Virus encriptador INFOWAIT

Conocido también como: el virus INFOWAIT
Propagación: Baja
Nivel de peligrosidad: Extremo

Instrucciones para eliminar el virus criptográfico INFOWAIT

¿Qué es INFOWAIT?

INFOWAIT es un virus, una infección ransomware de alto riesgo en el equipo que fue descubierta por Emmanuel_ADC-Soft. Pertenece a la familia de cibersecuestros DATASTOP (es una nueva versión). INFOWAIT está diseñada para cifrar (bloquear) los archivos y cambiarles el nombre añadiendo la extensión ".INFOWAIT" a cada archivo encriptado. Por ejemplo, cambia "1.jpg" por "1.jpg.INFOWAIT" y así sucesivamente. Crea también una nota de petición de rescate, un archivo de texto llamado "!readme.txt". Durante la encriptación, este virus muestra una falsa ventana emergente de actualización de Windows.

Como es normal, el archivo de texto creado contiene un mensaje donde se dice que los datos son encriptados y que solo pueden recuperarse si se usan una clave única de descifrado. Por desgracia, esto es cierto Actualmente no se sabe a ciencia cierta qué tipo de criptografía (simétrica o asimétrica) usa en realidad INFOWAIT. En cualquier caso, para la desencriptación se necesita una clave generada de forma única para cada víctima. El problema está en que todas las claves se almacenan en un servidor remoto controlado por los ciberdelincuentes (los desarrolladores de INFOWAIT). Por tanto, para recibir la clave de descifrado y software, se insta a los usuarios a pagar 290 USD en Bitcoins. Sin embargo, se indica que este precio aplica solo si la víctima contacta con los desarrolladores en un plazo de 72 horas tras el cifrado. De lo contrario, no se especifica exactamente lo que pasará luego. En el archivo de texto, se indica que las víctimas pueden enviar hasta 3 archivos seleccionados (que no sean "muy pesados"). Los delincuentes desencriptarán esos archivos y los devolverán como garantía de que es posible realizar la desencriptación. No obstante, no debe fiarse nunca de esos individuos. Los estudios demuestran que estos individuos suelen ignorar a las víctimas una vez que realizan el pago del rescate. Con otras palabras, no conseguirá probablemente nada con pagar y será estafado. Por este motivo, le desaconsejamos contactar con esas personas y no debería en ningún caso enviarles dinero. Lamentablemente, no existen herramientas capaces de "crackear" la encriptación de INFOWAIT para recuperar los archivos de forma gratuita. La única solución es restaurarlo todo desde una copia de respaldo.

Captura de pantalla del mensaje donde se insta a los usuarios a pagar la recompensa para desencriptar los archivos afectados:

instrucciones desencriptación INFOWAIT

La cantidad de cibersecuestros aumenta cada día; sin embargo, casi todas las infecciones de este tipo son muy parecidas. ARGUS, Ghost, Vapor- estos son solo algunos ejemplos. Aunque casi todos han sido desarrollados por diferentes ciberdelincuentes, todos funcionan de forma idéntica: encriptan los archivos y realizan peticiones de rescate. Por regla general, las principales diferencias están en la cuantía del rescate y en el tipo de algoritmo de encriptación usado. Sin embargo, casi todas las veces, los ciberdelincuentes usan algoritmos que generan claves únicas de descifrado. Se hace imposible por ello desencriptar los datos sin la intervención de los ciberdelincuentes a no ser que el virus ransomware esté en desarrollo y tengan errores o fallos de seguridad sin arreglar. Los cibersecuestros nos recuerdan lo importante que es realizar frecuentemente copias de seguridad. Recuerde siempre almacenarlas en un servidor remoto (p. ej. la nube) o un dispositivo de almacenamiento extraíble. De lo contrario, el software malicioso encriptará las copias de seguridad junto con los archivos.

¿Cómo llegó el cibersecuestro a mi equipo?

Normalmente, los equipos se infectan por virus ransomware de una o varias formas. Tales infecciones suelen propagarse a través de campañas de correo basura, actualizadores de software falsos, correos basura y asistentes de descarga de terceros, así como troyanos. Los ciberdelincuentes usan campañas de correo basura para propagar adjuntos maliciosos (normalmente documentos MS Office, archivos PDF o ejecutables). Una vez se abren, esos adjuntos maliciosos descargan e instalan virus. Las herramientas de actualización de software falso infectan el sistema aprovechándose de errores en versiones de software antiguas o instalando malware en vez de la aplicación seleccionada. Las redes P2P (torrents, eMule, etc.) y otras fuentes de descarga no oficiales presentan a menudo ejecutables maliciosos como software legítimo. Al ejecutar esos archivos, los usuarios son engañados para que instalen virus de forma manual ellos mismos. Los troyanos son programas maliciosos que están diseñados para propagar otras infecciones. Con otras palabras, los troyanos ocasionan infecciones en cadena.

¿Cómo protegerse de los cibersecuestros?

Para evitar los cibersecuestros (u otras infecciones), le recomendamos tomar medidas al descargar e instalar software y al navegar por internet. Si ha recibido un correo con un adjunto enviado por una dirección de correo desconocida o sospechosa, no abra el adjunto sin analizarlo previamente. En resumen, no abra adjuntos que se encuentren en correos que no sean importantes. Mantenga actualizadas las aplicaciones, pero use las funciones de actualización integradas o herramientas facilitadas por los desarrolladores oficiales. Nunca descargue ningún archivo ni aplicación desde fuentes no oficiales ni use torrents o asistente de descargas de software. Se conoce que varios asistentes de descarga o instalación contienen aplicaciones engañosas que podrían ocasionar varias infecciones, incluido el cibersecuestro. Finalmente, mantenga protegido su equipo usando un software antivirus o antiespía de reputación. Es muy probable que tales herramientas puedan evitar a los equipos un gran número de infecciones. Si su equipo está infectado ya con INFOWAIT, le recomendamos ejecutar un análisis con Spyhunter para eliminarlos de forma automática.

Texto mostrado en el archivo de texto del ransomware INFOWAIT ("!readme.txt"):

================!ATTENTION PLEASE!====================

Your databases, files, photos, documents and other important files are encrypted and have the extension: .INFOWAIT
The only method of recovering files is to purchase an decrypt software and unique private key.
After purchase you will start decrypt software, enter your unique private key and it will decrypt all your data.
Only we can give you this key and only we can recover your files.
You need to contact us by e-mail BM-2cXonzj9ovn5qdX2MrwMK4j3qCquXBKo4h@bitmessage.ch send us your personal ID and wait for further instructions.
For you to be sure, that we can decrypt your files - you can send us a 1-3 any not very big encrypted files and we will send you back it in a original form FREE.
Price for decryption $290 if you contact us first 72 hours.

=======================================================

E-mail address to contact us:
BM-2cXonzj9ovn5qdX2MrwMK4j3qCquXBKo4h@bitmessage.ch

Reserve e-mail address to contact us:
savefiles@india.com

Your personal id:
0048qpq3ylnE16aHSgo4Sg0XH3ODhi9ddXBObJMGjZI

INFOWAIT mostrando un falso asistente de actualizaciones de Windows mientras encripta los archivos:

actualización fraudulenta de Windows por INFOWAIT

Proceso del ransomware INFOWAIT en el Administrador de tareas ("updatewin.exe (32 bit)"):

INFOWAIT en el Administrador de tareas

Captura de pantalla de archivos cifrados por INFOWAIT (extensión ".INFOWAIT"):

archivos cifrados por INFOWAIT

Eliminar el cibersecuestro INFOWAIT:

Eliminar automáticamente de forma instantánea el virus INFOWAIT: Eliminar las amenazas de forma manual puede acabar siendo un proceso largo y tedioso que precisa de conocimientos informáticos avanzados. Spyhunter es una herramienta profesional para eliminar software malicioso de forma automática y está recomendada para acabar con el virus INFOWAIT. La descarga se iniciará al hacer clic en el siguiente botón:
▼ DESCARGAR Spyhunter Su detector gratuito verifica si su equipo está infectado. Para eliminar el software malicioso, tendrá que comprar la versión completa de Spyhunter. Si decide descargar este programa, quiere decir que usted está conforme con nuestra Política de privacidad y Condiciones de uso.

Menú rápido:

Paso 1

Usuarios de Windows XP y Windows 7: Inicie su equipo en modo seguro. Haga clic en Inicio, Apagar, Reiniciar y aceptar. Mientras el equipo arranca, pulse la tecla F8 en su teclado varias veces hasta que vea el menú de Opciones avanzadas de Windows, luego seleccione modo seguro con funciones de red de la lista.

Modo seguro con funciones de red

Este vídeo muestra cómo iniciar Windows 7 en "Modo seguro con funciones de red":

Usuarios de Windows 8: Inicie Windows 8 en modo seguro con funciones de red: Diríjase a la pantalla de inicio de Windows 8, escriba "avanzadas", en los resultados de búsqueda, seleccione "Cambiar opciones avanzadas de inicio". En la nueva ventana "Configuración de PC", vaya hasta la sección "Inicio avanzado". Haga clic en el botón "Reiniciar ahora". Su PC se reiniciará ahora con el "Menú de opciones de arranque avanzadas". Haga clic en el botón de "Solucionar problemas", luego haga clic en el botón de "Opciones avanzadas". En la pantalla de opciones avanzadas, haga clic en "Configuración de inicio". Haga clic en el botón "Reiniciar". Su PC se reiniciará mostrando primero la pantalla de Configuración de inicio. Pulse F5 para arrancar en Modo seguro con funciones de red.

Modo seguro en Windows 8 con funciones de red

Este vídeo muestra cómo iniciar Windows 8 en "Modo seguro con funciones de red":

Usuarios de Windows 10: Haga clic en el logo de Windows y seleccione el icono de Inicio/Apagado. En el nuevo menú, haga clic en "Reiniciar" mientras mantiene pulsada la tecla "mayúsculas" en su teclado. En la ventana "seleccione una opción", haga clic en "Solucionar problemas" y luego en "Opciones avanzadas". En el menú de opciones avanzadas, seleccione "Configuración de inicio" y haga clic en el botón "Reiniciar". En la siguiente pantalla, tendrá que pulsar la tecla F5 de su teclado. Luego se reiniciará el sistema operativo en modo seguro con funciones de red

Modo seguro en Windows 10 con funciones de red

Este vídeo muestra cómo iniciar Windows 10 en "Modo seguro con funciones de red":

Paso 2

Inicie sesión con la cuenta que ha sido infectada con el virus INFOWAIT. Abra su navegador web y descargue un programa legítimo anti-spyware. Actualice el software antiespía e inicie un análisis de sistema completo. Elimine todas las entradas que se detecten

Si no puede arrancar su equipo en modo seguro con funciones de red, pruebe ejecutando una restauración del sistema.

Este vídeo muestra cómo eliminar el virus ransomware usando "Modo seguro con funciones de red" y "Restaurar sistema":

1. Durante el proceso de arranque de su ordenador, pulse la tecla F8 en su teclado varias veces hasta que se muestre el menú de Opciones avanzadas de Windows, luego seleccione Modo seguro con símbolo de sistema de la lista y pulse ENTER.

Inicie su sistema en modo seguro con símbolo de sistema

2. Cuando el símbolo del sistema se cargue, introduzca la siguiente línea: cd restore y pulse ENTER.

restauración de sistema usando símbolo del sistema cd restore

3. Luego teclee esta línea: rstrui.exe y pulse ENTER.

restaurar sistema usando símbolo de sistema rstrui.exe

4. En la nueva pantalla, haga clic en "Siguiente".

restaurar archivos del sistema y configuraciones

5. Seleccione uno de los puntos de restauración disponibles y haga clic en "Siguiente" (se restaurará el sistema de su equipo a una fecha anterior antes de que el ransomware INFOWAITse introdujera en su PC).

seleccione un punto de restauración

6. En la ventana abierta, haga clic en "Sí".

ejecutar restauración de sistema

7. Después de restaurar su sistema a un punto anterior, descargue y analice su PC con un software de seguridad antimalware recomendado para eliminar los remanentes del virus INFOWAIT.

Para restaurar individualmente cada archivo encriptado por este virus, pruebe con la función versiones anteriores de archivo. Este método es únicamente eficaz si la función de Restaurar sistema estaba activa en el sistema operativo infectado. Tenga en cuenta que algunas variantes de INFOWAITeliminan las instantáneas de volumen de los ficheros, por lo que puede que este método no funcione en algunos equipos.

Para restaurar un archivo, haga clic con el botón derecho del ratón sobre el archivo, seleccione Propiedades y haga clic en la pestaña Versiones anteriores. Si el archivo en cuestión tiene su punto de restauración, selecciónelo y haga clic en el botón "Restaurar".

Restaurando archivos encriptados por CryptoDefense

Si no puede iniciar su sistema en modo seguro con funciones de red (o con símbolo de sistema), inicie su ordenador usando un disco de rescate. Algunos tipos de ransomware desactivan el modo seguro, por lo que la desinfección es más compleja. Para este paso, necesitará tener acceso a otro PC.

Para recuperar el control de los archivos encriptados por INFOWAIT, pruebe un programa llamado Shadow Explorer. Aquí podrá leer más información sobre cómo usar este programa.

captura de pantalla de shadow explorer

Para proteger su equipo de virus encriptadores de archivos, analice su sistema con programas antivirus y antiespía fiables. Como medida de protección extra, le recomendamos el programa HitmanPro.Alert y EasySync CryptoMonitor que introduce de forma artificial directivas de grupo en el registro para bloquear programas maliciosos como INFOWAIT.

Tenga en cuenta que la actualización Windows 10 Fall Creators incluye la función "Acceso controlado a carpetas" que bloquea los intentos de los virus encriptadores para cifrar sus archivos. Por defecto, esta función protege de forma automática los archivos almacenados en Documentos, Imágenes, Vídeos, Música, Favoritos, así como las carpetas del escritorio.

acceso controlado a carpetas

Los usuarios de Windows 10 deberían instalar esta actualización para proteger sus archivos frente a los cibersecuestros. Aquí verá más información de cómo puede conseguir esta actualización para incrementar la protección de su equipo frente a las infecciones ransomware.

HitmanPro.Alert CryptoGuard detecta el cifrado de archivos y neutraliza tales intentos sin la necesidad de que el usuario intervenga:

la aplicación hitmanproalert que protege del ransomware

Malwarebytes Anti-Ransomware Beta recurre a tecnología avanzada proactiva que supervisa la actividad de los virus secuestradores de equipos y la interrumpe de inmediato antes de que afecten a los archivos de los usuarios:

malwarebytes anti-ransomware

  • La mejor forma de evitar daños ocasionados por infecciones de tipo ransomware (secuestradores de sistemas) es realizando habitualmente copias de seguridad. Aquí encontrará más información sobre soluciones informáticas para realizar copias de seguridad y para recuperar datos.

Otras herramientas conocidas para eliminar el virus .pptx:

Fuente: https://www.pcrisk.com/removal-guides/14063-infowait-ransomware