Cibersecuestro .shadow

Conocido también como: el virus .shadow
Propagación: Baja
Nivel de peligrosidad: Extremo

Instrucciones para eliminar el virus criptográfico .shadow

¿Qué es .shadow?

.shadow es una infección informática que está clasificada como cibersecuestro. Es una nueva versión del virus criptográfico STOP. Como muchas otras infecciones de tipo criptográfico, .shadow está diseñado para cifrar los datos almacenados en los equipos de las víctimas y para pagar un rescate. Los nombres de todos los archivos bloqueados se cambian añadiendo la extensión ".shadow", por ejemplo, un archivo con nombre "1.jpg" pasará a llamarse "1.jpg.shadow" una vez encriptado. Se presenta un mensaje de petición de rescate en un archivo de texto llamado "!readme.txt".

Según el mensaje de petición de rescate en "!readme.txt", todos los archivos de las víctimas de .shadow son cifrados; para desbloquearlos, se requiere contactar con los ciberdelincuentes a través de los correos electrónicos helpshadow@india.com o helpshadow@firemail.cc. Una vez contactados, los desarrolladores de cibersecuestros pondrán un precio a la herramienta de desencriptación que se facilitará a las víctimas cuando paguen el rescate. También ofrecen una herramienta de descifrado para un archivo (que no contenga información valiosa) como prueba de que es fiable y son capaces de desencriptar. Asimismo, los desarrolladores de .shadow ofrecen un descuento de 50 % a las víctimas si contactan con ellos en menos de 72 horas. Sin embargo, instan también a los usuarios a que no usen otras herramientas más que las suyas para descifrar los datos, ya que, según ellos, se perderían los datos de forma permanente. Por desgracia, es muy probable que los desarrolladores de .shadow sean realmente los únicos que puedan facilitar a sus víctimas una herramienta de descifrado. Normalmente, los ciberdelincuentes usan algoritmos que generan claves de descifrado únicas que se almacenan en servidores remotos. Eso imposibilita desencriptar los datos sin que intervengan los ciberdelincuentes (los desarrolladores del ransomware en particular). Sin embargo, suelen ignorar a sus víctimas aunque se hayan satisfecho las exigencias del rescate. Por ello, no recomendamos contactar con ellos y, en ningún caso, pagar el rescate. Esto quiere decir que la única y mejor forma de restaurar sus archivos es usar una copia de seguridad de Windows.

Captura de pantalla del mensaje donde se insta a los usuarios a pagar la recompensa para desencriptar los archivos afectados:

instrucciones desencriptación .shadow

.shadow no es muy diferente de otros virus de este tipo, otros ejemplos son Bkpx, Dablio y GandCrab 5.0.9. Casi todas las infecciones de tipo ransomware han sido diseñadas para encriptar datos y dejarlos así hasta que se pague el rescate o se compre la clave de la herramienta de descifrado. Las diferencias más comunes están en la cuantía del rescate y el tipo de algoritmo usado para encriptar los archivos. Sin embargo, casi nunca es posible franquear esas infecciones a no ser que estén sin acabar (falte desarrollo) o tengan algún error o fallo de seguridad. Es siempre buena idea mantener copias de seguridad con regularidad y almacenarlas en un dispositivo de almacenamiento extraíble o servidores remotos. Es una buena prevención para que los ciberdelincuentes no los encripten junto con otros datos habituales.

¿Cómo llegó el cibersecuestro a mi equipo?

Es difícil establecer qué método exacto usaron los ciberdelincuentes este cibersecuestro; sin embargo, casi todos usan más o menos las mismas tácticas. Normalmente, usan campañas de correo basura, troyanos, herramientas falsas de actualización o fuentes de descarga de dudosa fiabilidad. Las campañas de correo basura son correos que contienen adjuntos maliciosos. Esos adjuntos, una vez abiertos (ejecutados), infectan equipos con un virus en particular. Los troyanos son programas maliciosos usados para infectar equipos con infecciones en cadena. Con pocas palabras, la existencia de un troyano instalado ocasionará con toda probabilidad otras infecciones también. Los falsos asistentes de actualización de software se aprovechan de los fallos del sofware desactualizado e instalan virus en vez de actualizaciones. Las fuentes de descargas dudosas no oficiales  son varias redes P2P, asistentes de descargas de terceros, sitios web de descargas gratuitas y alojamiento de archivos. Los ciberdelincuentes usan estas fuentes como herramientas para presentar sus virus como archivos ejecutables legítimos (u otros). Al descargar e instalarlos, los usuarios son engañados para que infecten el equipo ellos mismos.

Datos básicos de la amenaza:
Nombreel virus .shadow
Tipo de amenazaRansomware, virus criptográfico, cibersecuestro
SíntomasNo se pueden abrir los archivos almacenados en el equipo, los archivos que antes funcionaban tienen ahora una extensión diferente, por ejemplo my.docx.locked. Se muestra un mensaje en el escritorio para pedir un rescate. Los ciberdelincuentes solicitan el pago de una suma (normalmente en Bitcoins) para desbloquear los archivos.
Formas de distribuciónAdjuntos por e-mail infectados (macros), sitios web torrent, anuncios maliciosos.
DañoTodos los archivos están cifrados y no pueden abrirse si no se ha pagado un rescate. Se pueden instalar otros troyanos que roban contraseñas e infecciones de malware junto con una infección ransomware.
Eliminación

Para eliminar el virus .shadow, nuestros investigadores de software malicioso recomiendan analizar el equipo con Spyhunter.
▼ Descargar Spyhunter
Su detector gratuito verifica si su equipo está infectado. Para eliminar el software malicioso, tendrá que comprar la versión completa de Spyhunter.

¿Cómo protegerse de los cibersecuestros?

Descargue sus programas usando sitios web oficiales de confianza, no las redes P2P, asistentes de descarga de terceros u otras fuentes de dudosa fiabilidad. Tenga en cuenta que varios asistentes engañosos (descargados en fuentes dudosas) pueden ser destinados para propagar apps no deseadas o infecciones. Evite descargar y abrir adjuntos (y enlaces web) en correos electrónicos enviados por direcciones de correo desconocidas o sospechosas, o si esos correos son irrelevantes. Actualice su software usando solo las funciones o herramientas facilitados por desarrolladores oficiales. Finalmente, tenga instalado y siempre en funcionamiento un software reputable antivirus y antiespía. Tales herramientas sirven para evitar que los sistemas se infecten con varios virus. Si su equipo está infectado ya con .shadow, le recomendamos ejecutar un análisis con Spyhunter para eliminarlos de forma automática.

Texto mostrado en el archivo de texto del ransomware .shadow:

------------------ALL YOUR FILES ARE ENCRYPTED----------------

Don't worry, you can return all your files!
All your files documents, photos, databases and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees do we give to you?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information
Don't try to use third-party decrypt tools because it will destroy your files.
Discount 50% available if you contact us first 72 hours.

--------------------------------------------------------------


To get this software you need write on our e-mail:
helpshadow@india.com

Reserve e-mail address to contact us:
helpshadow@firemail.cc

Your personal ID:
012jxBsekmbsbWq95KRBM2C58yQsZj6GVAPi2VPoUGy

Captura de pantalla de archivos cifrados por .shadow (extensión ".shadow"):

archivos cifrados por ..shadow

Eliminar el cibersecuestro .shadow:

Eliminar automáticamente de forma instantánea el virus .shadow: Eliminar las amenazas de forma manual puede acabar siendo un proceso largo y tedioso que precisa de conocimientos informáticos avanzados. Spyhunter es una herramienta profesional para eliminar software malicioso de forma automática y está recomendada para acabar con el virus .shadow. La descarga se iniciará al hacer clic en el siguiente botón:
▼ DESCARGAR Spyhunter Su detector gratuito verifica si su equipo está infectado. Para eliminar el software malicioso, tendrá que comprar la versión completa de Spyhunter. Si decide descargar este programa, quiere decir que usted está conforme con nuestra Política de privacidad y Condiciones de uso.

Menú rápido:

Paso 1

Usuarios de Windows XP y Windows 7: Inicie su equipo en modo seguro. Haga clic en Inicio, Apagar, Reiniciar y aceptar. Mientras el equipo arranca, pulse la tecla F8 en su teclado varias veces hasta que vea el menú de Opciones avanzadas de Windows, luego seleccione modo seguro con funciones de red de la lista.

Modo seguro con funciones de red

Este vídeo muestra cómo iniciar Windows 7 en "Modo seguro con funciones de red":

Usuarios de Windows 8: Inicie Windows 8 en modo seguro con funciones de red: Diríjase a la pantalla de inicio de Windows 8, escriba "avanzadas", en los resultados de búsqueda, seleccione "Cambiar opciones avanzadas de inicio". En la nueva ventana "Configuración de PC", vaya hasta la sección "Inicio avanzado".  Haga clic en el botón "Reiniciar ahora". Su PC se reiniciará ahora con el "Menú de opciones de arranque avanzadas". Haga clic en el botón de "Solucionar problemas", luego haga clic en el botón de "Opciones avanzadas". En la pantalla de opciones avanzadas, haga clic en "Configuración de inicio". Haga clic en el botón "Reiniciar". Su PC se reiniciará mostrando primero la pantalla de Configuración de inicio. Pulse F5 para arrancar en Modo seguro con funciones de red.

Modo seguro en Windows 8 con funciones de red

Este vídeo muestra cómo iniciar Windows 8 en "Modo seguro con funciones de red":

Usuarios de Windows 10: Haga clic en el logo de Windows y seleccione el icono de Inicio/Apagado. En el nuevo menú, haga clic en "Reiniciar" mientras mantiene pulsada la tecla "mayúsculas" en su teclado. En la ventana "seleccione una opción", haga clic en "Solucionar problemas" y luego en "Opciones avanzadas". En el menú de opciones avanzadas, seleccione "Configuración de inicio" y haga clic en el botón "Reiniciar". En la siguiente pantalla, tendrá que pulsar la tecla F5 de su teclado. Luego se reiniciará el sistema operativo en modo seguro con funciones de red

Modo seguro en Windows 10 con funciones de red

Este vídeo muestra cómo iniciar Windows 10 en "Modo seguro con funciones de red":

Paso 2

Inicie sesión con la cuenta que ha sido infectada con el virus .shadow. Abra su navegador web y descargue un programa legítimo anti-spyware. Actualice el software antiespía e inicie un análisis de sistema completo. Elimine todas las entradas que se detecten

Si no puede arrancar su equipo en modo seguro con funciones de red, pruebe ejecutando una restauración del sistema.

Este vídeo muestra cómo eliminar el virus ransomware usando "Modo seguro con funciones de red" y "Restaurar sistema":

1. Durante el proceso de arranque de su ordenador, pulse la tecla F8 en su teclado varias veces hasta que se muestre el menú de Opciones avanzadas de Windows, luego seleccione Modo seguro con símbolo de sistema de la lista y pulse ENTER.

Inicie su sistema en modo seguro con símbolo de sistema

2. Cuando el símbolo del sistema se cargue, introduzca la siguiente línea: cd restore y pulse ENTER.

restauración de sistema usando símbolo del sistema cd restore

3. Luego teclee esta línea: rstrui.exe y pulse ENTER.

restaurar sistema usando símbolo de sistema rstrui.exe

4. En la nueva pantalla, haga clic en "Siguiente".

restaurar archivos del sistema y configuraciones

5. Seleccione uno de los puntos de restauración disponibles y haga clic en "Siguiente" (se restaurará el sistema de su equipo a una fecha anterior antes de que el ransomware .shadow se introdujera en su PC).

seleccione un punto de restauración

6. En la ventana abierta, haga clic en "Sí".

ejecutar restauración de sistema

7. Después de restaurar su sistema a un punto anterior, descargue y analice su PC con un software de seguridad antimalware recomendado para eliminar los remanentes del virus .shadow.

Para restaurar individualmente cada archivo encriptado por este virus, pruebe con la función versiones anteriores de archivo. Este método es únicamente eficaz si la función de Restaurar sistema estaba activa en el sistema operativo infectado. Tenga en cuenta que algunas variantes de .shadow eliminan las instantáneas de volumen de los ficheros, por lo que puede que este método no funcione en algunos equipos.

Para restaurar un archivo, haga clic con el botón derecho del ratón sobre el archivo, seleccione Propiedades y haga clic en la pestaña Versiones anteriores. Si el archivo en cuestión tiene su punto de restauración, selecciónelo y haga clic en el botón "Restaurar".

Restaurando archivos encriptados por CryptoDefense

Si no puede iniciar su sistema en modo seguro con funciones de red (o con símbolo de sistema), inicie su ordenador usando un disco de rescate. Algunos tipos de ransomware desactivan el modo seguro, por lo que la desinfección es más compleja. Para este paso, necesitará tener acceso a otro PC.

Para recuperar el control de los archivos encriptados por .shadow, pruebe un programa llamado Shadow Explorer. Aquí podrá leer más información sobre cómo usar este programa.

captura de pantalla de shadow explorer

Para proteger su equipo de virus encriptadores de archivos, analice su sistema con programas antivirus y antiespía fiables. Como medida de protección extra, le recomendamos el programa HitmanPro.Alert y EasySync CryptoMonitor que introduce de forma artificial directivas de grupo en el registro para bloquear programas maliciosos como .shadow.

Tenga en cuenta que la actualización Windows 10 Fall Creators incluye la función "Acceso controlado a carpetas" que bloquea los intentos de los virus encriptadores para cifrar sus archivos. Por defecto, esta función protege de forma automática los archivos almacenados en Documentos, Imágenes, Vídeos, Música, Favoritos, así como las carpetas del escritorio.

acceso controlado a carpetas

Los usuarios de Windows 10 deberían instalar esta actualización para proteger sus archivos frente a los cibersecuestros. Aquí verá más información de cómo puede conseguir esta actualización para incrementar la protección de su equipo frente a las infecciones ransomware.

HitmanPro.Alert CryptoGuard detecta el cifrado de archivos y neutraliza tales intentos sin la necesidad de que el usuario intervenga:

la aplicación hitmanproalert que protege del ransomware

Malwarebytes Anti-Ransomware Beta recurre a tecnología avanzada proactiva que supervisa la actividad de los virus secuestradores de equipos y la interrumpe de inmediato antes de que afecten a los archivos de los usuarios:

malwarebytes anti-ransomware

  • La mejor forma de evitar daños ocasionados por infecciones de tipo ransomware (secuestradores de sistemas) es realizando habitualmente copias de seguridad. Aquí encontrará más información sobre soluciones informáticas para realizar copias de seguridad y para recuperar datos.

Otras herramientas conocidas para eliminar el virus .shadow:

Fuente: https://www.pcrisk.com/removal-guides/14152-shadow-ransomware