Cibersecuestro Rumba

Conocido también como: el virus Rumba
Propagación: Baja
Nivel de peligrosidad: Extremo

Instrucciones para eliminar el cibersecuestro Rumba

¿Qué es Rumba?

Rumba es una infección informática de alto riesgo que está clasificada como cibersecuestro. Es una nueva versión del virus criptográfico Djvu y fue descubierta por Michael Gillespie. Los programas de este tipo están diseñados para encriptar archivos (dejarlos inutilizables) y dejarlos así hasta que se pague el rescate. Para recuperar los archivos, es necesario comprar una herramienta de descifrado. Tras el cifrado, todos los archivos son renombrados añadiendo la extensión ".rumba". Por ejemplo, si el archivo antes del cifrado se llamaba "1.jpg", después del cifrado pasará a llamarse "1.jpg.rumba", etc. Las instrucciones sobre cómo descifrar los archivos podrán encontrarse en el archivo de texto "_openme.txt" (petición de rescate).

Como los ciberdelincuentes afirman en la nota de rescate, Rumba ha cifrado todos los archivos usando la encriptación más potente. La única forma de recuperar los archivos encriptados por Rumba es comprar una herramienta de descifrado concreta. Como garantía de que realmente la tienen y que son de confianza, los ciberdelincuentes ofrecen el descifrado de 1 archivo gratis. Aparte, ofrecen incluso un descuento del 50 % a quienes contacten con ellos en 72 horas. Es necesario escribirles un correo electrónico a la dirección pdfhelp@india.com o pdfhelp@firemail.cc address, donde se debe indicar un identificador personal que se incluye en el archivo "_openme.txt". Casi todos los ciberdelincuentes usan algoritmos de cifrado que no pueden descifrarse sin usar la herramienta acertada (herramienta o clave de descifrado). Los ciberdelincuentes usan criptografías (simétricas o asimétricas) que generan claves únicas. Almacenan esas claves en servidores remotos que son controlados por ellos solo. Quiere decir que casi nunca existe otra opción más que contactar con los ciberdelincuentes. Sin embargo, prácticamente no hay nadie que sea de confianza. Por regla general, ignoran a sus víctimas una vez que consiguen su dinero (se paga el rescate) y los usuarios resultan estafados. La mejor opción en tales casos es usar una copia de seguridad (si hay una creada) y recuperar todo a partir de ahí.

Captura de pantalla del mensaje donde se insta a los usuarios a pagar la recompensa para desencriptar los archivos afectados:

instrucciones desencriptación Rumba

La mayor parte de infecciones de tipo ransomware son muy similares; han sido diseñadas para cifrar datos y hacer peticiones de rescates. Las diferencias más comunes están en la cuantía del rescate y el tipo de algoritmo usado para encriptar los archivos. He aquí algunos ejemplos de programas de tipo ransomware: Dharma-Gif, GandCrab 5.1 and Obfuscated. Casi siempre, una desencriptación (sin que intervengan los ciberdelincuentes) es imposible. Sin embargo, a veces esos programas tienen algunos errores o defectos, no están acabados. Sea como fuere, recomendamos mantener copias de seguridad con regularidad y almacenarlas en un dispositivo de almacenamiento extraíble o servidores remotos; de lo contrario, el programa de tipo ransomware será capaz de encriptarlas también.

¿Cómo llegó el cibersecuestro a mi equipo?

Hay diversas formas de propagar infecciones como Rumba. Los ciberdelincuentes suelen usar campañas de correo basura, troyanos, varios programas de dudosa fiabilidad y falsos actualizadores. Se sirven de campañas de correo basura para propagar ransomware (u otras infecciones) empleando correos que contienen adjuntos maliciosos. Esos adjuntos suelen ser documentos Microsoft Office, ficheros PDF, ejecutables, etc.  Los adjuntos maliciosos descargan e instalan virus junto cuando se abren. Los troyanos son programas maliciosos que ocasionan infecciones en cadena. La principal finalidad de esos programas es propagar otras infecciones. Los canales de descarga de software de dudosa fiabilidad como las redes P2P (torrents, eMule, etc.), sitios web de descargas gratuitas, sitios web de alojamiento de archivos gratuitos y otras fuentes similares se usan para presentar ejecutables maliciosos como archivos legítimos. Al usar esas fuentes, los ciberdelincuentes engañan a usuarios para que descarguen e instalen programas maliciosos. Las herramientas de actualización de software falso infectan el sistema aprovechándose de errores en versiones de software antiguas o instalando malware en vez de la aplicación seleccionada.

Datos básicos de la amenaza:
Nombreel virus Rumba
Tipo de amenazaRansomware, virus criptográfico, cibersecuestro
SíntomasNo se pueden abrir los archivos almacenados en el equipo, los archivos que antes funcionaban tienen ahora una extensión diferente, por ejemplo my.docx.locked. Se muestra un mensaje en el escritorio para pedir un rescate. Los ciberdelincuentes solicitan el pago de una suma (normalmente en Bitcoins) para desbloquear los archivos.
Formas de distribuciónAdjuntos por e-mail infectados (macros), sitios web torrent, anuncios maliciosos.
DañoTodos los archivos están cifrados y no pueden abrirse si no se ha pagado un rescate. Se pueden instalar otros troyanos que roban contraseñas e infecciones de malware junto con una infección ransomware.
Eliminación

Para eliminar el virus Rumba, nuestros investigadores de software malicioso recomiendan analizar el equipo con Spyhunter.
▼ Descargar Spyhunter
Su detector gratuito verifica si su equipo está infectado. Para eliminar el software malicioso, tendrá que comprar la versión completa de Spyhunter.

¿Cómo protegerse de los cibersecuestros?

Para evitar que los equipos se infecten con ransomware u otros programas maliciosos, recomendamos proceder con mucha cautela al navegar por internet y, en especial, al descargar e instalar software. No abra adjuntos que están presentes en correos por parte de remitentes desconocidos o sospechosos. Tales correos suelen ser irrelevantes. Asimismo, descargue software usando solo fuentes oficiales y enlaces de descarga directos. Los descargadores e instaladores de terceros no deberían usarse. A menudo están diseñados para propagar aplicaciones engañosas. Mantener el software actualizado es importante; sin embargo, esto debería hacerse con funciones o herramientas integradas proporcionadas por el desarrollador oficial. No es menos importante tener instalada y en funcionamiento una solución fiable antivirus o antiespía: las herramientas de este tipo pueden probablemente detectar y eliminar las amenazas antes de que se produzca algún daño. Si su equipo está infectado ya con Rumba, le recomendamos ejecutar un análisis con Spyhunter para eliminarlos de forma automática.

Texto mostrado en el archivo de texto del ransomware Rumba ("_openme.txt"):

------------------------ ALL YOUR FILES ARE ENCRYPTED ------------------------

Don't worry, you can return all your files!
All your files documents, photos, databases and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
You can get and look video overview decrypt tool:
hxxps://files.danwin1210.me/uploads/01-2019/Decrypt%20Software%20Overview.avi
Price of private key and decrypt software is $980.
Discount 50% available if you contact us first 72 hours, that's price for you is $490.
Please note that you'll never restore your data without payment.
Check your e-mail "Spam" folder if you don't get answer more than 6 hours.

------------------------------------------------------------------------------


To get this software you need write on our e-mail:
pdfhelp@india.com

Reserve e-mail address to contact us:
pdfhelp@firemail.cc

Your personal ID:
-

Captura de pantalla de archivos cifrados por Rumba (extensión ".rumba"):

Archivos cifrados por Rumba

Actualización el 22 de enero de 2019: las víctimas nos informan que Rumba se infiltró en sus equipos a raíz de instalar herramientas para piratear software o para saltarse la activación de varios programas conocidos (como Photoshop, Cubase y muchos otros), así como el sistema operativo de Windows. Se trata de una técnica bastante común de distribución de software malicioso; los delincuentes hacen creer a los usuarios que esas herramientas les permitirán usar un software de pago de forma gratuita. Sin embargo, esas herramientas no solo no suele aportar ninguna utilidad real, sino que se infecta el sistema al usarlas (en este caso, se introduce el cibersecuestro Rumba). Asimismo, debería tener en cuenta que la piratería es un ciberdelito; está robando literalmente a desarrolladores de software oficial. Por no mencionar que el proceso es muy peligroso y suele llevar a la infección del equipo. Por este motivo, no dejamos de recomendarle que evite usar software pirateado.

Captura de pantalla de KMSPico: una herramienta de activación del sistema operativo Windows que se usa para propagar el cibersecuestro Rumba:

KMSpico que distribuye Rumba ransomware

Eliminar el cibersecuestro Rumba:

Eliminar automáticamente de forma instantánea el virus Rumba: Eliminar las amenazas de forma manual puede acabar siendo un proceso largo y tedioso que precisa de conocimientos informáticos avanzados. Spyhunter es una herramienta profesional para eliminar software malicioso de forma automática y está recomendada para acabar con el virus Rumba. La descarga se iniciará al hacer clic en el siguiente botón:
▼ DESCARGAR Spyhunter Su detector gratuito verifica si su equipo está infectado. Para eliminar el software malicioso, tendrá que comprar la versión completa de Spyhunter. Si decide descargar este programa, quiere decir que usted está conforme con nuestra Política de privacidad y Condiciones de uso.

Menú rápido:

Paso 1

Usuarios de Windows XP y Windows 7: Inicie su equipo en modo seguro. Haga clic en Inicio, Apagar, Reiniciar y aceptar. Mientras el equipo arranca, pulse la tecla F8 en su teclado varias veces hasta que vea el menú de Opciones avanzadas de Windows, luego seleccione modo seguro con funciones de red de la lista.

Modo seguro con funciones de red

Este vídeo muestra cómo iniciar Windows 7 en "Modo seguro con funciones de red":

Usuarios de Windows 8: Inicie Windows 8 en modo seguro con funciones de red: Diríjase a la pantalla de inicio de Windows 8, escriba "avanzadas", en los resultados de búsqueda, seleccione "Cambiar opciones avanzadas de inicio". En la nueva ventana "Configuración de PC", vaya hasta la sección "Inicio avanzado".  Haga clic en el botón "Reiniciar ahora". Su PC se reiniciará ahora con el "Menú de opciones de arranque avanzadas". Haga clic en el botón de "Solucionar problemas", luego haga clic en el botón de "Opciones avanzadas". En la pantalla de opciones avanzadas, haga clic en "Configuración de inicio". Haga clic en el botón "Reiniciar". Su PC se reiniciará mostrando primero la pantalla de Configuración de inicio. Pulse F5 para arrancar en Modo seguro con funciones de red.

Modo seguro en Windows 8 con funciones de red

Este vídeo muestra cómo iniciar Windows 8 en "Modo seguro con funciones de red":

Usuarios de Windows 10: Haga clic en el logo de Windows y seleccione el icono de Inicio/Apagado. En el nuevo menú, haga clic en "Reiniciar" mientras mantiene pulsada la tecla "mayúsculas" en su teclado. En la ventana "seleccione una opción", haga clic en "Solucionar problemas" y luego en "Opciones avanzadas". En el menú de opciones avanzadas, seleccione "Configuración de inicio" y haga clic en el botón "Reiniciar". En la siguiente pantalla, tendrá que pulsar la tecla F5 de su teclado. Luego se reiniciará el sistema operativo en modo seguro con funciones de red

Modo seguro en Windows 10 con funciones de red

Este vídeo muestra cómo iniciar Windows 10 en "Modo seguro con funciones de red":

Paso 2

Inicie sesión con la cuenta que ha sido infectada con el virus Rumba. Abra su navegador web y descargue un programa legítimo anti-spyware. Actualice el software antiespía e inicie un análisis de sistema completo. Elimine todas las entradas que se detecten

Si no puede arrancar su equipo en modo seguro con funciones de red, pruebe ejecutando una restauración del sistema.

Este vídeo muestra cómo eliminar el virus ransomware usando "Modo seguro con funciones de red" y "Restaurar sistema":

1. Durante el proceso de arranque de su ordenador, pulse la tecla F8 en su teclado varias veces hasta que se muestre el menú de Opciones avanzadas de Windows, luego seleccione Modo seguro con símbolo de sistema de la lista y pulse ENTER.

Inicie su sistema en modo seguro con símbolo de sistema

2. Cuando el símbolo del sistema se cargue, introduzca la siguiente línea: cd restore y pulse ENTER.

restauración de sistema usando símbolo del sistema cd restore

3. Luego teclee esta línea: rstrui.exe y pulse ENTER.

restaurar sistema usando símbolo de sistema rstrui.exe

4. En la nueva pantalla, haga clic en "Siguiente".

restaurar archivos del sistema y configuraciones

5. Seleccione uno de los puntos de restauración disponibles y haga clic en "Siguiente" (se restaurará el sistema de su equipo a una fecha anterior antes de que el ransomware Rumba se introdujera en su PC).

seleccione un punto de restauración

6. En la ventana abierta, haga clic en "Sí".

ejecutar restauración de sistema

7. Después de restaurar su sistema a un punto anterior, descargue y analice su PC con un software de seguridad antimalware recomendado para eliminar los remanentes del virus Rumba.

Para restaurar individualmente cada archivo encriptado por este virus, pruebe con la función versiones anteriores de archivo. Este método es únicamente eficaz si la función de Restaurar sistema estaba activa en el sistema operativo infectado. Tenga en cuenta que algunas variantes de Rumba eliminan las instantáneas de volumen de los ficheros, por lo que puede que este método no funcione en algunos equipos.

Para restaurar un archivo, haga clic con el botón derecho del ratón sobre el archivo, seleccione Propiedades y haga clic en la pestaña Versiones anteriores. Si el archivo en cuestión tiene su punto de restauración, selecciónelo y haga clic en el botón "Restaurar".

Restaurando archivos encriptados por CryptoDefense

Si no puede iniciar su sistema en modo seguro con funciones de red (o con símbolo de sistema), inicie su ordenador usando un disco de rescate. Algunos tipos de ransomware desactivan el modo seguro, por lo que la desinfección es más compleja. Para este paso, necesitará tener acceso a otro PC.

Para recuperar el control de los archivos encriptados por Rumba, pruebe un programa llamado Shadow Explorer. Aquí podrá leer más información sobre cómo usar este programa.

captura de pantalla de shadow explorer

Para proteger su equipo de virus encriptadores de archivos, analice su sistema con programas antivirus y antiespía fiables. Como medida de protección extra, le recomendamos el programa HitmanPro.Alert y EasySync CryptoMonitor que introduce de forma artificial directivas de grupo en el registro para bloquear programas maliciosos como Rumba.

Tenga en cuenta que la actualización Windows 10 Fall Creators incluye la función "Acceso controlado a carpetas" que bloquea los intentos de los virus encriptadores para cifrar sus archivos. Por defecto, esta función protege de forma automática los archivos almacenados en Documentos, Imágenes, Vídeos, Música, Favoritos, así como las carpetas del escritorio.

acceso controlado a carpetas

Los usuarios de Windows 10 deberían instalar esta actualización para proteger sus archivos frente a los cibersecuestros. Aquí verá más información de cómo puede conseguir esta actualización para incrementar la protección de su equipo frente a las infecciones ransomware.

HitmanPro.Alert CryptoGuard detecta el cifrado de archivos y neutraliza tales intentos sin la necesidad de que el usuario intervenga:

la aplicación hitmanproalert que protege del ransomware

Malwarebytes Anti-Ransomware Beta recurre a tecnología avanzada proactiva que supervisa la actividad de los virus secuestradores de equipos y la interrumpe de inmediato antes de que afecten a los archivos de los usuarios:

malwarebytes anti-ransomware

  • La mejor forma de evitar daños ocasionados por infecciones de tipo ransomware (secuestradores de sistemas) es realizando habitualmente copias de seguridad. Aquí encontrará más información sobre soluciones informáticas para realizar copias de seguridad y para recuperar datos.

Otras herramientas conocidas para eliminar el virus Rumba:

Fuente: https://www.pcrisk.com/removal-guides/14331-rumba-ransomware

Acerca del autor:

Tomas Meskauskas

Me apasiona todo lo relacionado con seguridad informática y tecnología. Me avala una experiencia de más de 10 años trabajando para varias empresas de reparación de problemas técnicos y seguridad on-line. Como editor y autor de PCrisk, llevo trabajando desde 2010. Sígueme en Twitter y LinkedIn para no perderte nada sobre las últimas amenazas de seguridad en internet. Leer más sobre el autor.

El portal de seguridad PCrisk ha sido creado conjuntamente por varios investigadores de seguridad con el propósito de formar e informar a los usuarios sobre las últimas amenazas detectadas en internet. Podrá leer más información sobre los autores e investigadores que trabajan en PCrisk en nuestra página de Contacto.

Nuestras guías de desinfección de software malicioso son gratuitas. No obstante, si desea colaborar, puede realizar una donación.

Guías de desinfección en otros idiomas
Código QR
el virus Rumba Código QR
Un código QR (código de respuesta rápida) es un código que puede ser escaneado usando dispositivos y que almacena direcciones web y otra información. Este código puede ser escaneado usando una cámara en un smartphone o tablet. Escanee este código QR para acceder fácilmente a la guía de desinfección de el virus Rumba desde su dispositivo móvil.
Nuestra recomendación:

Despídase ya de el virus Rumba:

▼ ELIMINAR AHORA con Spyhunter

Plataforma: Windows

Valoración de Spyhunter por parte del editor:
¡Excelente!

[Volver al principio]

Su detector gratuito verifica si su equipo está infectado. Para eliminar el software malicioso, tendrá que comprar la versión completa de Spyhunter.