Cibersecuestro Anatova

Conocido también como: el virus Anatova
Propagación: Baja
Nivel de peligrosidad: Extremo

Instrucciones para eliminar el cibersecuestro Anatova

¿Qué es Anatova?

Anatova fue descubierto por Valthek y está catalogado como programa malicioso de tipo ransomware. Anatova se diferencie de otras infecciones de este tipo en que no añade ninguna extensión a los nombres de los archivos cifrados y deja los iconos sin modificar. Este programa simplemente inutiliza los archivos (tras el cifrado, los archivos no pueden abrirse) y crea un mensaje para pedir un rescate en el archivo de texto "ANATOVA.TXT". El nombre del mensaje del rescate puede diferir en función de la versión del cibersecuestro de Anatova.

En el mensaje dentro del archivo de "ANATOVA.TXT", se informa a las víctimas que todos los archivos están cifrados y, que para descifrarlos, tienen que comprar una herramienta de descifrado a un precio equivalente a 10 criptomonedas DASH. Puede comprarse si se transfiere la cantidad requerida de criptomonedas a la dirección facilitada del monedero. Cuando se recibe el pago, las víctimas de Anatova tienen que enviar desde la dirección usada para realizar el pago un archivo no editado de "ANATOVA.TXT" (u otro mensaje de petición de rescate) a una de las siguientes direcciones de correo electrónico: anatova2@tutanota.com o anatoday@tutanota.com. Ofrecen descifrar gratuitamente un archivo JPG (.jpg) de no más de 200Kb como "prueba" de que tienen la herramienta adecuada para descifrar losa archivos con éxito. Casi todos los ciberdelincuentes que diseñan y propagan infecciones en cibersecuestros usan criptografías (simétricas o asimétricas) que generan claves únicas. Por tanto, cada víctima recibe una clave individual y no funciona ninguna otra clave. Asimismo, los ciberdelincuentes almacenan esas claves en servidores remotos controlados solo por ellos. Usan criptografías que son imposibles de descifrar a la fuerza, por lo que las víctimas de cibersecuestros no tienen más opción que contactar con los ciberdelincuentes. Tenga en cuenta que esa gente nunca es de confianza, suelen ignorar a sus víctimas una vez que reciben el rescate en criptomonedas (u otra forma de pago). En ese sentido, los usuarios resultan estafados. Por desgracia, no existen herramientas actualmente que sean capaces de desencriptar el cifrado de Anatova gratuitamente. la mejor opción en estos casos es usar una copia de seguridad y restaurar los archivos a partir de ahí.

Captura de pantalla del mensaje donde se insta a los usuarios a pagar la recompensa para desencriptar los archivos afectados:

instrucciones desencriptación Atanova

Existen muchos virus criptográficos promocionados con nombres distintos. Por ejemplo, Ppam, Mdk4y, y Crypt0r. Casi todos tienen un modus operandi similar: esos programas maliciosos cifran datos y muestran mensajes para pedir una recompensa. Las principales diferencias están normalmente en el coste de la herramienta o clave de descifrado y en el algoritmo criptográfico usado para encriptar los datos. Por regla general, esas infecciones informáticas son imposibles de crackear a no ser que no estén desarrolladas al 100 % o tengan errores o fallos de seguridad. Por tanto, le recomendamos mantener sus copias de seguridad y almacenarlas en servidores remotos o dispositivos de almacenamiento extraíbles.

¿Cómo llegó el cibersecuestro a mi equipo?

Los desarrolladores de Anatova propagan esta infección de tipo ransomware a través de campañas de correo basura, troyanos, herramientas falsas de actualización o fuentes de descarga de dudosa fiabilidad. Los desarrolladores de ransomware usan campañas de correo spam para propagar varios adjuntos maliciosos. Normalmente, adjuntan un archivo malicioso (por ejemplo, un documento Microsoft Office, archivos, PDF, ejecutables u otros) a un correo y esperan que algunos destinatarios lo descarguen y abran. Si se abren, esos adjuntos descargarán e instalarán infecciones informáticas como Anatova u otros virus. Por otra parte, los troyanos tienen que haber instalado previamente. Tras introducirse, inician infecciones en cadena; esos programas propagan otros programas maliciosos. Los actualizadores de software falsos ocasionan infecciones descargando e instalando virus informáticos en vez de las actualizaciones esperadas o aprovechándose del software desactualizado, de errores o fallos de seguridad. Los sitios web de alojamiento de archivos, los sitios web de descargas gratuitas, las redes P2P (como clientes torrent, eMule, etc.) y otras fuentes de descarga no oficiales son usados también por parte de los ciberdelincuentes. Presentan archivos infectados como legítimos en un intento de engañar a los usuarios para que instalen infecciones informáticas.

¿Cómo protegerse de los cibersecuestros?

Gestione con cuidado todos los correos recibidos, en especial aquellos que contengan adjuntos o enlaces web. Si se recibe un correo por parte de una dirección desconocida/sospechosa, no abra el adjunto o enlace sin analizarlo primero. Descargue software solo de fuentes oficiales usando enlaces de descarga directa. No use los asistentes de descarga, instaladores de terceros, etc.; en algunos casos, esas fuentes propagan aplicaciones maliciosas que podrían infectar el equipo u ocasionar otros problemas. No use ninguna de las fuentes de descarga de software mencionadas anteriormente. Actualice software usando herramientas o funciones facilitadas solo por los desarrolladores oficiales. No use los actualizadores de terceros. Tenga un software antivirus o antiespía instalado que tenga reputación y téngalo activo siempre. Esas herramientas pueden detectar y eliminar amenazas antes de que se dañe el equipo o sistema. Si su equipo está infectado ya con Anatova, le recomendamos ejecutar un análisis con Spyhunter para eliminarlos de forma automática.

Texto mostrado en el archivo de texto del ransomware Anatova ("ANATOVA.TXT"):

All your files are crypted. Only us can decrypt your files, you need pay 10 DASH in the address:

XpRvUwSjSeHfJqLePsRfQtCKa1VMwaXh12

After the payment send us the address used to make the payment to one of these mail addresses:

anatova2@tutanota.com
anatoday@tutanota.com

Later wait for our reply with your decryptor. If you want can send us ONE JPG FILE ONLY max 200kb to decrypt per free before of payment.

Dont try fuck us, in this case you NEVER will recover your files. Nothing personal, only business.

Send this file untouched with your payment or/and free file!

481

---KEY---
-
---KEY---

Captura de pantalla de archivos cifrados por Anatova (a primera vista, parece que los archivos están bien, pero no pueden abrirse):

archivos cifrados por Atanova

Eliminar el cibersecuestro Atanova:

Eliminar automáticamente de forma instantánea el virus Anatova: Eliminar las amenazas de forma manual puede acabar siendo un proceso largo y tedioso que precisa de conocimientos informáticos avanzados. Spyhunter es una herramienta profesional para eliminar software malicioso de forma automática y está recomendada para acabar con el virus Anatova. La descarga se iniciará al hacer clic en el siguiente botón:
▼ DESCARGAR Spyhunter Su detector gratuito verifica si su equipo está infectado. Para eliminar el software malicioso, tendrá que comprar la versión completa de Spyhunter. Si decide descargar este programa, quiere decir que usted está conforme con nuestra Política de privacidad y Condiciones de uso.

Menú rápido:

Paso 1

Usuarios de Windows XP y Windows 7: Inicie su equipo en modo seguro. Haga clic en Inicio, Apagar, Reiniciar y aceptar. Mientras el equipo arranca, pulse la tecla F8 en su teclado varias veces hasta que vea el menú de Opciones avanzadas de Windows, luego seleccione modo seguro con funciones de red de la lista.

Modo seguro con funciones de red

Este vídeo muestra cómo iniciar Windows 7 en "Modo seguro con funciones de red":

Usuarios de Windows 8: Inicie Windows 8 en modo seguro con funciones de red: Diríjase a la pantalla de inicio de Windows 8, escriba "avanzadas", en los resultados de búsqueda, seleccione "Cambiar opciones avanzadas de inicio". En la nueva ventana "Configuración de PC", vaya hasta la sección "Inicio avanzado".  Haga clic en el botón "Reiniciar ahora". Su PC se reiniciará ahora con el "Menú de opciones de arranque avanzadas". Haga clic en el botón de "Solucionar problemas", luego haga clic en el botón de "Opciones avanzadas". En la pantalla de opciones avanzadas, haga clic en "Configuración de inicio". Haga clic en el botón "Reiniciar". Su PC se reiniciará mostrando primero la pantalla de Configuración de inicio. Pulse F5 para arrancar en Modo seguro con funciones de red.

Modo seguro en Windows 8 con funciones de red

Este vídeo muestra cómo iniciar Windows 8 en "Modo seguro con funciones de red":

Usuarios de Windows 10: Haga clic en el logo de Windows y seleccione el icono de Inicio/Apagado. En el nuevo menú, haga clic en "Reiniciar" mientras mantiene pulsada la tecla "mayúsculas" en su teclado. En la ventana "seleccione una opción", haga clic en "Solucionar problemas" y luego en "Opciones avanzadas". En el menú de opciones avanzadas, seleccione "Configuración de inicio" y haga clic en el botón "Reiniciar". En la siguiente pantalla, tendrá que pulsar la tecla F5 de su teclado. Luego se reiniciará el sistema operativo en modo seguro con funciones de red

Modo seguro en Windows 10 con funciones de red

Este vídeo muestra cómo iniciar Windows 10 en "Modo seguro con funciones de red":

Paso 2

Inicie sesión con la cuenta que ha sido infectada con el virus Anatova. Abra su navegador web y descargue un programa legítimo anti-spyware. Actualice el software antiespía e inicie un análisis de sistema completo. Elimine todas las entradas que se detecten

Si no puede arrancar su equipo en modo seguro con funciones de red, pruebe ejecutando una restauración del sistema.

Este vídeo muestra cómo eliminar el virus ransomware usando "Modo seguro con funciones de red" y "Restaurar sistema":

1. Durante el proceso de arranque de su ordenador, pulse la tecla F8 en su teclado varias veces hasta que se muestre el menú de Opciones avanzadas de Windows, luego seleccione Modo seguro con símbolo de sistema de la lista y pulse ENTER.

Inicie su sistema en modo seguro con símbolo de sistema

2. Cuando el símbolo del sistema se cargue, introduzca la siguiente línea: cd restore y pulse ENTER.

restauración de sistema usando símbolo del sistema cd restore

3. Luego teclee esta línea: rstrui.exe y pulse ENTER.

restaurar sistema usando símbolo de sistema rstrui.exe

4. En la nueva pantalla, haga clic en "Siguiente".

restaurar archivos del sistema y configuraciones

5. Seleccione uno de los puntos de restauración disponibles y haga clic en "Siguiente" (se restaurará el sistema de su equipo a una fecha anterior antes de que el ransomware Anatova se introdujera en su PC).

seleccione un punto de restauración

6. En la ventana abierta, haga clic en "Sí".

ejecutar restauración de sistema

7. Después de restaurar su sistema a un punto anterior, descargue y analice su PC con un software de seguridad antimalware recomendado para eliminar los remanentes del virus Anatova.

Para restaurar individualmente cada archivo encriptado por este virus, pruebe con la función versiones anteriores de archivo. Este método es únicamente eficaz si la función de Restaurar sistema estaba activa en el sistema operativo infectado. Tenga en cuenta que algunas variantes de Anatova eliminan las instantáneas de volumen de los ficheros, por lo que puede que este método no funcione en algunos equipos.

Para restaurar un archivo, haga clic con el botón derecho del ratón sobre el archivo, seleccione Propiedades y haga clic en la pestaña Versiones anteriores. Si el archivo en cuestión tiene su punto de restauración, selecciónelo y haga clic en el botón "Restaurar".

Restaurando archivos encriptados por CryptoDefense

Si no puede iniciar su sistema en modo seguro con funciones de red (o con símbolo de sistema), inicie su ordenador usando un disco de rescate. Algunos tipos de ransomware desactivan el modo seguro, por lo que la desinfección es más compleja. Para este paso, necesitará tener acceso a otro PC.

Para recuperar el control de los archivos encriptados por Anatova, pruebe un programa llamado Shadow Explorer. Aquí podrá leer más información sobre cómo usar este programa.

captura de pantalla de shadow explorer

Para proteger su equipo de virus encriptadores de archivos, analice su sistema con programas antivirus y antiespía fiables. Como medida de protección extra, le recomendamos el programa HitmanPro.Alert y EasySync CryptoMonitor que introduce de forma artificial directivas de grupo en el registro para bloquear programas maliciosos como Anatova.

Tenga en cuenta que la actualización Windows 10 Fall Creators incluye la función "Acceso controlado a carpetas" que bloquea los intentos de los virus encriptadores para cifrar sus archivos. Por defecto, esta función protege de forma automática los archivos almacenados en Documentos, Imágenes, Vídeos, Música, Favoritos, así como las carpetas del escritorio.

acceso controlado a carpetas

Los usuarios de Windows 10 deberían instalar esta actualización para proteger sus archivos frente a los cibersecuestros. Aquí verá más información de cómo puede conseguir esta actualización para incrementar la protección de su equipo frente a las infecciones ransomware.

HitmanPro.Alert CryptoGuard detecta el cifrado de archivos y neutraliza tales intentos sin la necesidad de que el usuario intervenga:

la aplicación hitmanproalert que protege del ransomware

Malwarebytes Anti-Ransomware Beta recurre a tecnología avanzada proactiva que supervisa la actividad de los virus secuestradores de equipos y la interrumpe de inmediato antes de que afecten a los archivos de los usuarios:

malwarebytes anti-ransomware

  • La mejor forma de evitar daños ocasionados por infecciones de tipo ransomware (secuestradores de sistemas) es realizando habitualmente copias de seguridad. Aquí encontrará más información sobre soluciones informáticas para realizar copias de seguridad y para recuperar datos.

Otras herramientas conocidas para eliminar el virus Anatova:

Fuente: https://www.pcrisk.com/removal-guides/14318-anatova-ransomware