Cibersecuestro Santa

Conocido también como: el virus Santa
Propagación: Baja
Nivel de peligrosidad: Extremo

Instrucciones para eliminar el cibersecuestro Santa

¿Qué es Santa?

Santa es un virus muy peligroso catalogado como cibersecuestro. Pertenece al la familia de virus encriptadores Dharma. La finalidad de Santa es encriptar archivos almacenados en el equipo de su víctima. Normalmente, los desarrolladores de cibersecuestros exigen pagar un rescate a cambio de una herramienta de descifrado o clave. Santa genera una ventana emergente con la petición de rescate y un archivo de texto "FILES ENCRYPTED.txt". También cambia el nombre de todos los archivos encriptados añadiendo la extensión ".santa" que contiene la dirección de e-mail y un identificador. Por ejemplo, los nombres de los archivos encriptados son cambiados de "1.jpg" a "1.jpg.id-1E857D00.[newsantaclaus@aol.com].santa" y así sucesivamente.

"FILES ENCRYPTED.txt" contiene una breve nota donde se informa que todos los datos han sido encriptados y para recuperarlos (desencriptarlos), las víctima de Santa deben contactar sus desarrolladores a través de la dirección de correo newsantaclaus@aol.com. Según la ventana emergente mostrada, todos los archivos fueron encriptados debidos a problemas de seguridad con el equipo. Los ciberdelincuentes facilitan un identificador que debería usarse al contactar con ellos a través de la dirección de correo mencionada anteriormente. No facilitan información sobre la cuantía de rescate; sin embargo, según ellos, depende de la rapidez con la que las víctimas contacten. De una forma u otra, el rescate debe pagarse en Bitcoins. Casi todos los ciberdelincuentes requieren que se paguen en criptomonedas. Los desarrolladores de Santa prometen facilitar una herramienta de desencriptación en cuanto se satisfagan las exigencias del rescate. También ofrecen una herramienta de descifrado para un archivo como prueba de que son de confianza y son capaces de desencriptar. Asimismo, instan a sus víctimas no usar ninguna otra herramienta de desencriptación (ni solicitar ayuda de terceros). Según ellos, esto podría dar lugar a la pérdida permanente de los datos o a un incremente en el precio de la desencriptación. No debe fiarse de los ciberdelincuentes, suelen ignorar con frecuencia a las víctimas incluso aun cuando se cumplen con las exigencias del rescate. Con otras palabras, no les ofrecen la herramienta de descifrado prometida o la clave. Por desgracia, los desarrolladores de cibersecuestros usan algoritmos (simétricos o asimétricos) que generan claves de descifrado únicas que se almacenan en servidores remotos (controlados solo por los ciberdelincuentes). Dicho claramente, a menudo son solo los únicos capaces de ofrecer a la víctima las herramientas o claves de desencriptación. Aparte, no hay una herramienta gratuita que sea capaz de saltarse la encriptación de Santa en este momento. La única solución gratuita en tales situaciones es usar una copia de seguridad creada y restaurar los archivos de ahí.

Captura de pantalla del mensaje donde se insta a los usuarios a pagar la recompensa para desencriptar los archivos afectados:

instrucciones desencriptación Santa

Casi todos los virus de tipo ransomware (como .shadow, Bkpx, Dablio y otros tantos) se parecen bastante entre sí. Por regla general, están diseñados para encriptar archivos y dejarlos así (hasta que se pague el rescate). Las diferencias más comunes están en la cuantía del rescate y el tipo de algoritmo usado para el descifrado. Por desgracia, la mayor parte de esas encriptaciones no pueden hackearse (son imposibles de crakear). Sin embargo, podría ser posible si el virus ransomware sigue en desarrollo o tiene algunos fallos o errores. Es siempre buena idea mantener copias de seguridad con regularidad y almacenarlas en un dispositivo de almacenamiento extraíble o servidores remotos.

¿Cómo llegó el cibersecuestro a mi equipo?

Para propagar el virus ransomware, los ciberdelincuentes suelen usar troyanos, correos basura, redes P2P, descargas de software no oficiales y actualizadores de software fraudulentos. Los troyanos son programas maliciosos que están diseñados para propagar otros virus. Si hay un troyano presente en un sistema, es muy probable que se inyecte otro software malicioso en consecuencia. Las campañas de correos basura contienen adjuntos de e-mails que si se abren, descargan o instalan software malicioso o infecciones como virus de tipo ransomware. Las herramientas de actualización de software falso infectan el sistema aprovechándose de errores en versiones de software antiguas o instalando malware en vez de la aplicación seleccionada. Las redes P2P y otras fuentes de descarga no oficiales como el alojamiento gratuito de archivos, descarga gratuita y otros sitios web que pueden usarse para presentar ejecutables maliciosos como software legítimo. Esto suele engañar a los usuarios para que descarguen e instalen virus ellos mismos. En conclusión, los principales motivos por lo que se infecta el equipo son un conocimiento insuficiente y un comportamiento imprudente.

Datos básicos de la amenaza:
Nombreel virus Santa
Tipo de amenazaRansomware, virus criptográfico, cibersecuestro
SíntomasNo se pueden abrir los archivos almacenados en el equipo, los archivos que antes funcionaban tienen ahora una extensión diferente, por ejemplo my.docx.locked. Se muestra un mensaje en el escritorio para pedir un rescate. Los ciberdelincuentes solicitan el pago de una suma (normalmente en Bitcoins) para desbloquear los archivos.
Formas de distribuciónAdjuntos por e-mail infectados (macros), sitios web torrent, anuncios maliciosos.
DañoTodos los archivos están cifrados y no pueden abrirse si no se ha pagado un rescate. Se pueden instalar otros troyanos que roban contraseñas e infecciones de malware junto con una infección ransomware.
Eliminación

Para eliminar el virus Santa, nuestros investigadores de software malicioso recomiendan analizar el equipo con Spyhunter.
▼ Descargar Spyhunter
Su detector gratuito verifica si su equipo está infectado. Para eliminar el software malicioso, tendrá que comprar la versión completa de Spyhunter.

¿Cómo protegerse de los cibersecuestros?

Tenga mucho cuidado al navegar por internet y al descargar e instalar software. No abra los adjuntos de correo sin cerciorarse de que son de confianza. Aquellos archivos que no sean interesantes o que hayan sido enviados por direcciones desconocidas o sospechosas no deberían abrirse nunca. Sus aplicaciones deberían descargarse de fuentes oficiales usando solo un enlace de descarga directa. Varios asistentes de instalación y descarga de terceros suelen incluir aplicaciones engañosas, de ahí que recomendemos evitar su uso. Es importante mantener instaladas las aplicaciones; sin embargo, recomendamos usar solo las funciones o herramientas integradas que han sido facilitadas por los desarrolladores oficiales. Es imprescindible tener instalada y en funcionamiento una solución fiable antivirus o antiespía. Suelen detectar y terminar los procesos del software malicioso antes de que hagan daño. Si su equipo está infectado ya con Santa, le recomendamos ejecutar un análisis con Spyhunter para eliminarlos de forma automática.

Texto mostrado en la ventana emergente del cibersecuestro Santa:

All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail newsantaclaus@aol.com
Write this ID in the title of your message 1E857D00
In case of no answer in 24 hours write us to theese e-mails:newsantaclaus@aol.com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 1 file for free decryption. The total size of files must be less than 1Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Captura de pantalla del archivo de texto de Santa:

archivo de texto el virus encriptador Santa

Texto mostrado en el archivo de texto del ransomware Santa "FILES ENCRYPTED.txt":

all your data has been locked us
You want to return?
write email newsantaclaus@aol.com

Captura de pantalla de archivos cifrados por Santa (extensión ".santa"):

archivos cifrados por Santa

Eliminar el cibersecuestro Santa:

Eliminar automáticamente de forma instantánea el virus Santa: Eliminar las amenazas de forma manual puede acabar siendo un proceso largo y tedioso que precisa de conocimientos informáticos avanzados. Spyhunter es una herramienta profesional para eliminar software malicioso de forma automática y está recomendada para acabar con el virus Santa. La descarga se iniciará al hacer clic en el siguiente botón:
▼ DESCARGAR Spyhunter Su detector gratuito verifica si su equipo está infectado. Para eliminar el software malicioso, tendrá que comprar la versión completa de Spyhunter. Si decide descargar este programa, quiere decir que usted está conforme con nuestra Política de privacidad y Condiciones de uso.

Menú rápido:

Paso 1

Usuarios de Windows XP y Windows 7: Inicie su equipo en modo seguro. Haga clic en Inicio, Apagar, Reiniciar y aceptar. Mientras el equipo arranca, pulse la tecla F8 en su teclado varias veces hasta que vea el menú de Opciones avanzadas de Windows, luego seleccione modo seguro con funciones de red de la lista.

Modo seguro con funciones de red

Este vídeo muestra cómo iniciar Windows 7 en "Modo seguro con funciones de red":

Usuarios de Windows 8: Inicie Windows 8 en modo seguro con funciones de red: Diríjase a la pantalla de inicio de Windows 8, escriba "avanzadas", en los resultados de búsqueda, seleccione "Cambiar opciones avanzadas de inicio". En la nueva ventana "Configuración de PC", vaya hasta la sección "Inicio avanzado".  Haga clic en el botón "Reiniciar ahora". Su PC se reiniciará ahora con el "Menú de opciones de arranque avanzadas". Haga clic en el botón de "Solucionar problemas", luego haga clic en el botón de "Opciones avanzadas". En la pantalla de opciones avanzadas, haga clic en "Configuración de inicio". Haga clic en el botón "Reiniciar". Su PC se reiniciará mostrando primero la pantalla de Configuración de inicio. Pulse F5 para arrancar en Modo seguro con funciones de red.

Modo seguro en Windows 8 con funciones de red

Este vídeo muestra cómo iniciar Windows 8 en "Modo seguro con funciones de red":

Usuarios de Windows 10: Haga clic en el logo de Windows y seleccione el icono de Inicio/Apagado. En el nuevo menú, haga clic en "Reiniciar" mientras mantiene pulsada la tecla "mayúsculas" en su teclado. En la ventana "seleccione una opción", haga clic en "Solucionar problemas" y luego en "Opciones avanzadas". En el menú de opciones avanzadas, seleccione "Configuración de inicio" y haga clic en el botón "Reiniciar". En la siguiente pantalla, tendrá que pulsar la tecla F5 de su teclado. Luego se reiniciará el sistema operativo en modo seguro con funciones de red

Modo seguro en Windows 10 con funciones de red

Este vídeo muestra cómo iniciar Windows 10 en "Modo seguro con funciones de red":

Paso 2

Inicie sesión con la cuenta que ha sido infectada con el virus Santa. Abra su navegador web y descargue un programa legítimo anti-spyware. Actualice el software antiespía e inicie un análisis de sistema completo. Elimine todas las entradas que se detecten

Si no puede arrancar su equipo en modo seguro con funciones de red, pruebe ejecutando una restauración del sistema.

Este vídeo muestra cómo eliminar el virus ransomware usando "Modo seguro con funciones de red" y "Restaurar sistema":

1. Durante el proceso de arranque de su ordenador, pulse la tecla F8 en su teclado varias veces hasta que se muestre el menú de Opciones avanzadas de Windows, luego seleccione Modo seguro con símbolo de sistema de la lista y pulse ENTER.

Inicie su sistema en modo seguro con símbolo de sistema

2. Cuando el símbolo del sistema se cargue, introduzca la siguiente línea: cd restore y pulse ENTER.

restauración de sistema usando símbolo del sistema cd restore

3. Luego teclee esta línea: rstrui.exe y pulse ENTER.

restaurar sistema usando símbolo de sistema rstrui.exe

4. En la nueva pantalla, haga clic en "Siguiente".

restaurar archivos del sistema y configuraciones

5. Seleccione uno de los puntos de restauración disponibles y haga clic en "Siguiente" (se restaurará el sistema de su equipo a una fecha anterior antes de que el ransomware Santa se introdujera en su PC).

seleccione un punto de restauración

6. En la ventana abierta, haga clic en "Sí".

ejecutar restauración de sistema

7. Después de restaurar su sistema a un punto anterior, descargue y analice su PC con un software de seguridad antimalware recomendado para eliminar los remanentes del virus Santa.

Para restaurar individualmente cada archivo encriptado por este virus, pruebe con la función versiones anteriores de archivo. Este método es únicamente eficaz si la función de Restaurar sistema estaba activa en el sistema operativo infectado. Tenga en cuenta que algunas variantes de Santa eliminan las instantáneas de volumen de los ficheros, por lo que puede que este método no funcione en algunos equipos.

Para restaurar un archivo, haga clic con el botón derecho del ratón sobre el archivo, seleccione Propiedades y haga clic en la pestaña Versiones anteriores. Si el archivo en cuestión tiene su punto de restauración, selecciónelo y haga clic en el botón "Restaurar".

Restaurando archivos encriptados por CryptoDefense

Si no puede iniciar su sistema en modo seguro con funciones de red (o con símbolo de sistema), inicie su ordenador usando un disco de rescate. Algunos tipos de ransomware desactivan el modo seguro, por lo que la desinfección es más compleja. Para este paso, necesitará tener acceso a otro PC.

Para recuperar el control de los archivos encriptados por Santa, pruebe un programa llamado Shadow Explorer. Aquí podrá leer más información sobre cómo usar este programa.

captura de pantalla de shadow explorer

Para proteger su equipo de virus encriptadores de archivos, analice su sistema con programas antivirus y antiespía fiables. Como medida de protección extra, le recomendamos el programa HitmanPro.Alert y EasySync CryptoMonitor que introduce de forma artificial directivas de grupo en el registro para bloquear programas maliciosos como Santa.

Tenga en cuenta que la actualización Windows 10 Fall Creators incluye la función "Acceso controlado a carpetas" que bloquea los intentos de los virus encriptadores para cifrar sus archivos. Por defecto, esta función protege de forma automática los archivos almacenados en Documentos, Imágenes, Vídeos, Música, Favoritos, así como las carpetas del escritorio.

acceso controlado a carpetas

Los usuarios de Windows 10 deberían instalar esta actualización para proteger sus archivos frente a los cibersecuestros. Aquí verá más información de cómo puede conseguir esta actualización para incrementar la protección de su equipo frente a las infecciones ransomware.

HitmanPro.Alert CryptoGuard detecta el cifrado de archivos y neutraliza tales intentos sin la necesidad de que el usuario intervenga:

la aplicación hitmanproalert que protege del ransomware

Malwarebytes Anti-Ransomware Beta recurre a tecnología avanzada proactiva que supervisa la actividad de los virus secuestradores de equipos y la interrumpe de inmediato antes de que afecten a los archivos de los usuarios:

malwarebytes anti-ransomware

  • La mejor forma de evitar daños ocasionados por infecciones de tipo ransomware (secuestradores de sistemas) es realizando habitualmente copias de seguridad. Aquí encontrará más información sobre soluciones informáticas para realizar copias de seguridad y para recuperar datos.

Otras herramientas conocidas para eliminar el virus Santa:

Fuente: https://www.pcrisk.com/removal-guides/14163-santa-ransomware

Acerca del autor:

Tomas Meskauskas

Me apasiona todo lo relacionado con seguridad informática y tecnología. Me avala una experiencia de más de 10 años trabajando para varias empresas de reparación de problemas técnicos y seguridad on-line. Como editor y autor de PCrisk, llevo trabajando desde 2010. Sígueme en Twitter y LinkedIn para no perderte nada sobre las últimas amenazas de seguridad en internet. Leer más sobre el autor.

El portal de seguridad PCrisk ha sido creado conjuntamente por varios investigadores de seguridad con el propósito de formar e informar a los usuarios sobre las últimas amenazas detectadas en internet. Podrá leer más información sobre los autores e investigadores que trabajan en PCrisk en nuestra página de Contacto.

Nuestras guías de desinfección de software malicioso son gratuitas. No obstante, si desea colaborar, puede realizar una donación.

Guías de desinfección en otros idiomas
Código QR
el virus Santa Código QR
Un código QR (código de respuesta rápida) es un código que puede ser escaneado usando dispositivos y que almacena direcciones web y otra información. Este código puede ser escaneado usando una cámara en un smartphone o tablet. Escanee este código QR para acceder fácilmente a la guía de desinfección de el virus Santa desde su dispositivo móvil.
Nuestra recomendación:

Despídase ya de el virus Santa:

▼ ELIMINAR AHORA con Spyhunter

Plataforma: Windows

Valoración de Spyhunter por parte del editor:
¡Excelente!

[Volver al principio]

Su detector gratuito verifica si su equipo está infectado. Para eliminar el software malicioso, tendrá que comprar la versión completa de Spyhunter.