Cibersecuestro Puma

Conocido también como: el virus Puma
Propagación: Baja
Nivel de peligrosidad: Extremo

Instrucciones para eliminar el virus criptográfico Puma

¿Qué es Puma?

Puma es uno de tantos virus de tipo cibersecuestro. Es una versión actualizada del ransomware STOP y fue descubierta por primera vez por el investigador de seguridad Marcelo Rivero. Como casi todas las infecciones de este tipo, ha sido diseñada para inutilizar los archivos de las víctimas y pedir el pago de un rescate. Una vez que el equipo es infectado por Puma, este ransomware bloquear el Administrador de tareas y evita que el usuario finalice su proceso. Durante la encriptación, Puma muestra una falsa ventana emergente de actualización de Windows. El virus encriptador cambia el nombre de cada archivo encriptado añadiendo la extensión ".puma", por ejemplo, "1.jpg" pasaría a llamarse "1.jpg.puma", etc. Hay también otra versión de este malware que usa la extensión ".pumax". Puma genera también una petición de rescate en un archivo de texto "!readme.txt". Puma puede verse en el Administrador de tareas como un proceso que se llama "updatewin.exe (32-bit)".

Como en casi todas las peticiones de rescate, en "!readme.txt"  se asegura que todos los archivos han sido encriptados y que para poder recuperarlos (desencriptarlos) las víctimas del cibersecuestro han de pagar un rescate y comprar la herramienta de descifrado. Según los desarrolladores de Puma, una vez se haya comprado su herramienta, sus víctimas recibirán una herramienta de desencriptación. Ofrecen un descifrado gratuito en hasta tres archivos como garantía de que son de confianza. Incluso ofrecen una herramienta de descifrado con un descuento del 50 % si los usuarios se ponen en contacto en 72 horas. Lo único que las víctimas tienen que hacer es contactar con ellos a través de las direcciones pumarestore@india.com o BM-2cXonzj9ovn5qdX2MrwMK4j3qCquXBKo4h@bitmessage.ch. Según los ciberdelincuentes que se esconden tras el ransomware Puma, solo ellos pueden facilitar a sus víctimas una herramienta de descifrado. Por desgracia, esto es cierto Normalmente, los ciberdelincuentes usan algoritmos que generan claves de descifrado únicas que se almacenan en servidores remotos. Eso imposibilita desencriptar los datos sin que intervengan los ciberdelincuentes. No obstante, casi nunca podrá fiarse de ellos. Muy a menudo, ignoran a sus víctimas aunque se hayan satisfecho las exigencias del rescate. No se sabe ciertamente qué tipo de algoritmo criptográfico (simétrico o asimétrico) se usa para el cifrado en este caso. De una forma o de otras, no existe una herramienta capaz de desencriptar los archivos de forma gratuita, de ahí que recomendemos usar una copia de seguridad para restaurar los archivos si hay una creada.

Captura de pantalla del mensaje donde se insta a los usuarios a pagar la recompensa para desencriptar los archivos afectados:

instrucciones desencriptación Puma

Puma no es solo un virus de tipo cibersecuestro que actúa de esta forma, hay muchas infecciones de este tipo. Aquí indicamos algunos ejemplos de virus encriptadores similares: INFOWAIT, ARGUS y Ghost. Casi siempre tales infecciones han sido diseñadas para cumplir los mismo objetivos: encriptan los archivos de la víctima y exigen un rescate. Las diferencias más comunes entre tales virus son el precio de la desencriptación y el algoritmo criptográfico usado. Normalmente, es imposible desencriptar archivos sin que intervengan los ciberdelincuentes a no ser que el virus esté en desarrollo o tenga alguna falla o error. Por este motivo, recomendamos mantener copias de seguridad con regularidad y almacenarlas en un dispositivo de almacenamiento extraíble o servidores remotos. ¿Cómo llegó el cibersecuestro a mi equipo?

How did ransomware infect my computer?

No está claro cómo los desarrolladores de Puma propagan sus cibersecuestros; sin embargo, casi todos los ciberdelincuentes propagan tales infecciones usando uno de estos métodos: campañas de correo basura, fuentes de descarga de software de terceros, herramientas falsas de actualización y troyanos. Los ciberdelincuentes usan campañas de correo spam para propagar infecciones a través de adjuntos por correo o enlaces. Por regla general, envían correos que contienen documentos maliciosos Microsoft Office (como RAR), archivos PDF, ejecutables (.exe), etc. esperando que alguien los abra. Una vez se abren, esos adjuntos (o enlaces) descargarán e instalarán infecciones informáticas. Las fuentes de descargas dudosas no oficiales como redes P2P (clientes torrent, eMule, etc.), portales de descargas gratuitas, sitios de alojamiento de archivos, etc. pueden ser usados por ciberdelincuentes también. Al usar estos canales, engañan a usuarios para que instalen infecciones en el equipo por sí mismos. Los ciberdelincuentes lo consiguen presentando como legítimos archivos ejecutables maliciosos (.exe) u otros archivos. Diversos asistentes de actualización (falsos) pueden usarse para propagar virus también. Esas herramientas descargan e instalan infecciones en vez de las actualizaciones prometidas o se aprovechan de las fallas y errores del software.

¿Cómo protegerse de los cibersecuestros?

Para evitar los virus de tipo ransomware o infecciones informáticas, es importante navegar por internet, instalar, descargar y actualizar el software con cuidado. No abra nunca archivos recibidos por parte de direcciones de email sospechosas. Con otras palabras, no abra los archivos (o enlaces) que están adjuntos a varios correos irrelevantes. Actualice su software usando solo las funciones o herramientas facilitados por desarrolladores oficiales. We strongly recommend avoid using various third party/unofficial tools for that. Asimismo, descargue software solo de fuentes oficiales y de confianza. Varios asistentes de descarga o instalación de terceros suelen contener aplicaciones maliciosas que podrían ocasionar infecciones informáticas de alto riesgo. Finalmente, tenga instalado y siempre en funcionamiento un software reputable antivirus y antiespía. Tales herramientas suelen ser muy útiles al tratar con varias infecciones antes de que puedan ocasionar algún daño. Si su equipo está infectado ya con Puma, le recomendamos ejecutar un análisis con Spyhunter para eliminarlos de forma automática.

Texto mostrado en el archivo de texto del ransomware Puma:

=================!ATTENTION PLEASE!=================

Your databases, files, photos, documents and other important files are encrypted and have the extension: .puma
The only method of recovering files is to purchase an decrypt software and unique private key.
After purchase you will start decrypt software, enter your unique private key and it will decrypt all your data.
Only we can give you this key and only we can recover your files.
You need to contact us by e-mail pumarestore@india.com send us your personal ID and wait for further instructions.
For you to be sure, that we can decrypt your files - you can send us a 1-3 any not very big encrypted files and we will send you back it in a original form FREE.
Discount 50% avaliable if you contact us first 72 hours.

===================================================

E-mail address to contact us:
pumarestore@india.com

Reserve e-mail address to contact us:
BM-2cXonzj9ovn5qdX2MrwMK4j3qCquXBKo4h@bitmessage.ch

Your personal id:
0058qpq3ylnE16aHSgo4Sg0XH3ODhi9ddXBObJMGjZI

Captura de pantalla de archivos cifrados por Puma (extensión ".puma"):

Archivos cifrados por Puma

Puma mostrando un falso asistente de actualizaciones de Windows mientras encripta los archivos:

actualización falsa de windows puma ransomware

Proceso del ransomware Puma en el Administrador de tareas ("updatewin.exe (32 bit)"):

Proceso del ransomware Puma en el Administrador de tareas updatewin.exe Eliminar el cibersecuestro Puma:

Eliminar el virus encriptador Puma:

Eliminar automáticamente de forma instantánea el virus Puma: Eliminar las amenazas de forma manual puede acabar siendo un proceso largo y tedioso que precisa de conocimientos informáticos avanzados. Spyhunter es una herramienta profesional para eliminar software malicioso de forma automática y está recomendada para acabar con el virus Puma. La descarga se iniciará al hacer clic en el siguiente botón:
▼ DESCARGAR Spyhunter Su detector gratuito verifica si su equipo está infectado. Para eliminar el software malicioso, tendrá que comprar la versión completa de Spyhunter. Si decide descargar este programa, quiere decir que usted está conforme con nuestra Política de privacidad y Condiciones de uso.

Menú rápido:

Paso 1

Usuarios de Windows XP y Windows 7: Inicie su equipo en modo seguro. Haga clic en Inicio, Apagar, Reiniciar y aceptar. Mientras el equipo arranca, pulse la tecla F8 en su teclado varias veces hasta que vea el menú de Opciones avanzadas de Windows, luego seleccione modo seguro con funciones de red de la lista.

Modo seguro con funciones de red

Este vídeo muestra cómo iniciar Windows 7 en "Modo seguro con funciones de red":

Usuarios de Windows 8: Inicie Windows 8 en modo seguro con funciones de red: Diríjase a la pantalla de inicio de Windows 8, escriba "avanzadas", en los resultados de búsqueda, seleccione "Cambiar opciones avanzadas de inicio". En la nueva ventana "Configuración de PC", vaya hasta la sección "Inicio avanzado".  Haga clic en el botón "Reiniciar ahora". Su PC se reiniciará ahora con el "Menú de opciones de arranque avanzadas". Haga clic en el botón de "Solucionar problemas", luego haga clic en el botón de "Opciones avanzadas". En la pantalla de opciones avanzadas, haga clic en "Configuración de inicio". Haga clic en el botón "Reiniciar". Su PC se reiniciará mostrando primero la pantalla de Configuración de inicio. Pulse F5 para arrancar en Modo seguro con funciones de red.

Modo seguro en Windows 8 con funciones de red

Este vídeo muestra cómo iniciar Windows 8 en "Modo seguro con funciones de red":

Usuarios de Windows 10: Haga clic en el logo de Windows y seleccione el icono de Inicio/Apagado. En el nuevo menú, haga clic en "Reiniciar" mientras mantiene pulsada la tecla "mayúsculas" en su teclado. En la ventana "seleccione una opción", haga clic en "Solucionar problemas" y luego en "Opciones avanzadas". En el menú de opciones avanzadas, seleccione "Configuración de inicio" y haga clic en el botón "Reiniciar". En la siguiente pantalla, tendrá que pulsar la tecla F5 de su teclado. Luego se reiniciará el sistema operativo en modo seguro con funciones de red

Modo seguro en Windows 10 con funciones de red

Este vídeo muestra cómo iniciar Windows 10 en "Modo seguro con funciones de red":

Paso 2

Inicie sesión con la cuenta que ha sido infectada con el virus Puma. Abra su navegador web y descargue un programa legítimo anti-spyware. Actualice el software antiespía e inicie un análisis de sistema completo. Elimine todas las entradas que se detecten

Si no puede arrancar su equipo en modo seguro con funciones de red, pruebe ejecutando una restauración del sistema.

Este vídeo muestra cómo eliminar el virus ransomware usando "Modo seguro con funciones de red" y "Restaurar sistema":

1. Durante el proceso de arranque de su ordenador, pulse la tecla F8 en su teclado varias veces hasta que se muestre el menú de Opciones avanzadas de Windows, luego seleccione Modo seguro con símbolo de sistema de la lista y pulse ENTER.

Inicie su sistema en modo seguro con símbolo de sistema

2. Cuando el símbolo del sistema se cargue, introduzca la siguiente línea: cd restore y pulse ENTER.

restauración de sistema usando símbolo del sistema cd restore

3. Luego teclee esta línea: rstrui.exe y pulse ENTER.

restaurar sistema usando símbolo de sistema rstrui.exe

4. En la nueva pantalla, haga clic en "Siguiente".

restaurar archivos del sistema y configuraciones

5. Seleccione uno de los puntos de restauración disponibles y haga clic en "Siguiente" (se restaurará el sistema de su equipo a una fecha anterior antes de que el ransomware Puma se introdujera en su PC).

seleccione un punto de restauración

6. En la ventana abierta, haga clic en "Sí".

ejecutar restauración de sistema

7. Después de restaurar su sistema a un punto anterior, descargue y analice su PC con un software de seguridad antimalware recomendado para eliminar los remanentes del virus Puma.

Para restaurar individualmente cada archivo encriptado por este virus, pruebe con la función versiones anteriores de archivo. Este método es únicamente eficaz si la función de Restaurar sistema estaba activa en el sistema operativo infectado. Tenga en cuenta que algunas variantes de Puma eliminan las instantáneas de volumen de los ficheros, por lo que puede que este método no funcione en algunos equipos.

Para restaurar un archivo, haga clic con el botón derecho del ratón sobre el archivo, seleccione Propiedades y haga clic en la pestaña Versiones anteriores. Si el archivo en cuestión tiene su punto de restauración, selecciónelo y haga clic en el botón "Restaurar".

Restaurando archivos encriptados por CryptoDefense

Si no puede iniciar su sistema en modo seguro con funciones de red (o con símbolo de sistema), inicie su ordenador usando un disco de rescate. Algunos tipos de ransomware desactivan el modo seguro, por lo que la desinfección es más compleja. Para este paso, necesitará tener acceso a otro PC.

Para recuperar el control de los archivos encriptados por Puma, pruebe un programa llamado Shadow Explorer. Aquí podrá leer más información sobre cómo usar este programa.

captura de pantalla de shadow explorer

Para proteger su equipo de virus encriptadores de archivos, analice su sistema con programas antivirus y antiespía fiables. Como medida de protección extra, le recomendamos el programa HitmanPro.Alert y EasySync CryptoMonitor que introduce de forma artificial directivas de grupo en el registro para bloquear programas maliciosos como Puma.

Tenga en cuenta que la actualización Windows 10 Fall Creators incluye la función "Acceso controlado a carpetas" que bloquea los intentos de los virus encriptadores para cifrar sus archivos. Por defecto, esta función protege de forma automática los archivos almacenados en Documentos, Imágenes, Vídeos, Música, Favoritos, así como las carpetas del escritorio.

acceso controlado a carpetas

Los usuarios de Windows 10 deberían instalar esta actualización para proteger sus archivos frente a los cibersecuestros. Aquí verá más información de cómo puede conseguir esta actualización para incrementar la protección de su equipo frente a las infecciones ransomware.

HitmanPro.Alert CryptoGuard detecta el cifrado de archivos y neutraliza tales intentos sin la necesidad de que el usuario intervenga:

la aplicación hitmanproalert que protege del ransomware

Malwarebytes Anti-Ransomware Beta recurre a tecnología avanzada proactiva que supervisa la actividad de los virus secuestradores de equipos y la interrumpe de inmediato antes de que afecten a los archivos de los usuarios:

malwarebytes anti-ransomware

  • La mejor forma de evitar daños ocasionados por infecciones de tipo ransomware (secuestradores de sistemas) es realizando habitualmente copias de seguridad. Aquí encontrará más información sobre soluciones informáticas para realizar copias de seguridad y para recuperar datos.

Otras herramientas conocidas para eliminar el virus Puma:

Fuente: https://www.pcrisk.com/removal-guides/14095-puma-ransomware