Cibersecuestro Clop

Conocido también como: el virus Clop
Propagación: Baja
Nivel de peligrosidad: Extremo

Instrucciones para eliminar el cibersecuestro Clop

¿Qué es Clop?

Clop es un virus de la categoría ransomware descubierto por Jakub Kroustek. Este software malicioso está diseñado para cifrar datos y renombrar cada archivo con la extensión ".Clop". Por ejemplo, "sample.jpg" pasaría a llamarse "sample.jpg.Clop", etc. Tras completar con éxito el cifrado, Clop genera un archivo de texto ("ClopReadMe.txt") y coloca una copia en todas las carpetas. Este archivo contiene un mensaje en el que se exige el pago de un rescate.

Por regla general, los ciberdelincuentes afirman que los archivos de la víctima están cifrados y que solo ellos son capaces de restaurarlos. Por desgracia, esto es cierto No se sabe aún si Clop usa criptografía simétrica o asimétrica. Sin embargo, en ambos casos a cada víctima se le asigna una clave única de descifrado que se necesita para recuperar los datos. El problema está en que todas las claves se almacenan en un servidor remoto controlado por los ciberdelincuentes. Por tanto, para recibir la clave de descifrado (o la herramienta de descifrado con la clave incorporada), las víctimas han de pagar un rescate. Para ello, las víctimas tienen que contactar primero con los ciberdelincuentes a través de una dirección de e-mail facilitada. El precio no se especifica en el archivo de texto, todos los datos se facilitan por e-mail; en función de la rapidez con la que se contacte con esos individuos, se fija el precio. No obstante, cabe resaltar que casi siempre el precio oscila entre $500 y $1500 en Bitcoins, Ethereum, Monero, DASH u otra criptomoneda. Se permite también a las víctimas adjuntar algunos archivos seleccionados (hasta 5MB en total y no puede contener "información útil") que serán descifrados y devueltos a la víctima como garantía de que se puede uno fiar de los ciberdelincuentes. No importa lo bajo o alto del precio, nunca debería pagar. Según las investigaciones, una gran mayoría de los desarrolladores de ransomware ignoran a sus víctimas una vez que se realizan los pagos. Por ese motivo, le recomendamos encarecidamente ignorar todas las peticiones para contactar con esas personas y realizar pagos. Lamentablemente, no existen herramientas capaces de "crackear" la encriptación de Clop  para recuperar los archivos de forma gratuita. La única solución es restaurarlo todo desde una copia de respaldo.

Captura de pantalla del mensaje donde se insta a los usuarios a pagar la recompensa para desencriptar los archivos afectados:

instrucciones desencriptación Clop

Internet está llena de virus encriptadores que comparten similitudes con Clop. Pluto, FileSlack, CryCipher, Maoloa son solo unos cuantos ejemplos de una larga lista. Como Clop, esos virus encriptan también datos y hacen peticiones de rescate. En realidad, los virus de tipo ransomware presentan solo dos diferencias importantes: 1) cuantía del rescate y 2) tipo de algoritmo encriptador usado. Por desgracia, la mayor parte usa algoritmos que generan claves únicas de desencriptación. Por tanto, a no ser que el virus tenga ciertos errores/fallos (p. ej. la clave está integrada en el código o almacenada de forma local) o esté siendo programado, no será posible desencriptar los archivos manualmente (sin la intervención de los desarrolladores). Por este motivo, le recomendamos encarecidamente mantener copias de seguridad con frecuencia y almacenarlas en un servidor remoto (p. ej. la nube) o un dispositivo de almacenamiento extraíble (p. ej. pen-drive, disco duro externo o similar). Las copias de seguridad que se almacenen de forma local pueden encriptarse fácilmente junto con cualquier archivo.

¿Cómo llegó el cibersecuestro a mi equipo?

Actualmente no se sabe exactamente cómo estos desarrolladores propagan Clop. No obstante, casi siempre los delincuentes usan los siguientes métodos: troyanos, actualizadores falsos de software, cracks, fuentes no oficiales de descarga de software y campañas de spam. Los troyanos son aplicaciones maliciosas que, una vez infiltradas, inyectan software malicioso adicional en el sistema. Las herramientas de actualización de software falso infectan el sistema aprovechándose de errores en versiones de software antiguas o instalando malware en vez de la aplicación seleccionada. Los programas pirateados permiten activar software de pago gratuitamente. Sin embargo, en vez de obtener acceso a funciones de pago, los usuarios acaban instalando virus de todo tipo. Las fuentes de descarga no oficiales presentan a menudo ejecutables maliciosos como software legítimo, por lo que engañan a las víctimas para que descarguen e instalen software malicioso. Las campañas de correo spam propagan varios adjuntos maliciosos. Los ciberdelincuentes envían miles de correos electrónicos que contienen mensajes engañosos instando a los usuarios a que abran los adjuntos. Sin embargo, al hacer esto, se acaba infectando el sistema con malware.

¿Cómo protegerse de los cibersecuestros?

Para prevenir esta situación, es necesario saber que los dos motivos principales por las que se infecta el equipo son un conocimiento insuficiente y un comportamiento imprudente. Con otras palabras, tenga mucho cuidado al navegar por internet y es imprescindible descargar, instalar y actualizar software del equipo. Piénseselo dos veces antes de abrir adjuntos o enlaces en correos. Si el archivo o enlace parece irrelevante o el correo del remitente es sospechoso, no abra nada. Recomendamos descargar el software solo de fuentes oficiales a través de enlaces directos de descarga. Los instaladores o descargadores de terceros incluyen a menudo (empaquetan) programas dudosos y estas herramientas no deberían usarse. Lo mismo sirve para las actualizaciones de software. Es muy importante mantener las aplicaciones actualizadas (así como el sistema operativo). Sin embargo, esto debería hacerse con funciones o herramientas integradas proporcionadas por el desarrollador oficial. También le recomendamos dejar de usar herramientas de pirateo de software debido a dos motivos: 1) el uso de software pirata está considerado un ciberdelito, estará robándole literalmente a desarrolladores de software y 2) hay un alto riesgo de infección informática porque tales herramientas suelen usarse para propagar software malicioso. Asimismo, asegúrese de tener instalada una solución antivirus o antiespía reputable en funcionamiento porque tales herramientas detectan y eliminan muy probablemente el software malicioso antes de que pase algo malo. Si su equipo está infectado ya con Clop, le recomendamos ejecutar un análisis con Spyhunter para eliminarlos de forma automática.

Texto mostrado en el archivo de texto del ransomware Clop ("ClopReadMe.txt"):

Your network has been penetrated.
All files on each host in the network have been encrypted with a strong algorithm.
Backups were either encrypted or deleted or backup disks were formatted.
Shadow copies also removed, so F8 or any other methods may damage encrypted data but not recover.
We exclusively have decryption software for your situation
No decryption software is available in the public.
DO NOT RESET OR SHUTDOWN ñ files may be damaged.
DO NOT RENAME OR MOVE the encrypted and readme files.
DO NOT DELETE readme files.
This may lead to the impossibility of recovery of the certain files.
Photorec, RannohDecryptor etc. repair tools are useless and can destroy your files irreversibly.
If you want to restore your files write to emails (contacts are at the bottom of the sheet) and attach 2-3 encrypted files
(Less than 5 Mb each, non-archived and your files should not contain valuable information
(Databases, backups, large excel sheets, etc.)).
You will receive decrypted samples and our conditions how to get the decoder.
Attention!!!
Your warranty - decrypted samples.
Do not rename encrypted files.
Do not try to decrypt your data using third party software.
We don`t need your files and your information.
But after 2 weeks all your files and keys will be deleted automatically.
Contact emails:
servicedigilogos@protonmail.com
or
managersmaers@tutanota.com
The final price depends on how fast you write to us.
Clop

Captura de pantalla de archivos cifrados por Clop (extensión ".Clop"):

archivos cifrados por Clop

Eliminar el cibersecuestro Clop:

Eliminar automáticamente de forma instantánea el virus Clop: Eliminar las amenazas de forma manual puede acabar siendo un proceso largo y tedioso que precisa de conocimientos informáticos avanzados. Spyhunter es una herramienta profesional para eliminar software malicioso de forma automática y está recomendada para acabar con el virus Clop. La descarga se iniciará al hacer clic en el siguiente botón:
▼ DESCARGAR Spyhunter Su detector gratuito verifica si su equipo está infectado. Para eliminar el software malicioso, tendrá que comprar la versión completa de Spyhunter. Si decide descargar este programa, quiere decir que usted está conforme con nuestra Política de privacidad y Condiciones de uso.

Menú rápido:

Paso 1

Usuarios de Windows XP y Windows 7: Inicie su equipo en modo seguro. Haga clic en Inicio, Apagar, Reiniciar y aceptar. Mientras el equipo arranca, pulse la tecla F8 en su teclado varias veces hasta que vea el menú de Opciones avanzadas de Windows, luego seleccione modo seguro con funciones de red de la lista.

Modo seguro con funciones de red

Este vídeo muestra cómo iniciar Windows 7 en "Modo seguro con funciones de red":

Usuarios de Windows 8: Inicie Windows 8 en modo seguro con funciones de red: Diríjase a la pantalla de inicio de Windows 8, escriba "avanzadas", en los resultados de búsqueda, seleccione "Cambiar opciones avanzadas de inicio". En la nueva ventana "Configuración de PC", vaya hasta la sección "Inicio avanzado".  Haga clic en el botón "Reiniciar ahora". Su PC se reiniciará ahora con el "Menú de opciones de arranque avanzadas". Haga clic en el botón de "Solucionar problemas", luego haga clic en el botón de "Opciones avanzadas". En la pantalla de opciones avanzadas, haga clic en "Configuración de inicio". Haga clic en el botón "Reiniciar". Su PC se reiniciará mostrando primero la pantalla de Configuración de inicio. Pulse F5 para arrancar en Modo seguro con funciones de red.

Modo seguro en Windows 8 con funciones de red

Este vídeo muestra cómo iniciar Windows 8 en "Modo seguro con funciones de red":

Usuarios de Windows 10: Haga clic en el logo de Windows y seleccione el icono de Inicio/Apagado. En el nuevo menú, haga clic en "Reiniciar" mientras mantiene pulsada la tecla "mayúsculas" en su teclado. En la ventana "seleccione una opción", haga clic en "Solucionar problemas" y luego en "Opciones avanzadas". En el menú de opciones avanzadas, seleccione "Configuración de inicio" y haga clic en el botón "Reiniciar". En la siguiente pantalla, tendrá que pulsar la tecla F5 de su teclado. Luego se reiniciará el sistema operativo en modo seguro con funciones de red

Modo seguro en Windows 10 con funciones de red

Este vídeo muestra cómo iniciar Windows 10 en "Modo seguro con funciones de red":

Paso 2

Inicie sesión con la cuenta que ha sido infectada con el virus Clop. Abra su navegador web y descargue un programa legítimo anti-spyware. Actualice el software antiespía e inicie un análisis de sistema completo. Elimine todas las entradas que se detecten

Si no puede arrancar su equipo en modo seguro con funciones de red, pruebe ejecutando una restauración del sistema.

Este vídeo muestra cómo eliminar el virus ransomware usando "Modo seguro con funciones de red" y "Restaurar sistema":

1. Durante el proceso de arranque de su ordenador, pulse la tecla F8 en su teclado varias veces hasta que se muestre el menú de Opciones avanzadas de Windows, luego seleccione Modo seguro con símbolo de sistema de la lista y pulse ENTER.

Inicie su sistema en modo seguro con símbolo de sistema

2. Cuando el símbolo del sistema se cargue, introduzca la siguiente línea: cd restore y pulse ENTER.

restauración de sistema usando símbolo del sistema cd restore

3. Luego teclee esta línea: rstrui.exe y pulse ENTER.

restaurar sistema usando símbolo de sistema rstrui.exe

4. En la nueva pantalla, haga clic en "Siguiente".

restaurar archivos del sistema y configuraciones

5. Seleccione uno de los puntos de restauración disponibles y haga clic en "Siguiente" (se restaurará el sistema de su equipo a una fecha anterior antes de que el ransomware Clop se introdujera en su PC).

seleccione un punto de restauración

6. En la ventana abierta, haga clic en "Sí".

ejecutar restauración de sistema

7. Después de restaurar su sistema a un punto anterior, descargue y analice su PC con un software de seguridad antimalware recomendado para eliminar los remanentes del virus Clop.

Para restaurar individualmente cada archivo encriptado por este virus, pruebe con la función versiones anteriores de archivo. Este método es únicamente eficaz si la función de Restaurar sistema estaba activa en el sistema operativo infectado. Tenga en cuenta que algunas variantes de Clop eliminan las instantáneas de volumen de los ficheros, por lo que puede que este método no funcione en algunos equipos.

Para restaurar un archivo, haga clic con el botón derecho del ratón sobre el archivo, seleccione Propiedades y haga clic en la pestaña Versiones anteriores. Si el archivo en cuestión tiene su punto de restauración, selecciónelo y haga clic en el botón "Restaurar".

Restaurando archivos encriptados por CryptoDefense

Si no puede iniciar su sistema en modo seguro con funciones de red (o con símbolo de sistema), inicie su ordenador usando un disco de rescate. Algunos tipos de ransomware desactivan el modo seguro, por lo que la desinfección es más compleja. Para este paso, necesitará tener acceso a otro PC.

Para recuperar el control de los archivos encriptados por Clop, pruebe un programa llamado Shadow Explorer. Aquí podrá leer más información sobre cómo usar este programa.

captura de pantalla de shadow explorer

Para proteger su equipo de virus encriptadores de archivos, analice su sistema con programas antivirus y antiespía fiables. Como medida de protección extra, le recomendamos el programa HitmanPro.Alert y EasySync CryptoMonitor que introduce de forma artificial directivas de grupo en el registro para bloquear programas maliciosos como Clop.

Tenga en cuenta que la actualización Windows 10 Fall Creators incluye la función "Acceso controlado a carpetas" que bloquea los intentos de los virus encriptadores para cifrar sus archivos. Por defecto, esta función protege de forma automática los archivos almacenados en Documentos, Imágenes, Vídeos, Música, Favoritos, así como las carpetas del escritorio.

acceso controlado a carpetas

Los usuarios de Windows 10 deberían instalar esta actualización para proteger sus archivos frente a los cibersecuestros. Aquí verá más información de cómo puede conseguir esta actualización para incrementar la protección de su equipo frente a las infecciones ransomware.

HitmanPro.Alert CryptoGuard detecta el cifrado de archivos y neutraliza tales intentos sin la necesidad de que el usuario intervenga:

la aplicación hitmanproalert que protege del ransomware

Malwarebytes Anti-Ransomware Beta recurre a tecnología avanzada proactiva que supervisa la actividad de los virus secuestradores de equipos y la interrumpe de inmediato antes de que afecten a los archivos de los usuarios:

malwarebytes anti-ransomware

  • La mejor forma de evitar daños ocasionados por infecciones de tipo ransomware (secuestradores de sistemas) es realizando habitualmente copias de seguridad. Aquí encontrará más información sobre soluciones informáticas para realizar copias de seguridad y para recuperar datos.

Otras herramientas conocidas para eliminar el virus Clop:

Fuente: https://www.pcrisk.com/removal-guides/14451-clop-ransomware