Cibersecuestro RYUK

Conocido también como: el virus RYUK
Propagación: Media
Nivel de peligrosidad: Extremo

Instrucciones para eliminar el cibersecuestro RYUK

¿Qué es RYUK?

RYUK es un virus muy peligroso de la categoría ransomware que se introduce en el sistema y encripta la mayor parte de los archivos almacenados, de ahí que se vuelvan inutilizables. Por su similitud con el ransomware Hermes, tenemos sospechas para pensar que los desarrolladores de esos dos virus coinciden. A diferencia de la inmensa mayoría de estos virus, este software malicioso no renombra los archivos ni añade ninguna extensión a los archivos encriptados. Sin embargo, sí que crea un archivo de texto ("RyukReadMe.txt") y coloca una copia en cada carpeta existente.

Como de costumbre, el archivo de texto creado genera un mensaje que informa a las víctimas sobre el cifrado e les insta a pagar un rescate si quieren recuperar los archivos. Sepa que RYUK usa los algoritmos de cifrado RSA-4096 y AES-256. Por tanto, a cada víctima se le asignan varias claves únicas que son necesarias para recuperar los datos. El problema está en que los ciberdelincuentes ocultan todas las claves en un servidor remoto. Por tanto, dado que es imposible recuperar los datos sin ellas, las víctimas se ven obligadas a pagar el rescate a cambio de recibir sus claves. No se sabe cuánto cuesta; toda la información se envía por e-mail. Sin embargo, es seguro que la cuantía del rescate va en función de cada víctima. Se indica que por cada día que se retrase la víctima tendrá que pagar 0,5 bitcoins extra (con un valor actual de ~$3200). En contraste con otros virus de tipo ransomware, este precio es bastante elevado; normalmente oscila entre $500 y $1500 y normalmente no se incrementa. Sin embargo, hay que destacar que RYUK ha sido diseñado para atacar a grandes empresas e infectar muchos equipos a la vez. Por tanto, aunque para un usuario normal pueda parecer mucho dinero pagar miles de dólares, las grandes empresas suelen acceder al chantaje porque los datos encriptados suelen ser mucho más valiosos. No importa si la suma es mayor o menor, en ningún caso se recomienda pagar. Es problema está en que los desarrolladores de ransomware suelen ignorar a sus víctimas una vez que realizan el pago. Por este motivo, no conseguirá probablemente nada con pagar y será estafado. Por tanto, le recomendamos ignorar todas las peticiones de contactar con los desarrolladores y pagar los rescates. Lamentablemente, no existen herramientas capaces de "crackear" la encriptación RSA/AES para recuperar los archivos de forma gratuita. La única solución es restaurarlo todo desde una copia de respaldo.

Captura de pantalla del mensaje donde se insta a los usuarios a pagar la recompensa para desencriptar los archivos afectados:

instrucciones desencriptación RYUK

Hay decenas de virus que comparten similitudes con RYUK. La lista de ejemplos incluye (sin mencionarlos a todos) FOX, ShutUpAndDance, PGPSnippet y Princess. Aunque esos virus han sido desarrollados por diferentes ciberdelincuentes, su modus operandi es completamente idéntico: cada uno de ellos encripta datos y hace peticiones de pago. En casi todos los casos, esos virus presentan solo dos diferencias importantes: 1) cuantía del rescate y 2) tipo de algoritmo encriptador usado. Por desgracia, la mayor parte de esos virus usan algoritmos que generan claves únicas de desencriptación. Por tanto, a no ser que el virus no esté 100 % desarrollado o tenga ciertos fallos/errores, se hace imposible recuperar los archivos manualmente sin la ayuda de los desarrolladores. RYUK y otros virus similares nos recuerdan lo importante que es realizar frecuentemente copias de seguridad. Recuerde siempre almacenarlos en un servidor remoto o un dispositivo de almacenamiento extraíble. Si no, las copias de seguridad se encriptarán también junto con cualquier archivo.

¿Cómo llegó el cibersecuestro a mi equipo?

Para propagar el virus ransomware, los desarrolladores suelen usar troyanos, correos basura, redes P2P, descargas de software no oficiales y actualizadores de software fraudulentos. Los troyanos simplemente abren "puertas traseras" para que se instale el software malicioso. Los correos basura incorporan adjuntos maliciosos que, una vez abiertos, descargan e instalan virus. Las redes P2P y otras fuentes de descarga de software no oficiales (sitios web de descargas gratuitas, sitios web de alojamiento de archivos, etc.) presentan a menudo ejecutables maliciosos como software legítimo, por lo que engañan a los usuarios para que descarguen y abran malware. Las herramientas de actualización de software falso infectan el sistema aprovechándose de errores en versiones de software antiguas o instalando malware en vez de la aplicación seleccionada.

Datos básicos de la amenaza:
Nombreel virus RYUK
Tipo de amenazaRansomware, virus criptográfico, cibersecuestro
SíntomasNo se pueden abrir los archivos almacenados en el equipo, los archivos que antes funcionaban tienen ahora una extensión diferente, por ejemplo my.docx.locked. Se muestra un mensaje en el escritorio para pedir un rescate. Los ciberdelincuentes solicitan el pago de una suma (normalmente en Bitcoins) para desbloquear los archivos.
Formas de distribuciónAdjuntos por e-mail infectados (macros), sitios web torrent, anuncios maliciosos.
DañoTodos los archivos están cifrados y no pueden abrirse si no se ha pagado un rescate. Se pueden instalar otros troyanos que roban contraseñas e infecciones de malware junto con una infección ransomware.
Eliminación

Para eliminar el virus RYUK, nuestros investigadores de software malicioso recomiendan analizar el equipo con Spyhunter.
▼ Descargar Spyhunter
Su detector gratuito verifica si su equipo está infectado. Para eliminar el software malicioso, tendrá que comprar la versión completa de Spyhunter.

¿Cómo protegerse de los cibersecuestros?

Todo el mundo debería saber que los motivos principales por los que se infecta el equipo son un conocimiento insuficiente y un comportamiento imprudente. Por ello, es imprescindible tener mucho cuidado al navegar por internet o al descargar, instalar y actualizar software. Piénseselo dos veces antes de abrir adjuntos en correos. No se debería abrir nunca archivos sin importancia o los que reciba de direcciones de correo electrónico sospechosas o que no conozca. Recomendamos descargar el software solo de fuentes oficiales a través de enlaces directos de descarga. Los instaladores o descargadores de terceros incluyen a menudo (empaquetan) programas dudosos y estas herramientas no deberían usarse. La misma norma aplica a la actualización de software. Es muy importante mantener las aplicaciones actualizadas. Sin embargo, esto debería hacerse con funciones o herramientas integradas proporcionadas por el desarrollador oficial. Es imprescindible tener instalada y en funcionamiento una solución fiable antivirus o antiespía. La clave para mantener el equipo seguro es la precaución. Si su equipo está infectado ya con RYUK, le recomendamos ejecutar un análisis con Spyhunter para eliminarlos de forma automática.

Texto mostrado en el archivo de texto del ransomware RYUK ("RyukReadMe.txt"):

Gentlemen!

Your business is at serious risk.
There is a significant hole in the security system of your company.
We've easily penetrated your network.
You should thank the Lord for being hacked by serious people not some stupid schoolboys or dangerous punks.
They can damage all your important data just for fun.

Now your files are crypted with the strongest millitary algorithms RSA4096 and AES-256.
No one can help you to restore files without our special decoder.

Photorec, RannohDecryptor etc. repair tools
are useless and can destroy your files irreversibly.

If you want to restore your files write to emails (contacts are at the bottom of the sheet)
and attach 2-3 encrypted files
(Less than 5 Mb each, non-archived and your files should not contain valuable information
(Databases, backups, large excel sheets, etc.)).
You will receive decrypted samples and our conditions how to get the decoder.
Please don't forget to write the name of your company in the subject of your e-mail.

You have to pay for decryption in Bitcoins.
The final price depends on how fast you write to us.
Every day of delay will cost you additional +0.5 BTC
Nothing personal just business

As soon as we get bitcoins you'll get all your decrypted data back.
Moreover you will get instructions how to close the hole in security
and how to avoid such problems in the future
+ we will recommend you special software that makes the most problems to hackers.

Attention! One more time !

Do not rename encrypted files.
Do not try to decrypt your data using third party software.

P.S. Remember, we are not scammers.
We don`t need your files and your information.
But after 2 weeks all your files and keys will be deleted automatically.
Just send a request immediately after infection.
All data will be restored absolutely.
Your warranty - decrypted samples.

contact emails
eliasmarco@tutanota.com
or
CamdenScott@protonmail.com

BTC wallet:
15RLWdVnY5n1n7mTvU1zjg67wt86dhYqNj

Ryuk

No system is safe

Captura de pantalla de archivos cifrados por RYUK (sin extensión):

archivos cifrados por RYUK

Eliminar el cibersecuestro RYUK:

Eliminar automáticamente de forma instantánea el virus RYUK: Eliminar las amenazas de forma manual puede acabar siendo un proceso largo y tedioso que precisa de conocimientos informáticos avanzados. Spyhunter es una herramienta profesional para eliminar software malicioso de forma automática y está recomendada para acabar con el virus RYUK. La descarga se iniciará al hacer clic en el siguiente botón:
▼ DESCARGAR Spyhunter Su detector gratuito verifica si su equipo está infectado. Para eliminar el software malicioso, tendrá que comprar la versión completa de Spyhunter. Si decide descargar este programa, quiere decir que usted está conforme con nuestra Política de privacidad y Condiciones de uso.

Menú rápido:

Paso 1

Usuarios de Windows XP y Windows 7: Inicie su equipo en modo seguro. Haga clic en Inicio, Apagar, Reiniciar y aceptar. Mientras el equipo arranca, pulse la tecla F8 en su teclado varias veces hasta que vea el menú de Opciones avanzadas de Windows, luego seleccione modo seguro con funciones de red de la lista.

Modo seguro con funciones de red

Este vídeo muestra cómo iniciar Windows 7 en "Modo seguro con funciones de red":

Usuarios de Windows 8: Inicie Windows 8 en modo seguro con funciones de red: Diríjase a la pantalla de inicio de Windows 8, escriba "avanzadas", en los resultados de búsqueda, seleccione "Cambiar opciones avanzadas de inicio". En la nueva ventana "Configuración de PC", vaya hasta la sección "Inicio avanzado".  Haga clic en el botón "Reiniciar ahora". Su PC se reiniciará ahora con el "Menú de opciones de arranque avanzadas". Haga clic en el botón de "Solucionar problemas", luego haga clic en el botón de "Opciones avanzadas". En la pantalla de opciones avanzadas, haga clic en "Configuración de inicio". Haga clic en el botón "Reiniciar". Su PC se reiniciará mostrando primero la pantalla de Configuración de inicio. Pulse F5 para arrancar en Modo seguro con funciones de red.

Modo seguro en Windows 8 con funciones de red

Este vídeo muestra cómo iniciar Windows 8 en "Modo seguro con funciones de red":

Usuarios de Windows 10: Haga clic en el logo de Windows y seleccione el icono de Inicio/Apagado. En el nuevo menú, haga clic en "Reiniciar" mientras mantiene pulsada la tecla "mayúsculas" en su teclado. En la ventana "seleccione una opción", haga clic en "Solucionar problemas" y luego en "Opciones avanzadas". En el menú de opciones avanzadas, seleccione "Configuración de inicio" y haga clic en el botón "Reiniciar". En la siguiente pantalla, tendrá que pulsar la tecla F5 de su teclado. Luego se reiniciará el sistema operativo en modo seguro con funciones de red

Modo seguro en Windows 10 con funciones de red

Este vídeo muestra cómo iniciar Windows 10 en "Modo seguro con funciones de red":

Paso 2

Inicie sesión con la cuenta que ha sido infectada con el virus RYUK. Abra su navegador web y descargue un programa legítimo anti-spyware. Actualice el software antiespía e inicie un análisis de sistema completo. Elimine todas las entradas que se detecten

Si no puede arrancar su equipo en modo seguro con funciones de red, pruebe ejecutando una restauración del sistema.

Este vídeo muestra cómo eliminar el virus ransomware usando "Modo seguro con funciones de red" y "Restaurar sistema":

1. Durante el proceso de arranque de su ordenador, pulse la tecla F8 en su teclado varias veces hasta que se muestre el menú de Opciones avanzadas de Windows, luego seleccione Modo seguro con símbolo de sistema de la lista y pulse ENTER.

Inicie su sistema en modo seguro con símbolo de sistema

2. Cuando el símbolo del sistema se cargue, introduzca la siguiente línea: cd restore y pulse ENTER.

restauración de sistema usando símbolo del sistema cd restore

3. Luego teclee esta línea: rstrui.exe y pulse ENTER.

restaurar sistema usando símbolo de sistema rstrui.exe

4. En la nueva pantalla, haga clic en "Siguiente".

restaurar archivos del sistema y configuraciones

5. Seleccione uno de los puntos de restauración disponibles y haga clic en "Siguiente" (se restaurará el sistema de su equipo a una fecha anterior antes de que el ransomware RYUK se introdujera en su PC).

seleccione un punto de restauración

6. En la ventana abierta, haga clic en "Sí".

ejecutar restauración de sistema

7. Después de restaurar su sistema a un punto anterior, descargue y analice su PC con un software de seguridad antimalware recomendado para eliminar los remanentes del virus RYUK.

Para restaurar individualmente cada archivo encriptado por este virus, pruebe con la función versiones anteriores de archivo. Este método es únicamente eficaz si la función de Restaurar sistema estaba activa en el sistema operativo infectado. Tenga en cuenta que algunas variantes de RYUK eliminan las instantáneas de volumen de los ficheros, por lo que puede que este método no funcione en algunos equipos.

Para restaurar un archivo, haga clic con el botón derecho del ratón sobre el archivo, seleccione Propiedades y haga clic en la pestaña Versiones anteriores. Si el archivo en cuestión tiene su punto de restauración, selecciónelo y haga clic en el botón "Restaurar".

Restaurando archivos encriptados por CryptoDefense

Si no puede iniciar su sistema en modo seguro con funciones de red (o con símbolo de sistema), inicie su ordenador usando un disco de rescate. Algunos tipos de ransomware desactivan el modo seguro, por lo que la desinfección es más compleja. Para este paso, necesitará tener acceso a otro PC.

Para recuperar el control de los archivos encriptados por RYUK, pruebe un programa llamado Shadow Explorer. Aquí podrá leer más información sobre cómo usar este programa.

captura de pantalla de shadow explorer

Para proteger su equipo de virus encriptadores de archivos, analice su sistema con programas antivirus y antiespía fiables. Como medida de protección extra, le recomendamos el programa HitmanPro.Alert y EasySync CryptoMonitor que introduce de forma artificial directivas de grupo en el registro para bloquear programas maliciosos como RYUK.

Tenga en cuenta que la actualización Windows 10 Fall Creators incluye la función "Acceso controlado a carpetas" que bloquea los intentos de los virus encriptadores para cifrar sus archivos. Por defecto, esta función protege de forma automática los archivos almacenados en Documentos, Imágenes, Vídeos, Música, Favoritos, así como las carpetas del escritorio.

acceso controlado a carpetas

Los usuarios de Windows 10 deberían instalar esta actualización para proteger sus archivos frente a los cibersecuestros. Aquí verá más información de cómo puede conseguir esta actualización para incrementar la protección de su equipo frente a las infecciones ransomware.

HitmanPro.Alert CryptoGuard detecta el cifrado de archivos y neutraliza tales intentos sin la necesidad de que el usuario intervenga:

la aplicación hitmanproalert que protege del ransomware

Malwarebytes Anti-Ransomware Beta recurre a tecnología avanzada proactiva que supervisa la actividad de los virus secuestradores de equipos y la interrumpe de inmediato antes de que afecten a los archivos de los usuarios:

malwarebytes anti-ransomware

  • La mejor forma de evitar daños ocasionados por infecciones de tipo ransomware (secuestradores de sistemas) es realizando habitualmente copias de seguridad. Aquí encontrará más información sobre soluciones informáticas para realizar copias de seguridad y para recuperar datos.

Otras herramientas conocidas para eliminar el virus RYUK:

Fuente: https://www.pcrisk.com/removal-guides/13394-ryuk-ransomware

Acerca del autor:

Tomas Meskauskas

Me apasiona todo lo relacionado con seguridad informática y tecnología. Me avala una experiencia de más de 10 años trabajando para varias empresas de reparación de problemas técnicos y seguridad on-line. Como editor y autor de PCrisk, llevo trabajando desde 2010. Sígueme en Twitter y LinkedIn para no perderte nada sobre las últimas amenazas de seguridad en internet. Leer más sobre el autor.

El portal de seguridad PCrisk ha sido creado conjuntamente por varios investigadores de seguridad con el propósito de formar e informar a los usuarios sobre las últimas amenazas detectadas en internet. Podrá leer más información sobre los autores e investigadores que trabajan en PCrisk en nuestra página de Contacto.

Nuestras guías de desinfección de software malicioso son gratuitas. No obstante, si desea colaborar, puede realizar una donación.

Guías de desinfección en otros idiomas
Código QR
el virus RYUK Código QR
Un código QR (código de respuesta rápida) es un código que puede ser escaneado usando dispositivos y que almacena direcciones web y otra información. Este código puede ser escaneado usando una cámara en un smartphone o tablet. Escanee este código QR para acceder fácilmente a la guía de desinfección de el virus RYUK desde su dispositivo móvil.
Nuestra recomendación:

Despídase ya de el virus RYUK:

▼ ELIMINAR AHORA con Spyhunter

Plataforma: Windows

Valoración de Spyhunter por parte del editor:
¡Excelente!

[Volver al principio]

Su detector gratuito verifica si su equipo está infectado. Para eliminar el software malicioso, tendrá que comprar la versión completa de Spyhunter.