Cibersecuestro ETH

Conocido también como: el virus ETH
Propagación: Baja
Nivel de peligrosidad: Extremo

Instrucciones para eliminar el cibersecuestro ETH

¿Qué es ETH??

Descubierta por primera vez por el investigador de seguridad en malware, Jakub Kroustek, ETH es una nueva versión de la infección por cibersecuestro llamada Dharma. Tras introducirse en el equipo, ETH encripta casi todos los archivos almacenados y añade la extensión ".ETH" a los nombres de archivo, más las direcciones de e-mail de los desarrolladores y el identificador de la víctima. Por ejemplo, el archivo "sample.jpg" pasaría a llamarse "sample.jpg.id-1E857D00.[helpfilerestore@india.com].ETH". Una vez que los datos han sido cifrados, ETH genera un archivo de texto ("FILES ENCRYPTED.txt") que coloca en el escritorio y muestra una ventana emergente.

El archivo de texto y la ventana emergente contiene mensajes similares donde se dice que los datos están encriptados y que las víctimas tienen que contactar con los desarrolladores de ETH si desean restaurarlos. También se afirma que las víctimas tienen que comprar una herramienta o clave de descifrado para restaurar los datos cifrados. Aunque no se sabe actualmente qué tipo de criptografía (simétrica o asimétrica) usa ETH, se requiere en el descifrado una clave única generada de forma individual para cada víctima Los desarrolladores ocultan todas las claves en un servidor remoto y chantajean a las víctimas con un rescate que debe ser pagado a cambio de la clave (junto con la herramienta de descifrado). No se especifica el coste, pero supuestamente depende de con qué rapidez las victimas realicen el contacto. Se facilita más información detallada del pago a través de correo electrónico; sin embargo, casi siempre, la cuantía del rescate oscila entre $500 y $1500 en Bitcoins u otra criptomoneda. Independientemente de cuál sea el coste, no realice ningún pago. Los estudios ponen de manifiesto que los ciberdelincuentes ignoran a sus víctimas una vez que han realizado el pago. Por ello, normalmente pagar no dará ningún fruto y los usuarios podrían ser estafados. Por tanto, le desaconsejamos contactar con esa gente y en ningún caso enviarles dinero. Por desgracia, no hay herramientas capaces de "craquear" el cifrado de ETH y restaurar los archivos de forma gratuita. Solo podrá intentar recuperar todo a partir de una copia de seguridad.

Captura de pantalla del mensaje donde se insta a los usuarios a pagar la recompensa para desencriptar los archivos afectados:

instrucciones desencriptación ETH

Internet está llena de virus encriptadores que comparten similitudes con ETH (p. ej. UNIT09, LockerGoga, ITLOCK, Cyspt, etc.). Como ETH, esos virus encriptan también datos y hacen peticiones de rescate. Los cibersecuestros se diferencian por dos cosas: el algoritmo de encriptación usado y la cuantía del rescate. Por desgracia, casi todos usan algoritmos que generan claves únicas de desencriptación (p. ej. AES, RSA, etc.). Por tanto, es imposible desencriptar los archivos sin contar con los desarrolladores. La única posibilidad de restaurar los archivos es ver si el ransomware está incompleto en cuanto a desarrollo o tiene ciertos fallos de seguridad (por ejemplo, la clave está incluida el código fuente, almacenada localmente, etc.). Los virus como ETH nos recuerdan lo importante que es mantener copias de seguridad frecuentes de los datos; sin embargo, debería almarcenarlas en servidores remotos (p. ej. nube) o unidades de almacenamiento extraíbles (p. ej. discos duros externos, unidades Flash). Si no, las copias de seguridad se encriptarán también junto con cualquier archivo.

¿Cómo llegó el cibersecuestro a mi equipo?

No se sabe todavía exactamente cómo los ciberdelincuentes propagan ETH; sin embargo, los desarrolladores de ransomware suelen usar los siguientes métodos: troyanos, herramientas de pirateo de software, actualizadores falsos, fuentes de descarga de terceros y falsas campañas de correo. Los troyanos son virus que, una vez se infiltran, ocasionan infecciones en cadena; descargan e instalan silenciosamente otros programas maliciosos en el sistema. Las herramientas de pirateo se usan para activar software de pago sin pagar; sin embargo, los ciberdelincuentes suelen usarlos para propagar software malicioso en vez de activar el software. De esa forma, los usuarios suelen infectar sus equipos. Las herramientas de actualización de software falso infectan el sistema aprovechándose de errores en versiones de software antiguas o instalando malware en vez de la aplicación seleccionada. Las fuentes de descargas no oficiales (redes P2P, portales de descargas gratuitas, sitios de alojamiento de archivos, etc.) presentan ejecutables maliciosos como software legítimo. Se engaña a los usuarios para que descarguen e instalen software malicioso. Lo miso aplica a las campañas de correo basura. Los ciberdelincuentes envían miles de correos electrónicos que contienen mensajes engañosos instando a los usuarios a que abran los adjuntos (enlaces o archivos) que se presentan como recibos, facturas u otros documentos importantes. Si se abren, se puede infectar el equipo por malware.

¿Cómo protegerse de los cibersecuestros?

Las principales razones por las que se infecta el equipo son la falta de conocimiento y precaución. La clave para la seguridad es la precaución. Tenga mucho cuidado al navegar por internet y, en especial, al descargar e instalar software. Analice con cuidado cada adjunto recibido en correos electrónicos. Aquellos archivos que no sean interesantes o que hayan sido enviados por direcciones desconocidas o sospechosas no deberían abrirse nunca. Le recomendamos descargar sus aplicaciones de fuentes oficiales a través de un enlace de descarga directo. Los instaladores o descargadores de terceros incluyen a menudo (empaquetan) programas dudosos y estas herramientas no deberían usarse. Mantenga actualizadas las aplicaciones y sistemas operativos instalados; sin embargo, para lograrlo, use las funciones o herramientas integradas que han facilitado los desarrolladores oficiales. Asimismo, nunca use las herramientas de pirateo de software, ya que usar software pirata se considera un ciberdelito y se arriesga a infectar su equipo. Tenga instalada y en funcionamiento una solución antivirus y antiespía que sea de confianza; esas herramientas pueden detectar y eliminar software malicioso antes de que dañe el sistema. Si su equipo está infectado ya con ETH, le recomendamos ejecutar un análisis con Spyhunter para eliminarlos de forma automática.

Texto mostrado en el archivo de texto del ransomware ETH:

All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail helpfilerestore@india.com
Write this ID in the title of your message 1E857D00
In case of no answer in 24 hours write us to theese e-mails:helpfilerestore@india.com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 1 file for free decryption. The total size of files must be less than 1Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Captura de pantalla del archivo de texto ETH ("FILES ENCRYPTED.txt"):

archivo de texto ETH

Texto mostrado en este archivo:

all your data has been locked us
You want to return?
write email helpfilerestore@india.com

Captura de pantalla de archivos cifrados por ETH (extensión ".ETH"):

archivos cifrados por ETH

Eliminar el cibersecuestro ETH:

Eliminar automáticamente de forma instantánea el virus ETH: Eliminar las amenazas de forma manual puede acabar siendo un proceso largo y tedioso que precisa de conocimientos informáticos avanzados. Spyhunter es una herramienta profesional para eliminar software malicioso de forma automática y está recomendada para acabar con el virus ETH. La descarga se iniciará al hacer clic en el siguiente botón:
▼ DESCARGAR Spyhunter Su detector gratuito verifica si su equipo está infectado. Para eliminar el software malicioso, tendrá que comprar la versión completa de Spyhunter. Si decide descargar este programa, quiere decir que usted está conforme con nuestra Política de privacidad y Condiciones de uso.

Menú rápido:

Paso 1

Usuarios de Windows XP y Windows 7: Inicie su equipo en modo seguro. Haga clic en Inicio, Apagar, Reiniciar y aceptar. Mientras el equipo arranca, pulse la tecla F8 en su teclado varias veces hasta que vea el menú de Opciones avanzadas de Windows, luego seleccione modo seguro con funciones de red de la lista.

Modo seguro con funciones de red

Este vídeo muestra cómo iniciar Windows 7 en "Modo seguro con funciones de red":

Usuarios de Windows 8: Inicie Windows 8 en modo seguro con funciones de red: Diríjase a la pantalla de inicio de Windows 8, escriba "avanzadas", en los resultados de búsqueda, seleccione "Cambiar opciones avanzadas de inicio". En la nueva ventana "Configuración de PC", vaya hasta la sección "Inicio avanzado".  Haga clic en el botón "Reiniciar ahora". Su PC se reiniciará ahora con el "Menú de opciones de arranque avanzadas". Haga clic en el botón de "Solucionar problemas", luego haga clic en el botón de "Opciones avanzadas". En la pantalla de opciones avanzadas, haga clic en "Configuración de inicio". Haga clic en el botón "Reiniciar". Su PC se reiniciará mostrando primero la pantalla de Configuración de inicio. Pulse F5 para arrancar en Modo seguro con funciones de red.

Modo seguro en Windows 8 con funciones de red

Este vídeo muestra cómo iniciar Windows 8 en "Modo seguro con funciones de red":

Usuarios de Windows 10: Haga clic en el logo de Windows y seleccione el icono de Inicio/Apagado. En el nuevo menú, haga clic en "Reiniciar" mientras mantiene pulsada la tecla "mayúsculas" en su teclado. En la ventana "seleccione una opción", haga clic en "Solucionar problemas" y luego en "Opciones avanzadas". En el menú de opciones avanzadas, seleccione "Configuración de inicio" y haga clic en el botón "Reiniciar". En la siguiente pantalla, tendrá que pulsar la tecla F5 de su teclado. Luego se reiniciará el sistema operativo en modo seguro con funciones de red

Modo seguro en Windows 10 con funciones de red

Este vídeo muestra cómo iniciar Windows 10 en "Modo seguro con funciones de red":

Paso 2

Inicie sesión con la cuenta que ha sido infectada con el virus ETH. Abra su navegador web y descargue un programa legítimo anti-spyware. Actualice el software antiespía e inicie un análisis de sistema completo. Elimine todas las entradas que se detecten

Si no puede arrancar su equipo en modo seguro con funciones de red, pruebe ejecutando una restauración del sistema.

Este vídeo muestra cómo eliminar el virus ransomware usando "Modo seguro con funciones de red" y "Restaurar sistema":

1. Durante el proceso de arranque de su ordenador, pulse la tecla F8 en su teclado varias veces hasta que se muestre el menú de Opciones avanzadas de Windows, luego seleccione Modo seguro con símbolo de sistema de la lista y pulse ENTER.

Inicie su sistema en modo seguro con símbolo de sistema

2. Cuando el símbolo del sistema se cargue, introduzca la siguiente línea: cd restore y pulse ENTER.

restauración de sistema usando símbolo del sistema cd restore

3. Luego teclee esta línea: rstrui.exe y pulse ENTER.

restaurar sistema usando símbolo de sistema rstrui.exe

4. En la nueva pantalla, haga clic en "Siguiente".

restaurar archivos del sistema y configuraciones

5. Seleccione uno de los puntos de restauración disponibles y haga clic en "Siguiente" (se restaurará el sistema de su equipo a una fecha anterior antes de que el ransomware ETH se introdujera en su PC).

seleccione un punto de restauración

6. En la ventana abierta, haga clic en "Sí".

ejecutar restauración de sistema

7. Después de restaurar su sistema a un punto anterior, descargue y analice su PC con un software de seguridad antimalware recomendado para eliminar los remanentes del virus ETH.

Para restaurar individualmente cada archivo encriptado por este virus, pruebe con la función versiones anteriores de archivo. Este método es únicamente eficaz si la función de Restaurar sistema estaba activa en el sistema operativo infectado. Tenga en cuenta que algunas variantes de ETH eliminan las instantáneas de volumen de los ficheros, por lo que puede que este método no funcione en algunos equipos.

Para restaurar un archivo, haga clic con el botón derecho del ratón sobre el archivo, seleccione Propiedades y haga clic en la pestaña Versiones anteriores. Si el archivo en cuestión tiene su punto de restauración, selecciónelo y haga clic en el botón "Restaurar".

Restaurando archivos encriptados por CryptoDefense

Si no puede iniciar su sistema en modo seguro con funciones de red (o con símbolo de sistema), inicie su ordenador usando un disco de rescate. Algunos tipos de ransomware desactivan el modo seguro, por lo que la desinfección es más compleja. Para este paso, necesitará tener acceso a otro PC.

Para recuperar el control de los archivos encriptados por ETH, pruebe un programa llamado Shadow Explorer. Aquí podrá leer más información sobre cómo usar este programa.

captura de pantalla de shadow explorer

Para proteger su equipo de virus encriptadores de archivos, analice su sistema con programas antivirus y antiespía fiables. Como medida de protección extra, le recomendamos el programa HitmanPro.Alert y EasySync CryptoMonitor que introduce de forma artificial directivas de grupo en el registro para bloquear programas maliciosos como ETH.

Tenga en cuenta que la actualización Windows 10 Fall Creators incluye la función "Acceso controlado a carpetas" que bloquea los intentos de los virus encriptadores para cifrar sus archivos. Por defecto, esta función protege de forma automática los archivos almacenados en Documentos, Imágenes, Vídeos, Música, Favoritos, así como las carpetas del escritorio.

acceso controlado a carpetas

Los usuarios de Windows 10 deberían instalar esta actualización para proteger sus archivos frente a los cibersecuestros. Aquí verá más información de cómo puede conseguir esta actualización para incrementar la protección de su equipo frente a las infecciones ransomware.

HitmanPro.Alert CryptoGuard detecta el cifrado de archivos y neutraliza tales intentos sin la necesidad de que el usuario intervenga:

la aplicación hitmanproalert que protege del ransomware

Malwarebytes Anti-Ransomware Beta recurre a tecnología avanzada proactiva que supervisa la actividad de los virus secuestradores de equipos y la interrumpe de inmediato antes de que afecten a los archivos de los usuarios:

malwarebytes anti-ransomware

  • La mejor forma de evitar daños ocasionados por infecciones de tipo ransomware (secuestradores de sistemas) es realizando habitualmente copias de seguridad. Aquí encontrará más información sobre soluciones informáticas para realizar copias de seguridad y para recuperar datos.

Otras herramientas conocidas para eliminar el virus ETH:

Fuente: https://www.pcrisk.com/removal-guides/14403-eth-ransomware