Ransomware Adobe

Conocido también como: el virus Adobe
Propagación: Media
Nivel de peligrosidad: Extremo

Instrucciones para eliminar el cibersecuestro Adobe

¿Qué es Adobe?

Adobe es un virus de alto riesgo catalogado como ransomware (cibersecuestro). El virus pertenece a la familia de virus encriptadores Dharma y fue descubierto por primera vez por S!Ri. Los desarrolladores de Adobe (ciberdelincuentes) lo usan para dañar el sistema encriptando archivos (dejándolos inutilizables). Una vez que se ha introducido en el sistema, el encriptador Adobe muestra un mensaje de petición de rescate (ventana emergente) crea un archivo de texto "FILES ENCRYPTED.txt" y cambia el nombre de cada archivo encriptado añadiendo la extensión ".adobe" más un identificador único y una dirección de correo. Por ejemplo, el archivo "1.jpg" pasa a llamarse "1.jpg.id-1E857D00.[stopencrypt@qq.com].adobe" y así sucesivamente. Adobe puede encontrarse y ser identificado en el Administrador de tareas como "BulkFileChanger (32bit)". Otras versiones de este ransomware usan las extensiones ".[abibo@protonmail.com].adobe", ".[mercarinotitia@qq.com].adobe", ".[manpecamet1974@aol.com].adobe", ".[kush888@cock.li].adobe" and ".[avflantuheems1984@aol.com].adobe" en archivos encriptados.

El archivo de texto "FILES ENCRYPTED.txt" contiene un breve mensaje donde se dice que todos los archivos han sido bloqueados (encriptados) y hay una dirección de e-mail para contactar con los desarrolladores de Adobe. Según la ventana emergente donde se pide el rescate, todos los archivos han sido bloqueados por un "problema de seguridad con el PC". Para recuperar sus archivos, los usuarios han de contactar con los ciberdelincuentes a través de la dirección stopencrypt@qq.com; sin embargo, como ocurre con casi todos los desarrolladores de ransomware, los desarrolladores de Adobe hacen peticiones de rescate. El coste del descifrado es desconocido; sin embargo, según los desarrolladores de Adobes, todo depende de cómo de rápido contacten las víctimas. Asimismo, ofrecen una desencriptación gratuita de un archivo como "garantía" de que pueden ser de confianza. Prometen enviar una herramienta de descifrado en cuanto se realice el pago (en Bitcoins). Asimismo, los desarrolladores del ransomware Adobe desaconsejan a sus víctimas intentar desencriptar sus archivos usando otro software diferente. Según ellos, ese tipo de acciones podría tener como consecuencia la pérdida permanente de los datos y un mayor coste de descifrado. Sepa que no debe fiarse de la mayor parte de los ciberdelincuentes, normalmente ignoran a las víctimas y no ofrecen las herramientas de descifrado prometidas, aun cuando se ha pagado el rescate. No contacte con los desarrolladores de Adobe. La única forma de recuperar los archivos bloqueados sin ningún coste es usando una copia de seguridad existente. No existen herramientas capaces de saltarse la criptografía de Adobe sin ningún coste (al menos, aún no).

Captura de pantalla del mensaje donde se insta a los usuarios a pagar la recompensa para desencriptar los archivos afectados:

instrucciones desencriptación Adobe

Otros virus de tipo criptográfico similares a Adobe incluyen Impect, AUDIT, Supportfiless24, Ox4444 y otros tantos. Con frecuencia, los virus ransomware encriptan los archivos y los dejan así hasta que se pague el rescate. Las únicas diferencias entre esos virus son la cuantía del rescate y la criptografía usada para el cifrado de los archivos. Aún no se sabe qué criptografía usan los desarrolladores de Adobe; sin embargo, suele ser un algoritmo simétrico o asimétrico. En cualquier caso, la mayor parte de los virus ransomware no pueden hackearse a no ser que el virus siga en desarrollo o tenga errores/fallos de seguridad. Por tanto, recomendamos que mantenga copias de seguridad con regularidad y las almacene en dispositivos de almacenamiento extraíbles o servidores remotos (de lo contrario, las copias de seguridad podrías encriptarse con otros archivos).

¿Cómo llegó el cibersecuestro a mi equipo?

No se sabe exactamente cómo los desarrolladores de Adobe propagan este ransomware; sin embargo, los métodos comunes incluyen campañas de correo basura, actualizadores falsos de software, troyanos y descargas de terceros. Para propagar esos virus a través de campañas de correo basura, los ciberdelincuentes envían correos que contienen adjuntos maliciosos. Para infectar los equipos, se les tiene que dar acceso en primer lugar. Los ciberdelincuentes intentan engañar a la gente para que abran esos archivos presentándolos como documentos fiables (archivos de Microsoft Office, PDF, ejecutables, etc.). Los actualizadores de software falsos infectan los sistemas descargando aplicaciones o software malicioso engañoso en vez de actualizaciones prometidas o aprovechándose de errores y fallos de seguridad en el software desactualizado. Los troyanos son virus que ocasionan infecciones en cadena. Si un troyano se instala en un equipo, infectará equipos con otros virus. Los sitios web de alojamiento de archivos gratuitos, redes P2P, sitios web de descarga de software gratuito, descargadores e instaladores de software de terceros suelen usarse presentándose archivos maliciosos como legítimos. Los ciberdelincuentes usan esos métodos para engañar a gente para instalar virus.

Datos básicos de la amenaza:
Nombreel virus Adobe
Tipo de amenazaRansomware, virus criptográfico, cibersecuestro
SíntomasNo se pueden abrir los archivos almacenados en el equipo, los archivos que antes funcionaban tienen ahora una extensión diferente, por ejemplo my.docx.locked. Se muestra un mensaje en el escritorio para pedir un rescate. Los ciberdelincuentes solicitan el pago de una suma (normalmente en Bitcoins) para desbloquear los archivos.
Formas de distribuciónAdjuntos por e-mail infectados (macros), sitios web torrent, anuncios maliciosos.
DañoTodos los archivos están cifrados y no pueden abrirse si no se ha pagado un rescate. Se pueden instalar otros troyanos que roban contraseñas e infecciones de malware junto con una infección ransomware.
Eliminación

Para eliminar el virus Adobe, nuestros investigadores de software malicioso recomiendan analizar el equipo con Spyhunter.
▼ Descargar Spyhunter
Su detector gratuito verifica si su equipo está infectado. Para eliminar el software malicioso, tendrá que comprar la versión completa de Spyhunter.

¿Cómo protegerse de los cibersecuestros?

Vaya con cuidado al abrir adjuntos (o enlaces) que se presentan en correos recibidos por direcciones desconocidas, sospechosas o similares. Use fuentes oficiales o de confianza para descargar software y evite usar asistentes de descarga de terceros y otras fuentes similares. Actualice software usando herramientas o funciones facilitadas solo por los desarrolladores oficiales. Tenga un software antivirus o antiespía instalado que tenga reputación y téngalo activo siempre. Esos programas son capaces de detectar virus antes de que hagan ningún daño. Si su equipo está infectado ya con Adobe, le recomendamos ejecutar un análisis con Spyhunter para eliminarlos de forma automática.

Texto mostrado en la ventana emergente del ransomware Adobe:

All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail stopencrypt@qq.com
Write this ID in the title of your message 1E857D00
In case of no answer in 24 hours write us to theese e-mails:stopencrypt@qq.com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 1 file for free decryption. The total size of files must be less than 1Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
https://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Captura de pantalla del archivo de texto Adobe ("FILES ENCRYPTED.txt"):

archivo de texto Adobe

Texto mostrado en el archivo de texto del ransomware Adobe:

all your data has been locked us
You want to return?
write email stopencrypt@qq.com

Captura de pantalla de archivos encriptados por Adobe (extensión ".adobe"):

Files encrypted by Adobe

Captura de pantalla del proceso de ransomware Adobe ("BulkFileChanger (32bit)") en el Administrador de tareas:

Adobe ransomware BulkFileChanger process in Task Manager

Eliminar el ransomware Adobe:

Eliminar automáticamente de forma instantánea el virus Adobe: Eliminar las amenazas de forma manual puede acabar siendo un proceso largo y tedioso que precisa de conocimientos informáticos avanzados. Spyhunter es una herramienta profesional para eliminar software malicioso de forma automática y está recomendada para acabar con el virus Adobe. La descarga se iniciará al hacer clic en el siguiente botón:
▼ DESCARGAR Spyhunter Su detector gratuito verifica si su equipo está infectado. Para eliminar el software malicioso, tendrá que comprar la versión completa de Spyhunter. Si decide descargar este programa, quiere decir que usted está conforme con nuestra Política de privacidad y Condiciones de uso.

Menú rápido:

Paso 1

Usuarios de Windows XP y Windows 7: Inicie su equipo en modo seguro. Haga clic en Inicio, Apagar, Reiniciar y aceptar. Mientras el equipo arranca, pulse la tecla F8 en su teclado varias veces hasta que vea el menú de Opciones avanzadas de Windows, luego seleccione modo seguro con funciones de red de la lista.

Modo seguro con funciones de red

Este vídeo muestra cómo iniciar Windows 7 en "Modo seguro con funciones de red":

Usuarios de Windows 8: Inicie Windows 8 en modo seguro con funciones de red: Diríjase a la pantalla de inicio de Windows 8, escriba "avanzadas", en los resultados de búsqueda, seleccione "Cambiar opciones avanzadas de inicio". En la nueva ventana "Configuración de PC", vaya hasta la sección "Inicio avanzado".  Haga clic en el botón "Reiniciar ahora". Su PC se reiniciará ahora con el "Menú de opciones de arranque avanzadas". Haga clic en el botón de "Solucionar problemas", luego haga clic en el botón de "Opciones avanzadas". En la pantalla de opciones avanzadas, haga clic en "Configuración de inicio". Haga clic en el botón "Reiniciar". Su PC se reiniciará mostrando primero la pantalla de Configuración de inicio. Pulse F5 para arrancar en Modo seguro con funciones de red.

Modo seguro en Windows 8 con funciones de red

Este vídeo muestra cómo iniciar Windows 8 en "Modo seguro con funciones de red":

Usuarios de Windows 10: Haga clic en el logo de Windows y seleccione el icono de Inicio/Apagado. En el nuevo menú, haga clic en "Reiniciar" mientras mantiene pulsada la tecla "mayúsculas" en su teclado. En la ventana "seleccione una opción", haga clic en "Solucionar problemas" y luego en "Opciones avanzadas". En el menú de opciones avanzadas, seleccione "Configuración de inicio" y haga clic en el botón "Reiniciar". En la siguiente pantalla, tendrá que pulsar la tecla F5 de su teclado. Luego se reiniciará el sistema operativo en modo seguro con funciones de red

Modo seguro en Windows 10 con funciones de red

Este vídeo muestra cómo iniciar Windows 10 en "Modo seguro con funciones de red":

Paso 2

Inicie sesión con la cuenta que ha sido infectada con el virus Adobe. Abra su navegador web y descargue un programa legítimo anti-spyware. Actualice el software antiespía e inicie un análisis de sistema completo. Elimine todas las entradas que se detecten

Si no puede arrancar su equipo en modo seguro con funciones de red, pruebe ejecutando una restauración del sistema.

Este vídeo muestra cómo eliminar el virus ransomware usando "Modo seguro con funciones de red" y "Restaurar sistema":

1. Durante el proceso de arranque de su ordenador, pulse la tecla F8 en su teclado varias veces hasta que se muestre el menú de Opciones avanzadas de Windows, luego seleccione Modo seguro con símbolo de sistema de la lista y pulse ENTER.

Inicie su sistema en modo seguro con símbolo de sistema

2. Cuando el símbolo del sistema se cargue, introduzca la siguiente línea: cd restore y pulse ENTER.

restauración de sistema usando símbolo del sistema cd restore

3. Luego teclee esta línea: rstrui.exe y pulse ENTER.

restaurar sistema usando símbolo de sistema rstrui.exe

4. En la nueva pantalla, haga clic en "Siguiente".

restaurar archivos del sistema y configuraciones

5. Seleccione uno de los puntos de restauración disponibles y haga clic en "Siguiente" (se restaurará el sistema de su equipo a una fecha anterior antes de que el ransomware Adobe se introdujera en su PC).

seleccione un punto de restauración

6. En la ventana abierta, haga clic en "Sí".

ejecutar restauración de sistema

7. Después de restaurar su sistema a un punto anterior, descargue y analice su PC con un software de seguridad antimalware recomendado para eliminar los remanentes del virus Adobe.

Para restaurar individualmente cada archivo encriptado por este virus, pruebe con la función versiones anteriores de archivo. Este método es únicamente eficaz si la función de Restaurar sistema estaba activa en el sistema operativo infectado. Tenga en cuenta que algunas variantes de Adobe eliminan las instantáneas de volumen de los ficheros, por lo que puede que este método no funcione en algunos equipos.

Para restaurar un archivo, haga clic con el botón derecho del ratón sobre el archivo, seleccione Propiedades y haga clic en la pestaña Versiones anteriores. Si el archivo en cuestión tiene su punto de restauración, selecciónelo y haga clic en el botón "Restaurar".

Restaurando archivos encriptados por CryptoDefense

Si no puede iniciar su sistema en modo seguro con funciones de red (o con símbolo de sistema), inicie su ordenador usando un disco de rescate. Algunos tipos de ransomware desactivan el modo seguro, por lo que la desinfección es más compleja. Para este paso, necesitará tener acceso a otro PC.

Para recuperar el control de los archivos encriptados por Adobe, pruebe un programa llamado Shadow Explorer. Aquí podrá leer más información sobre cómo usar este programa.

captura de pantalla de shadow explorer

Para proteger su equipo de virus encriptadores de archivos, analice su sistema con programas antivirus y antiespía fiables. Como medida de protección extra, le recomendamos el programa HitmanPro.Alert y EasySync CryptoMonitor que introduce de forma artificial directivas de grupo en el registro para bloquear programas maliciosos como Adobe.

Tenga en cuenta que la actualización Windows 10 Fall Creators incluye la función "Acceso controlado a carpetas" que bloquea los intentos de los virus encriptadores para cifrar sus archivos. Por defecto, esta función protege de forma automática los archivos almacenados en Documentos, Imágenes, Vídeos, Música, Favoritos, así como las carpetas del escritorio.

acceso controlado a carpetas

Los usuarios de Windows 10 deberían instalar esta actualización para proteger sus archivos frente a los cibersecuestros. Aquí verá más información de cómo puede conseguir esta actualización para incrementar la protección de su equipo frente a las infecciones ransomware.

HitmanPro.Alert CryptoGuard detecta el cifrado de archivos y neutraliza tales intentos sin la necesidad de que el usuario intervenga:

la aplicación hitmanproalert que protege del ransomware

Malwarebytes Anti-Ransomware Beta recurre a tecnología avanzada proactiva que supervisa la actividad de los virus secuestradores de equipos y la interrumpe de inmediato antes de que afecten a los archivos de los usuarios:

malwarebytes anti-ransomware

  • La mejor forma de evitar daños ocasionados por infecciones de tipo ransomware (secuestradores de sistemas) es realizando habitualmente copias de seguridad. Aquí encontrará más información sobre soluciones informáticas para realizar copias de seguridad y para recuperar datos.

Otras herramientas conocidas para eliminar el virus Adobe:

Fuente: https://www.pcrisk.com/removal-guides/14025-adobe-ransomware