriptador Evil Locker

Conocido también como: la infección Evil Locker
Propagación: Baja
Nivel de peligrosidad: Extremo

Instrucciones para eliminar el virus encriptador Evil Locker

¿Qué es Evil Locker?

Evil Locker es un virus secuestrador de sistemas descubierto por el analista de seguridad de malware Jakub Kroustek. Tras introducirse en el equipo de forma encubierta, Evil Locker encripta casi todos los archivos almacenados y añade la extensión ".[evil@cock.lu].EVIL" a los nombres de archivo. Por ejemplo, el archivo "sample.jpg" pasaría a llamarse "sample.jpg.[evil@cock.lu].EVIL". Una vez la seguridad se ve comprometida, los datos afectados se vuelen inutilizables de inmediato. Tras completar con éxito el cifrado, Evil Locker genera un archivo de texto ("!_HOW_RECOVERY_FILES_!.txt") y coloca una copia en todas las carpetas.

Como ocurren con casi todo el ransomware, el archivo de texto de Evil Locker contiene un mensaje en el que se dice que los datos han sido encriptados y que solo pueden recuperarse usando una herramienta de descifrado. Para recibirla, las víctimas deben contactar con los desarrolladores de Evil Locker a través de la dirección de e-mail facilitada. Asimismo, se les permite adjuntar hasta tres archivos encriptados que serán recuperados y devueltos como garantía de que es posible desencriptar los datos. El archivo de texto no aporta ninguna información adicional, por lo que no se sabe aún si Evil Locker usa criptografía simétrica o asimétrica. No obstante, para la desencriptación se necesita una clave generada de forma única para cada víctima. Todas las claves se almacenan en un servidor remoto controlado por los desarrolladores de Evil Locker. Para recibir la clave (o la herramienta de descifrado con la clave incorporada), las víctimas han de pagar un rescate. Toda la información sobre el pago se facilita en el correo electrónico. Por tanto, no podemos determinar el coste exacto. Sin embargo, en casi todos los casos, la cuantía del rescate oscila entre 500 y 1500 $ en un tipo de criptomoneda (Bitcoins, Monero u otra). No importa cuál es el coste; no vaya a pagar. Los ciberdelincuentes suelen ignorar a las víctimas cuando el pago ha sido realizado. Por ello, no debe fiarse de esa gente ni intentar establecer contacto con ellos o pagar el rescate. Por desgracia, no hay herramientas capaces de "craquear" el cifrado de Evil Locker y restaurar los archivos de forma gratuita. La única solución es restaurarlo todo desde una copia de respaldo.

Captura de pantalla del mensaje donde se insta a los usuarios a pagar la recompensa para desencriptar los archivos afectados:

instrucciones desencriptación Evil Locker

Evil Locker es prácticamente idéntico a ANIMUS, BitPaymer, Nozelesn y a decenas de otros virus secuestradores de equipos. Aunque todos han sido desarrollados por diferentes ciberdelincuentes, su modus operandi es idéntico: encriptan datos y hacen peticiones de pago. Solo hay dos diferencias importantes: 1) cuantía del rescate y 2) tipo de algoritmo criptográfico usado. Casi todos esos virus emplean algoritmos (como RSA, AES, etc.) que generan claves únicas de descifrado. Por tanto, a no ser que el virus esté sin desarrollar al 100 % o tenga fallos de seguridad, es prácticamente imposible restaurar los archivos sin contar con los desarrolladores (no se recomienda contactar con esos individuos). Los cibersecuestros son unas de las principales razones por las que debería mantener copias de seguridad de sus archivos; no obstante, es muy importante almacenar los archivos de respaldo en un servidor remoto o una unidad de almacenamiento externo; de lo contrario, también serán encriptados.

¿Cómo llegó el cibersecuestro a mi equipo?

El ransomware se propaga normalmente a través de correos electrónico basura (adjuntos maliciosos), redes P2P (torrents, eMule, etc.) y otras fuentes de descarga de software de terceros (sitios web de descarga gratuita, sitios web de alojamiento de archivos gratuitos, etc.), falsas herramientas de actualización de software y troyanos. Los adjuntos maliciosos suelen enviarse en forma de archivos JavaScript o documentos MS Office. Una vez abiertos, esos archivos ejecutan códigos que descargan silenciosamente e instalan software malicioso. Los troyanos simplemente abren "puertas traseras" para que se instale el software malicioso. Las herramientas de actualización de software falso infectan el sistema aprovechándose de errores en versiones de software antiguas o instalando malware en vez de la aplicación seleccionada. Las redes P2P y otras fuentes de descarga no oficiales presentan los ejecutables maliciosos como software legítimo, por lo que engañan a los usuarios para que descarguen e instalen virus.

Datos básicos de la amenaza:
Nombrela infección Evil Locker
Tipo de amenazaRansomware, virus criptográfico, cibersecuestro
SíntomasNo se pueden abrir los archivos almacenados en el equipo, los archivos que antes funcionaban tienen ahora una extensión diferente, por ejemplo my.docx.locked. Se muestra un mensaje en el escritorio para pedir un rescate. Los ciberdelincuentes solicitan el pago de una suma (normalmente en Bitcoins) para desbloquear los archivos.
Formas de distribuciónAdjuntos por e-mail infectados (macros), sitios web torrent, anuncios maliciosos.
DañoTodos los archivos están cifrados y no pueden abrirse si no se ha pagado un rescate. Se pueden instalar otros troyanos que roban contraseñas e infecciones de malware junto con una infección ransomware.
Eliminación

Para eliminar la infección Evil Locker, nuestros investigadores de software malicioso recomiendan analizar el equipo con Malwarebytes.
▼ Descargar Malwarebytes
Su detector gratuito verifica si su equipo está infectado. Para usar el producto con todas las funciones, debe comprar una licencia para Malwarebytes. 14 días de prueba gratuita limitada disponible.

¿Cómo protegerse de los cibersecuestros?

Los principales motivos por lo que se infecta el equipo son un conocimiento insuficiente y un comportamiento imprudente. La clave para la seguridad es la precaución. Tenga mucho cuidado al navegar por internet y, en especial, al descargar e instalar software. Analice con cuidado cada adjunto recibido en correos electrónicos. Aquellos archivos que no sean interesantes o que hayan sido enviados por direcciones desconocidas o sospechosas no deberían abrirse nunca. Descargue sus apps solo de fuentes oficiales usando los enlaces de descarga directa. Las herramientas de descarga e instalación de terceros no deberían usarse nunca, ya que los desarrolladores sacan beneficios con la inclusión de aplicaciones engañosas. Asimismo, mantenga actualizadas todas las apps instaladas. Para lograr esto, use las funciones integradas o herramientas facilitadas solamente por el desarrollador oficial. Es imprescindible tener instalada y en funcionamiento una solución fiable antivirus o antiespía. Si su equipo está infectado ya con Evil Locker, le recomendamos ejecutar un análisis con Malwarebytes para eliminarlos de forma automática.

Texto mostrado en el archivo de texto del ransomware Evil Locker:

>>>>>>>>>>>>>>>>>>>>>>>>>>>> EVIL LOCKER <<<<<<<<<<<<<<<<<<<<<<<<<<<<
HELLO, DEAR FRIEND!
1. [ ALL YOUR FILES HAVE BEEN ENCRYPTED! ]
Your files are NOT damaged! Your files are modified only. This modification is reversible.
The only 1 way to decrypt your files is to receive the decryption program.
2. [ HOW TO RECOVERY FILES? ]
To receive the decryption program write on our e-mail: evil@cock.lu or evil@firemail.cc
And in subject write your ID: ID-9f5e6b
We send you full instruction how to decrypt all your files.
3. [ FREE DECRYPTION! ]
Free decryption as guarantee.
We guarantee the receipt of the decryption program after payment.
To believe, you can give us up to 3 files that we decrypt for free.
Files should not be important to you! (databases, backups, large excel sheets, etc.)
>>>>>>>>>>>>>>>>>>>>>>>>>>>> EVIL LOCKER <<<<<<<<<<<<<<<<<<<<<<<<<<<<

Captura de pantalla de archivos cifrados por Evil Locker (extensión ".[evil@cock.lu].EVIL"):

archivos cifrados por Evil Locker

Eliminar el cibersecuestro Evil Locker:

Eliminar automáticamente de forma instantánea la infección Evil Locker: Eliminar las amenazas de forma manual puede acabar siendo un proceso largo y tedioso que precisa de conocimientos informáticos avanzados. Malwarebytes es una herramienta profesional para eliminar software malicioso de forma automática y está recomendada para acabar con la infección Evil Locker. La descarga se iniciará al hacer clic en el siguiente botón:
▼ DESCARGAR Malwarebytes Su detector gratuito verifica si su equipo está infectado. Para usar el producto con todas las funciones, debe comprar una licencia para Malwarebytes. 14 días de prueba gratuita limitada disponible. Si decide descargar este programa, quiere decir que usted está conforme con nuestra Política de privacidad y Condiciones de uso.

Menú rápido:

Paso 1

Usuarios de Windows XP y Windows 7: Inicie su equipo en modo seguro. Haga clic en Inicio, Apagar, Reiniciar y aceptar. Mientras el equipo arranca, pulse la tecla F8 en su teclado varias veces hasta que vea el menú de Opciones avanzadas de Windows, luego seleccione modo seguro con funciones de red de la lista.

Modo seguro con funciones de red

Este vídeo muestra cómo iniciar Windows 7 en "Modo seguro con funciones de red":

Usuarios de Windows 8: Inicie Windows 8 en modo seguro con funciones de red: Diríjase a la pantalla de inicio de Windows 8, escriba "avanzadas", en los resultados de búsqueda, seleccione "Cambiar opciones avanzadas de inicio". En la nueva ventana "Configuración de PC", vaya hasta la sección "Inicio avanzado".  Haga clic en el botón "Reiniciar ahora". Su PC se reiniciará ahora con el "Menú de opciones de arranque avanzadas". Haga clic en el botón de "Solucionar problemas", luego haga clic en el botón de "Opciones avanzadas". En la pantalla de opciones avanzadas, haga clic en "Configuración de inicio". Haga clic en el botón "Reiniciar". Su PC se reiniciará mostrando primero la pantalla de Configuración de inicio. Pulse F5 para arrancar en Modo seguro con funciones de red.

Modo seguro en Windows 8 con funciones de red

Este vídeo muestra cómo iniciar Windows 8 en "Modo seguro con funciones de red":

Usuarios de Windows 10: Haga clic en el logo de Windows y seleccione el icono de Inicio/Apagado. En el nuevo menú, haga clic en "Reiniciar" mientras mantiene pulsada la tecla "mayúsculas" en su teclado. En la ventana "seleccione una opción", haga clic en "Solucionar problemas" y luego en "Opciones avanzadas". En el menú de opciones avanzadas, seleccione "Configuración de inicio" y haga clic en el botón "Reiniciar". En la siguiente pantalla, tendrá que pulsar la tecla F5 de su teclado. Luego se reiniciará el sistema operativo en modo seguro con funciones de red

Modo seguro en Windows 10 con funciones de red

Este vídeo muestra cómo iniciar Windows 10 en "Modo seguro con funciones de red":

Paso 2

Inicie sesión con la cuenta que ha sido infectada con el virus Evil Locker. Abra su navegador web y descargue un programa legítimo anti-spyware. Actualice el software antiespía e inicie un análisis de sistema completo. Elimine todas las entradas que se detecten

Si no puede arrancar su equipo en modo seguro con funciones de red, pruebe ejecutando una restauración del sistema.

Este vídeo muestra cómo eliminar el virus ransomware usando "Modo seguro con funciones de red" y "Restaurar sistema":

1. Durante el proceso de arranque de su ordenador, pulse la tecla F8 en su teclado varias veces hasta que se muestre el menú de Opciones avanzadas de Windows, luego seleccione Modo seguro con símbolo de sistema de la lista y pulse ENTER.

Inicie su sistema en modo seguro con símbolo de sistema

2. Cuando el símbolo del sistema se cargue, introduzca la siguiente línea: cd restore y pulse ENTER.

restauración de sistema usando símbolo del sistema cd restore

3. Luego teclee esta línea: rstrui.exe y pulse ENTER.

restaurar sistema usando símbolo de sistema rstrui.exe

4. En la nueva pantalla, haga clic en "Siguiente".

restaurar archivos del sistema y configuraciones

5. Seleccione uno de los puntos de restauración disponibles y haga clic en "Siguiente" (se restaurará el sistema de su equipo a una fecha anterior antes de que el ransomware Evil Locker se introdujera en su PC).

seleccione un punto de restauración

6. En la ventana abierta, haga clic en "Sí".

ejecutar restauración de sistema

7. Después de restaurar su sistema a un punto anterior, descargue y analice su PC con un software de seguridad antimalware recomendado para eliminar los remanentes del virus Evil Locker.

Para restaurar individualmente cada archivo encriptado por este virus, pruebe con la función versiones anteriores de archivo. Este método es únicamente eficaz si la función de Restaurar sistema estaba activa en el sistema operativo infectado. Tenga en cuenta que algunas variantes de Evil Locker eliminan las instantáneas de volumen de los ficheros, por lo que puede que este método no funcione en algunos equipos.

Para restaurar un archivo, haga clic con el botón derecho del ratón sobre el archivo, seleccione Propiedades y haga clic en la pestaña Versiones anteriores. Si el archivo en cuestión tiene su punto de restauración, selecciónelo y haga clic en el botón "Restaurar".

Restaurando archivos encriptados por CryptoDefense

Si no puede iniciar su sistema en modo seguro con funciones de red (o con símbolo de sistema), inicie su ordenador usando un disco de rescate. Algunos tipos de ransomware desactivan el modo seguro, por lo que la desinfección es más compleja. Para este paso, necesitará tener acceso a otro PC.

Para recuperar el control de los archivos encriptados por Evil Locker, pruebe un programa llamado Shadow Explorer. Aquí podrá leer más información sobre cómo usar este programa.

captura de pantalla de shadow explorer

Para proteger su equipo de virus encriptadores de archivos, analice su sistema con programas antivirus y antiespía fiables. Como medida de protección extra, le recomendamos el programa HitmanPro.Alert y EasySync CryptoMonitor que introduce de forma artificial directivas de grupo en el registro para bloquear programas maliciosos como Evil Locker.

Tenga en cuenta que la actualización Windows 10 Fall Creators incluye la función "Acceso controlado a carpetas" que bloquea los intentos de los virus encriptadores para cifrar sus archivos. Por defecto, esta función protege de forma automática los archivos almacenados en Documentos, Imágenes, Vídeos, Música, Favoritos, así como las carpetas del escritorio.

acceso controlado a carpetas

Los usuarios de Windows 10 deberían instalar esta actualización para proteger sus archivos frente a los cibersecuestros. Aquí verá más información de cómo puede conseguir esta actualización para incrementar la protección de su equipo frente a las infecciones ransomware.

HitmanPro.Alert CryptoGuard detecta el cifrado de archivos y neutraliza tales intentos sin la necesidad de que el usuario intervenga:

la aplicación hitmanproalert que protege del ransomware

Malwarebytes Anti-Ransomware Beta recurre a tecnología avanzada proactiva que supervisa la actividad de los virus secuestradores de equipos y la interrumpe de inmediato antes de que afecten a los archivos de los usuarios:

malwarebytes anti-ransomware

  • La mejor forma de evitar daños ocasionados por infecciones de tipo ransomware (secuestradores de sistemas) es realizando habitualmente copias de seguridad. Aquí encontrará más información sobre soluciones informáticas para realizar copias de seguridad y para recuperar datos.

Otras herramientas conocidas para eliminar el virus Evil Locker:

Fuente: https://www.pcrisk.com/removal-guides/13070-evil-locker-ransomware

Acerca del autor:

Tomas Meskauskas

Me apasiona todo lo relacionado con seguridad informática y tecnología. Me avala una experiencia de más de 10 años trabajando para varias empresas de reparación de problemas técnicos y seguridad on-line. Como editor y autor de PCrisk, llevo trabajando desde 2010. Sígueme en Twitter y LinkedIn para no perderte nada sobre las últimas amenazas de seguridad en internet. Leer más sobre el autor.

El portal de seguridad PCrisk ha sido creado conjuntamente por varios investigadores de seguridad con el propósito de formar e informar a los usuarios sobre las últimas amenazas detectadas en internet. Podrá leer más información sobre los autores e investigadores que trabajan en PCrisk en nuestra página de Contacto.

Nuestras guías de desinfección de software malicioso son gratuitas. No obstante, si desea colaborar, puede realizar una donación.

Guías de desinfección en otros idiomas
Código QR
la infección Evil Locker Código QR
Un código QR (código de respuesta rápida) es un código que puede ser escaneado usando dispositivos y que almacena direcciones web y otra información. Este código puede ser escaneado usando una cámara en un smartphone o tablet. Escanee este código QR para acceder fácilmente a la guía de desinfección de la infección Evil Locker desde su dispositivo móvil.
Nuestra recomendación:

Despídase ya de la infección Evil Locker:

▼ ELIMINAR AHORA con Malwarebytes

Plataforma: Windows

Valoración de Malwarebytes por parte del editor:
¡Excelente!

[Volver al principio]

Su detector gratuito verifica si su equipo está infectado. Para usar el producto con todas las funciones, debe comprar una licencia para Malwarebytes. 14 días de prueba gratuita limitada disponible.