Cibersecuestro Hidden Tear

Conocido también como: el virus Hidden Tear
Propagación: Baja
Nivel de peligrosidad: Extremo

Instrucciones para eliminar el virus encriptador Hidden Tear

¿Qué es Hidden Tear?

Hidden Tear es un proyecto de ransomware en código abierto que puede descargarse gratis por cualquiera en GitHub. Muchos ciberdelincuentes usan este proyecto para desarrollar sus propias versiones de cibersecuestro y generar beneficios de diversas formas. Aquí hay algunos ejemplos de tales virus: Qinynore, Nog4yH4n Project, IT.Books, OPdailyallowance, ScorpionLocker, Sorry, Cyber Police. Lo que hacen esos virus básicamente es infiltrarse silenciosamente en el sistema, cifrar casi todos los archivos almacenados, añadir varias extensiones (p. ej. ".anonymous", ".CRYPTR", ".good", ".ScorpionLocker", ".encrypted", ".locked" y otras tantas) a nombres de archivo y hacer peticiones de rescate.

Hidden Tear ha sido diseñado para usar el algoritmo criptográfico AES-256. Esta criptografía es simétrica, lo cual quiere decir que las claves de cifrado y descifrado son idénticas (la clave es exactamente la misma). Cada víctima recibe una clave única. Los ciberdelincuentes ocultan luego todas las claves en un servidor remoto y hacen peticiones de rescate. Con otras palabras, se insta a las víctimas a que paguen una determinada cantidad de dinero a cambio de la desencriptación. El precio puede variar de decenas a miles de dólares. Normalmente suele oscilar entre 500 y 1500 USD. Asimismo los ciberdelincuentes suelen pedir el pago en Bitcoins, Dash, Monero u otras criptomonedas. El problema está en que esas personas no son de fiar. Los ciberdelincuentes ignoran probablemente a sus víctimas una vez que realizan el pago. Por tanto, las víctimas que pagan no reciben nada a cambio. Simplemente están apoyando el negocio malicioso de estos delincuentes. Por este motivo, debe ignorar todas las peticiones de contacto con esas personas y no pagar ninguna recompensa. Anteriormente, casi todos los cibersecuestros basados en Hidden Tear eran indescifrables. Sin embargo, el investigador en seguridad de malware Michael Gillespie ha publicado recientemente una herramienta que recupera la clave de descifrado por fuerza bruta (enlace de descarga). También lanzó otra herramienta que permite desencriptar los datos usando la clave de recuperación (enlace de descarga). Por tanto, no hay ninguna necesidad de pagar nada. Podrá encontrar las instrucciones detalladas de la desencriptación en este artículo escrito por el investigador de seguridad de malware Lawrence Abrams.

instrucciones desencriptación Hidden Tear

Hay decenas de virus de tipo ransomware y aunque no todos ellos se basan en Hidden Tear, se parecen mucho entre sí. Casi todos ellos encriptan datos y hacen peticiones de rescate. Casi siempre, el tipo de algoritmo de cifrado y la cuantía del rescate son las únicas diferencias principales. Por desgracia, la mayor parte de esos virus usan RSA, AES y otros algoritmos que generan claves únicas de desencriptación. Por este motivo, es prácticamente imposible desencriptar los datos sin que intervengan los desarrolladores. La única posibilidad es ver si el ransomware está incompleto en cuanto a desarrollo o tiene ciertos fallos de seguridad Los virus de tipo encriptador nos recuerdan lo importante que es realizar frecuentemente copias de seguridad. Sin embargo, asegúrese de almacenarlas siempre en un servidor remoto (por ejemplo, la nube) o un dispositivo de almacenamiento extraíble (p. ej. disco duro externo).

¿Cómo llegó el cibersecuestro a mi equipo?

Los cibersecuestros se propagan de diversas formas. Sin embargo, las herramientas o métodos más populares son: campañas de correo basura, troyanos, descargas de software de terceros y asistentes falsos de actualizaciones de software. Las campañas de spam por e-mail se usan para enviar adjuntos maliciosos. Los ciberdelincuentes envían correos engañosos con la intención de hacer que los usuarios abran los archivos o enlaces adjuntos, que infiltran el virus del cibersecuestro. Los troyanos han sido diseñados para provocar infecciones en cadena. Con otras palabras, un virus propaga otro. Las fuentes no oficiales de distribución de software (redes P2P, sitios web de alojamiento de archivos, sitios web de descargas gratuitas, etc.) presentan los ejecutables maliciosos como software auténtico, lo cual confunde a los usuarios que acaban descargando y ejecutando ellos mismos el malware. Las herramientas de actualización de software falso infectan el sistema aprovechándose de errores en versiones de software antiguas o instalando malware en vez de la aplicación seleccionada.

Datos básicos de la amenaza:
Nombreel virus Hidden Tear
Tipo de amenazaRansomware, virus criptográfico, cibersecuestro
SíntomasNo se pueden abrir los archivos almacenados en el equipo, los archivos que antes funcionaban tienen ahora una extensión diferente, por ejemplo my.docx.locked. Se muestra un mensaje en el escritorio para pedir un rescate. Los ciberdelincuentes solicitan el pago de una suma (normalmente en Bitcoins) para desbloquear los archivos.
Formas de distribuciónAdjuntos por e-mail infectados (macros), sitios web torrent, anuncios maliciosos.
DañoTodos los archivos están cifrados y no pueden abrirse si no se ha pagado un rescate. Se pueden instalar otros troyanos que roban contraseñas e infecciones de malware junto con una infección ransomware.
Eliminación

Para eliminar el virus Hidden Tear, nuestros investigadores de software malicioso recomiendan analizar el equipo con Spyhunter.
▼ Descargar Spyhunter
Su detector gratuito verifica si su equipo está infectado. Para eliminar el software malicioso, tendrá que comprar la versión completa de Spyhunter.

¿Cómo protegerse de los cibersecuestros?

Para prevenir esta situación, es necesario saber que los dos motivos principales por las que se infecta el equipo son un conocimiento insuficiente y un comportamiento imprudente. La clave para la seguridad es la precaución. Por ello, es imprescindible tener mucho cuidado al navegar por internet o al descargar, instalar y actualizar software. Piénseselo dos veces antes de abrir adjuntos en correos. Si el archivo parece irrelevante y ha sido enviado por una dirección de correo sospechosa/desconocida, no la abra - elimine el e-mail de inmediato. Asegúrese de descargar los programas deseados de fuentes fiables a través de un enlace de descarga directo en vez de hacer uso de instaladores o asistentes de descarga de terceros. Lo mismo aplica a las actualizaciones de software, asegúrese de actualizar las apps instaladas a través de funciones de actualización integradas o herramientas facilitadas por los desarrolladores oficiales. Es imprescindible usar una solución fiable antivirus o antiespía; este software probablemente detecta y elimina software malicioso antes de que pase algo malo. Si su equipo está infectado ya con Hidden Tear, le recomendamos ejecutar un análisis con Spyhunter para eliminarlos de forma automática.

Captura de pantalla de la herramienta desencriptadora de Hidden Tear desarrollada por Michael Gillespie (enlace de descarga):

desencriptar por fuerza bruta Hidden Tear por Michael Gillespie

Captura de pantalla del desencriptador de Hidden Tear desarrollado por Michael Gillespie (enlace de descarga):

desencriptador Hidden Tear por Michael Gillespie

Captura de pantalla de archivos encriptados por el ransomware Qinynore basado en Hidden Tear (extensión ".anonymous"):

archivos cifrados por Qinynore

Eliminar el cibersecuestro Hidden Tear:

Eliminar automáticamente de forma instantánea el virus Hidden Tear: Eliminar las amenazas de forma manual puede acabar siendo un proceso largo y tedioso que precisa de conocimientos informáticos avanzados. Spyhunter es una herramienta profesional para eliminar software malicioso de forma automática y está recomendada para acabar con el virus Hidden Tear. La descarga se iniciará al hacer clic en el siguiente botón:
▼ DESCARGAR Spyhunter Su detector gratuito verifica si su equipo está infectado. Para eliminar el software malicioso, tendrá que comprar la versión completa de Spyhunter. Si decide descargar este programa, quiere decir que usted está conforme con nuestra Política de privacidad y Condiciones de uso.

Menú rápido:

Paso 1

Usuarios de Windows XP y Windows 7: Inicie su equipo en modo seguro. Haga clic en Inicio, Apagar, Reiniciar y aceptar. Mientras el equipo arranca, pulse la tecla F8 en su teclado varias veces hasta que vea el menú de Opciones avanzadas de Windows, luego seleccione modo seguro con funciones de red de la lista.

Modo seguro con funciones de red

Este vídeo muestra cómo iniciar Windows 7 en "Modo seguro con funciones de red":

Usuarios de Windows 8: Inicie Windows 8 en modo seguro con funciones de red: Diríjase a la pantalla de inicio de Windows 8, escriba "avanzadas", en los resultados de búsqueda, seleccione "Cambiar opciones avanzadas de inicio". En la nueva ventana "Configuración de PC", vaya hasta la sección "Inicio avanzado".  Haga clic en el botón "Reiniciar ahora". Su PC se reiniciará ahora con el "Menú de opciones de arranque avanzadas". Haga clic en el botón de "Solucionar problemas", luego haga clic en el botón de "Opciones avanzadas". En la pantalla de opciones avanzadas, haga clic en "Configuración de inicio". Haga clic en el botón "Reiniciar". Su PC se reiniciará mostrando primero la pantalla de Configuración de inicio. Pulse F5 para arrancar en Modo seguro con funciones de red.

Modo seguro en Windows 8 con funciones de red

Este vídeo muestra cómo iniciar Windows 8 en "Modo seguro con funciones de red":

Usuarios de Windows 10: Haga clic en el logo de Windows y seleccione el icono de Inicio/Apagado. En el nuevo menú, haga clic en "Reiniciar" mientras mantiene pulsada la tecla "mayúsculas" en su teclado. En la ventana "seleccione una opción", haga clic en "Solucionar problemas" y luego en "Opciones avanzadas". En el menú de opciones avanzadas, seleccione "Configuración de inicio" y haga clic en el botón "Reiniciar". En la siguiente pantalla, tendrá que pulsar la tecla F5 de su teclado. Luego se reiniciará el sistema operativo en modo seguro con funciones de red

Modo seguro en Windows 10 con funciones de red

Este vídeo muestra cómo iniciar Windows 10 en "Modo seguro con funciones de red":

Paso 2

Inicie sesión con la cuenta que ha sido infectada con el virus Hidden Tear. Abra su navegador web y descargue un programa legítimo anti-spyware. Actualice el software antiespía e inicie un análisis de sistema completo. Elimine todas las entradas que se detecten

Si no puede arrancar su equipo en modo seguro con funciones de red, pruebe ejecutando una restauración del sistema.

Este vídeo muestra cómo eliminar el virus ransomware usando "Modo seguro con funciones de red" y "Restaurar sistema":

1. Durante el proceso de arranque de su ordenador, pulse la tecla F8 en su teclado varias veces hasta que se muestre el menú de Opciones avanzadas de Windows, luego seleccione Modo seguro con símbolo de sistema de la lista y pulse ENTER.

Inicie su sistema en modo seguro con símbolo de sistema

2. Cuando el símbolo del sistema se cargue, introduzca la siguiente línea: cd restore y pulse ENTER.

restauración de sistema usando símbolo del sistema cd restore

3. Luego teclee esta línea: rstrui.exe y pulse ENTER.

restaurar sistema usando símbolo de sistema rstrui.exe

4. En la nueva pantalla, haga clic en "Siguiente".

restaurar archivos del sistema y configuraciones

5. Seleccione uno de los puntos de restauración disponibles y haga clic en "Siguiente" (se restaurará el sistema de su equipo a una fecha anterior antes de que el ransomware Hidden Tear se introdujera en su PC).

seleccione un punto de restauración

6. En la ventana abierta, haga clic en "Sí".

ejecutar restauración de sistema

7. Después de restaurar su sistema a un punto anterior, descargue y analice su PC con un software de seguridad antimalware recomendado para eliminar los remanentes del virus Hidden Tear.

Para restaurar individualmente cada archivo encriptado por este virus, pruebe con la función versiones anteriores de archivo. Este método es únicamente eficaz si la función de Restaurar sistema estaba activa en el sistema operativo infectado. Tenga en cuenta que algunas variantes de Hidden Tear eliminan las instantáneas de volumen de los ficheros, por lo que puede que este método no funcione en algunos equipos.

Para restaurar un archivo, haga clic con el botón derecho del ratón sobre el archivo, seleccione Propiedades y haga clic en la pestaña Versiones anteriores. Si el archivo en cuestión tiene su punto de restauración, selecciónelo y haga clic en el botón "Restaurar".

Restaurando archivos encriptados por CryptoDefense

Si no puede iniciar su sistema en modo seguro con funciones de red (o con símbolo de sistema), inicie su ordenador usando un disco de rescate. Algunos tipos de ransomware desactivan el modo seguro, por lo que la desinfección es más compleja. Para este paso, necesitará tener acceso a otro PC.

Para recuperar el control de los archivos encriptados por Hidden Tear, pruebe un programa llamado Shadow Explorer. Aquí podrá leer más información sobre cómo usar este programa.

captura de pantalla de shadow explorer

Para proteger su equipo de virus encriptadores de archivos, analice su sistema con programas antivirus y antiespía fiables. Como medida de protección extra, le recomendamos el programa HitmanPro.Alert y EasySync CryptoMonitor que introduce de forma artificial directivas de grupo en el registro para bloquear programas maliciosos como Hidden Tear.

Tenga en cuenta que la actualización Windows 10 Fall Creators incluye la función "Acceso controlado a carpetas" que bloquea los intentos de los virus encriptadores para cifrar sus archivos. Por defecto, esta función protege de forma automática los archivos almacenados en Documentos, Imágenes, Vídeos, Música, Favoritos, así como las carpetas del escritorio.

acceso controlado a carpetas

Los usuarios de Windows 10 deberían instalar esta actualización para proteger sus archivos frente a los cibersecuestros. Aquí verá más información de cómo puede conseguir esta actualización para incrementar la protección de su equipo frente a las infecciones ransomware.

HitmanPro.Alert CryptoGuard detecta el cifrado de archivos y neutraliza tales intentos sin la necesidad de que el usuario intervenga:

la aplicación hitmanproalert que protege del ransomware

Malwarebytes Anti-Ransomware Beta recurre a tecnología avanzada proactiva que supervisa la actividad de los virus secuestradores de equipos y la interrumpe de inmediato antes de que afecten a los archivos de los usuarios:

malwarebytes anti-ransomware

  • La mejor forma de evitar daños ocasionados por infecciones de tipo ransomware (secuestradores de sistemas) es realizando habitualmente copias de seguridad. Aquí encontrará más información sobre soluciones informáticas para realizar copias de seguridad y para recuperar datos.

Otras herramientas conocidas para eliminar el virus Hidden Tear:

Fuente: https://www.pcrisk.com/removal-guides/14196-hidden-tear-ransomware

Acerca del autor:

Tomas Meskauskas

Me apasiona todo lo relacionado con seguridad informática y tecnología. Me avala una experiencia de más de 10 años trabajando para varias empresas de reparación de problemas técnicos y seguridad on-line. Como editor y autor de PCrisk, llevo trabajando desde 2010. Sígueme en Twitter y LinkedIn para no perderte nada sobre las últimas amenazas de seguridad en internet. Leer más sobre el autor.

El portal de seguridad PCrisk ha sido creado conjuntamente por varios investigadores de seguridad con el propósito de formar e informar a los usuarios sobre las últimas amenazas detectadas en internet. Podrá leer más información sobre los autores e investigadores que trabajan en PCrisk en nuestra página de Contacto.

Nuestras guías de desinfección de software malicioso son gratuitas. No obstante, si desea colaborar, puede realizar una donación.

Guías de desinfección en otros idiomas
Código QR
el virus Hidden Tear Código QR
Un código QR (código de respuesta rápida) es un código que puede ser escaneado usando dispositivos y que almacena direcciones web y otra información. Este código puede ser escaneado usando una cámara en un smartphone o tablet. Escanee este código QR para acceder fácilmente a la guía de desinfección de el virus Hidden Tear desde su dispositivo móvil.
Nuestra recomendación:

Despídase ya de el virus Hidden Tear:

▼ ELIMINAR AHORA con Spyhunter

Plataforma: Windows

Valoración de Spyhunter por parte del editor:
¡Excelente!

[Volver al principio]

Su detector gratuito verifica si su equipo está infectado. Para eliminar el software malicioso, tendrá que comprar la versión completa de Spyhunter.