Ransomware IEncrypt

Conocido también como: el virus IEncrypt
Propagación: Baja
Nivel de peligrosidad: Extremo

Instrucciones para eliminar el cibersecuestro IEncrypt

¿Qué es IEncrypt?

IEncrypt es otro virus encriptador diseñado para cifrar archivos con criptografía AES. Fue descubierto por primera vez por S!Ri. Mientras va cifrando datos, IEncrypt añade la extensión "PCname_of_company" a los nombres de archivo. Este ransomware suele ir dirigido a empresas en vez de a usuarios particulares. Hemos investigado una versión de IEncrypt que afectó a la empresa alemana Krauss-Maffei y, por tanto, la extensión se llamaba ".kraussmfz". Este ransomware genera también un archivo de texto idéntico para cada archivo encriptado. Cada archivo de texto se llama como su correspondiente archivo encriptado (p. ej., "1.jpg.kraussmfz_readme.txt"). Todos esos archivos de texto contienen un mensaje para pedir el pago del rescate.

El mensaje es muy escueto; simplemente, se dice que se ha hackeado la red de equipos, que los archivos han sido cifrados y que el propietario debe ponerse en contacto con los desarrolladores de IEncrypt a través de las direcciones de correo facilitados y tiene que pagar un rescate si desea recuperar los archivos comprometidos. Como se ha indicado anteriormente, IEncrypt usa un algoritmo de encriptación asimétrico (si se usa adecuadamente) que genera una clave única (usada tanto para encriptar como desencriptar) para cada equipo secuestrado. Es imposible recuperar los archivos sin esas claves. Sin embargo, el problema está en que esas claves se ocultan en un servidor remoto; de ahí que estén en disposición de chantajear a sus víctimas. Para recibir una clave de descifrado, cada víctima tiene que pagar un rescate. No se detalla el precio, tales datos se facilitarán tras contactar con los ciberdelincuentes. No obstante, podemos decir que los virus de cibersecuestro al uso (que afectan a usuarios particulares) suelen pedir entre 500-1500 USD en Bitcoins, DASH, Monero u otra criptomoneda. Ahora bien, dado que IEncrypt se dirige a redes empresariales, el precio puede ser bastante más elevado. Los delincuentes suelen pedir un rescate por toda la red (en tal caso, la cuantía del rescate podría ascender a decenas de miles de dólares) o a una cantidad específica por PC. No importa lo bajo o alto del precio, nunca debería pagar. Los estudios demuestran que estos individuos suelen ignorar a las víctimas una vez que realizan el pago del rescate. Por este motivo, es muy probable que pagar no dé ningún resultado positivo y que simplemente se estafe a los usuarios. Por esta razón, le recomendamos ignorar todas las instrucciones para realizar el pago y no contactar con esas personas. Lamentablemente, no existen herramientas capaces de "crackear" la encriptación de IEncrypt  para recuperar los archivos de forma gratuita. La única solución es restaurarlo todo desde una copia de respaldo.

Captura de pantalla del mensaje donde se insta a los usuarios a pagar la recompensa para desencriptar los archivos afectados:

instrucciones desencriptación IEncrypt

IEncrypt comparte similitudes con INFOWAIT, Ghost, ARGUS, Crypted034 y con una decena de virus de tipo ransomware. Esos virus han sido desarrollados por diferentes ciberdelincuentes. No obstante, todos esos virus actúan exactamente de la misma forma; encriptan los datos y piden el pago de rescates. Normalmente, los virus de tipo ransomware presentan solo dos diferencias importantes: 1) cuantía del rescate y 2) tipo de algoritmo encriptador usado. Por desgracia, la mayor parte usa algoritmos que generan claves únicas de desencriptación. Por tanto, a no ser que el virus no esté 100 % desarrollado o tenga ciertos fallos/errores, se hace imposible recuperar los archivos manualmente. Los cibersecuestros nos recuerdan lo importante que es realizar frecuentemente copias de seguridad. Recuerde siempre almacenarlos en un servidor remoto o un dispositivo de almacenamiento extraíble. Si no, las copias de seguridad se encriptarán también junto con cualquier archivo.

¿Cómo llegó el cibersecuestro a mi equipo?

Actualmente no se sabe exactamente cómo estos delincuentes propagan IEncrypt. En casi todos los casos, sin embargo, los virus ransomware se distribuyen en campañas de correo basura, troyanos, redes P2P (torrents, eMule, etc.) y otras fuentes de descarga de software no oficiales (sitios web de descargas gratuitas, sitios web de alojamiento de archivos, etc.), así como herramientas falsas de actualización de software. Las campañas de spam se usan para enviar adjuntos maliciosos (p. ej. ejecutables, documentos MS Office, PDF, etc.). Una vez se abren, esos adjuntos descargarán e instalarán el software malicioso. Los troyanos han sido diseñados para ocasionar las denominadas infecciones en cadena; tras infiltrarse con éxito en el sistema, el virus de tipo troyano ayuda a otros programas maliciosos a infiltrarse en el equipo también. Las redes P2P y otras fuentes de descarga no oficiales presentan a menudo ejecutables maliciosos como software legítimo. Por tanto, se engaña a los usuarios para que descarguen e instalen software malicioso. Las herramientas de actualización de software falso infectan el sistema aprovechándose de errores en versiones de software antiguas o instalando malware en vez de la aplicación seleccionada.

¿Cómo protegerse de los cibersecuestros?

En primer lugar, es necesario saber que los dos motivos principales por las que se infecta el equipo son un conocimiento insuficiente y un comportamiento imprudente. La clave para la seguridad informática es la precaución; por tanto, preste siempre atención al navegar por internet y al descargar e instalar software. Es muy importante analizar con cuidado cada uno de los adjuntos recibidos en un e-mail. Si el archivo/enlace es irrelevante o el remitente parece sospechoso, no abra nada. Asimismo, no olvide analizar de cerca cada paso de los procesos de descarga e instalación y cancelar todos los programas incluidos de forma adicional. Le recomendamos encarecidamente descargar el software deseado solo de fuentes oficiales usando la URL de descarga directa. Lo mismo sirve para las actualizaciones de software. Es muy importante mantener las aplicaciones actualizadas. Sin embargo, esto debería hacerse con funciones o herramientas integradas proporcionadas por el desarrollador oficial. Es imprescindible usar una solución fiable antivirus o antiespía; este software probablemente detecta y elimina software malicioso antes de que pase algo malo. Si su equipo está infectado ya con IEncrypt, le recomendamos ejecutar un análisis con Spyhunter para eliminarlos de forma automática.

Texto mostrado en el archivo de texto del ransomware IEncrypt:

Hello company name,

Your network was hacked and encrypted.

No free decryption software is available on the web.

Email us at SARAH.BARRICK@PROTONMAIL.COM (or) LINDA.HARTLEY@TUTANOTA.COM to get the ransom amount.

Please, use your company name as the email subject.

TAIL:LTpTQTE4wIAfNXBI

KEY:-

Captura de pantalla del proceso de IEncrypt en el Administrador de tareas ("IGFX Encryption Handler"):

IEncrypt en el Administrador de tareas

Captura de pantalla de archivos cifrados por IEncrypt (extensión "PCname_of_company"):

archivos cifrados por IEncrypt

Eliminar el cibersecuestro IEncrypt:

Eliminar automáticamente de forma instantánea el virus IEncrypt: Eliminar las amenazas de forma manual puede acabar siendo un proceso largo y tedioso que precisa de conocimientos informáticos avanzados. Spyhunter es una herramienta profesional para eliminar software malicioso de forma automática y está recomendada para acabar con el virus IEncrypt. La descarga se iniciará al hacer clic en el siguiente botón:
▼ DESCARGAR Spyhunter Su detector gratuito verifica si su equipo está infectado. Para eliminar el software malicioso, tendrá que comprar la versión completa de Spyhunter. Si decide descargar este programa, quiere decir que usted está conforme con nuestra Política de privacidad y Condiciones de uso.

Menú rápido:

Paso 1

Usuarios de Windows XP y Windows 7: Inicie su equipo en modo seguro. Haga clic en Inicio, Apagar, Reiniciar y aceptar. Mientras el equipo arranca, pulse la tecla F8 en su teclado varias veces hasta que vea el menú de Opciones avanzadas de Windows, luego seleccione modo seguro con funciones de red de la lista.

Modo seguro con funciones de red

Este vídeo muestra cómo iniciar Windows 7 en "Modo seguro con funciones de red":

Usuarios de Windows 8: Inicie Windows 8 en modo seguro con funciones de red: Diríjase a la pantalla de inicio de Windows 8, escriba "avanzadas", en los resultados de búsqueda, seleccione "Cambiar opciones avanzadas de inicio". En la nueva ventana "Configuración de PC", vaya hasta la sección "Inicio avanzado".  Haga clic en el botón "Reiniciar ahora". Su PC se reiniciará ahora con el "Menú de opciones de arranque avanzadas". Haga clic en el botón de "Solucionar problemas", luego haga clic en el botón de "Opciones avanzadas". En la pantalla de opciones avanzadas, haga clic en "Configuración de inicio". Haga clic en el botón "Reiniciar". Su PC se reiniciará mostrando primero la pantalla de Configuración de inicio. Pulse F5 para arrancar en Modo seguro con funciones de red.

Modo seguro en Windows 8 con funciones de red

Este vídeo muestra cómo iniciar Windows 8 en "Modo seguro con funciones de red":

Usuarios de Windows 10: Haga clic en el logo de Windows y seleccione el icono de Inicio/Apagado. En el nuevo menú, haga clic en "Reiniciar" mientras mantiene pulsada la tecla "mayúsculas" en su teclado. En la ventana "seleccione una opción", haga clic en "Solucionar problemas" y luego en "Opciones avanzadas". En el menú de opciones avanzadas, seleccione "Configuración de inicio" y haga clic en el botón "Reiniciar". En la siguiente pantalla, tendrá que pulsar la tecla F5 de su teclado. Luego se reiniciará el sistema operativo en modo seguro con funciones de red

Modo seguro en Windows 10 con funciones de red

Este vídeo muestra cómo iniciar Windows 10 en "Modo seguro con funciones de red":

Paso 2

Inicie sesión con la cuenta que ha sido infectada con el virus IEncrypt. Abra su navegador web y descargue un programa legítimo anti-spyware. Actualice el software antiespía e inicie un análisis de sistema completo. Elimine todas las entradas que se detecten

Si no puede arrancar su equipo en modo seguro con funciones de red, pruebe ejecutando una restauración del sistema.

Este vídeo muestra cómo eliminar el virus ransomware usando "Modo seguro con funciones de red" y "Restaurar sistema":

1. Durante el proceso de arranque de su ordenador, pulse la tecla F8 en su teclado varias veces hasta que se muestre el menú de Opciones avanzadas de Windows, luego seleccione Modo seguro con símbolo de sistema de la lista y pulse ENTER.

Inicie su sistema en modo seguro con símbolo de sistema

2. Cuando el símbolo del sistema se cargue, introduzca la siguiente línea: cd restore y pulse ENTER.

restauración de sistema usando símbolo del sistema cd restore

3. Luego teclee esta línea: rstrui.exe y pulse ENTER.

restaurar sistema usando símbolo de sistema rstrui.exe

4. En la nueva pantalla, haga clic en "Siguiente".

restaurar archivos del sistema y configuraciones

5. Seleccione uno de los puntos de restauración disponibles y haga clic en "Siguiente" (se restaurará el sistema de su equipo a una fecha anterior antes de que el ransomware IEncrypt se introdujera en su PC).

seleccione un punto de restauración

6. En la ventana abierta, haga clic en "Sí".

ejecutar restauración de sistema

7. Después de restaurar su sistema a un punto anterior, descargue y analice su PC con un software de seguridad antimalware recomendado para eliminar los remanentes del virus IEncrypt.

Para restaurar individualmente cada archivo encriptado por este virus, pruebe con la función versiones anteriores de archivo. Este método es únicamente eficaz si la función de Restaurar sistema estaba activa en el sistema operativo infectado. Tenga en cuenta que algunas variantes de IEncrypt eliminan las instantáneas de volumen de los ficheros, por lo que puede que este método no funcione en algunos equipos.

Para restaurar un archivo, haga clic con el botón derecho del ratón sobre el archivo, seleccione Propiedades y haga clic en la pestaña Versiones anteriores. Si el archivo en cuestión tiene su punto de restauración, selecciónelo y haga clic en el botón "Restaurar".

Restaurando archivos encriptados por CryptoDefense

Si no puede iniciar su sistema en modo seguro con funciones de red (o con símbolo de sistema), inicie su ordenador usando un disco de rescate. Algunos tipos de ransomware desactivan el modo seguro, por lo que la desinfección es más compleja. Para este paso, necesitará tener acceso a otro PC.

Para recuperar el control de los archivos encriptados por IEncrypt, pruebe un programa llamado Shadow Explorer. Aquí podrá leer más información sobre cómo usar este programa.

captura de pantalla de shadow explorer

Para proteger su equipo de virus encriptadores de archivos, analice su sistema con programas antivirus y antiespía fiables. Como medida de protección extra, le recomendamos el programa HitmanPro.Alert y EasySync CryptoMonitor que introduce de forma artificial directivas de grupo en el registro para bloquear programas maliciosos como IEncrypt.

Tenga en cuenta que la actualización Windows 10 Fall Creators incluye la función "Acceso controlado a carpetas" que bloquea los intentos de los virus encriptadores para cifrar sus archivos. Por defecto, esta función protege de forma automática los archivos almacenados en Documentos, Imágenes, Vídeos, Música, Favoritos, así como las carpetas del escritorio.

acceso controlado a carpetas

Los usuarios de Windows 10 deberían instalar esta actualización para proteger sus archivos frente a los cibersecuestros. Aquí verá más información de cómo puede conseguir esta actualización para incrementar la protección de su equipo frente a las infecciones ransomware.

HitmanPro.Alert CryptoGuard detecta el cifrado de archivos y neutraliza tales intentos sin la necesidad de que el usuario intervenga:

la aplicación hitmanproalert que protege del ransomware

Malwarebytes Anti-Ransomware Beta recurre a tecnología avanzada proactiva que supervisa la actividad de los virus secuestradores de equipos y la interrumpe de inmediato antes de que afecten a los archivos de los usuarios:

malwarebytes anti-ransomware

  • La mejor forma de evitar daños ocasionados por infecciones de tipo ransomware (secuestradores de sistemas) es realizando habitualmente copias de seguridad. Aquí encontrará más información sobre soluciones informáticas para realizar copias de seguridad y para recuperar datos.

Otras herramientas conocidas para eliminar el virus IEncrypt:

Fuente: https://www.pcrisk.com/removal-guides/14078-iencrypt-ransomware