Ransomware Sodinokibi

Conocido también como: el virus Sodinokibi
Propagación: Baja
Nivel de peligrosidad: Extremo

Instrucciones para eliminar el secuestrador de equipos Sodinokibi

¿Qué es Sodinokibi?

Sodinokibi es un programa de tipo ransomware creado por ciberdelincuentes. Lo usan para cifrar los archivos almacenados en el equipo de la víctima; en otras palabras, para evitar que los usuarios accedan a sus archivos hasta que hayan pagado un rescate. Este virus encriptador fue descubierto por primera vez por S!Ri. Los investigadores de malware lo llamaron Sodinokibi; sin embargo sus desarrolladores no le han dado ningún nombre oficial aún. Este virus encriptador almacena notas de rescate en las carpetas que contienen archivos encriptados. El nombre de un archivo de texto depende de la extensión añadida al archivo encriptado. Por ejemplo, si la extensión es ".686l0tek69" (y el archivo encriptado cambia su nombre, por ejemplo; "1.jpg" por "1.jpg.686l0tek69"), el mensaje de petición de rescate se llamará "686l0tek69-HOW-TO-DECRYPT.txt". Sodinokibi cambia también el fondo de escritorio de la víctima.

Como se explica en la nota de rescate, los usuarios que tengan infectados los equipos con este ransomware pueden desencriptar (recuperar) sus archivos solo si siguen las instrucciones facilitadas por los ciberdelincuentes que lo desarrollaron. Para descifrar los datos, se requiere visitar sus sitios web usando uno de los dos enlaces. Uno debe abrirse usando el navegador Tor, el otro con algún navegador como Google Chrome, Mozilla Firefox, Opera, Internet Explorer o Microsoft Edge. Se indica que el enlace o página web creada para los navegadores distintos a Tor podrían ser bloqueados por el propio navegador. De una forma u otra, una vez abierto, su sitio web pide copiar y pegar la clave facilitada en la nota de rescate (archivo .txt) e introducir el nombre de extensión (que se facilita en el propio archivo de texto). Luego se abre otra página donde se dice que las víctimas tienen dos días para pagar el rescate de 2500 USD. Luego el precio se duplicará hasta los 5000 USD. El rescate debe transferirise a la dirección del monedero Bitcoin facilitado (debe pagarse en criptomonedas). Según los ciberdelincuentes, cuando se realice el pago, las víctimas deberían recibir tres confirmaciones. Luego deberán recargar el sitio web que creará un enlace de descarga con una herramienta de descifrado. Se insta a las víctimas que no traten de descifrar sus archivos con otras herramientas de terceros; según los ciberdelincuentes, si se usan, podrían perderse los datos de forma permanente. Sin embargo, se desaconseja pagar a la gente que desarrolló este ransomware. Normalmente, los ciberdelincuentes colaboran solo hasta que han recibido el rescate. Luego casi todos ellos ignoran a sus víctimas y no envían las herramientas o claves necesarias para el descifrado. Con pocas palabras, los usuarios resultan estafados. Por desgracia, no hay ninguna herramienta que pueda descifrar los archivos encriptados por Sodinokibi de forma gratuita. Los ciberdelincuentes que desarrollaron un ransomware en particular son los únicos que pueden ofrecer esa herramienta de descifrado. Casi nunca es posible engañar a los algoritmos criptográficos que se usan para encriptar los archivos sin usar determinadas claves o herramientas de descifrado. La mejor opción en tales casos es restaurar los archivos usando una copia de seguridad (si hubiera una) creada antes de que todos los archivos resulten encriptados por un programa de tipo ransomware.

Captura de pantalla del mensaje donde se insta a los usuarios a pagar la recompensa para desencriptar los archivos afectados:

instrucciones para desencriptar Sodinokibi

He aquí algunos ejemplos de programas de tipo ransomware: BellevueCollegeEncryptor, Hceem y Hrosas. Casi todos han sido creados para encriptar archivos y dejarlos bloqueados a no ser que se pague el rescate. Las diferencias más comunes están en la cuantía del rescate y el tipo de algoritmo usado para encriptar los archivos. Por desgracias, casi siempre es imposible crackearlos a no ser que no estén desarrollados al 100 % o tengan errores o fallos de seguridad. Para evitar la pérdida de datos (y económica) ocasionada por el cibersecuestro, recomendamos mantener copias de seguridad con regularidad y almacenarlas en un dispositivo de almacenamiento extraíble o servidores remoto

¿Cómo llegó el cibersecuestro a mi equipo?

Algunas de las formas más usadas para propagar ransomware y otros programas maliciosos varios son campañas de spam, troyano, falsos actualizadores de software, fuentes/herramientas no oficiales de descarga y herramientas de piratería de software. En el primer caso, los ciberdelincuentes envían correos que contienen adjuntos maliciosos; al darles a estos correos apariencia oficial e importante, tratan de engañar a los usuarios para que abran los archivos adjuntos. Esos adjuntos suelen ser documentos Microsoft Office, archivos como ZIP, RAR, JavaScript, ficheros PDF, ejecutables (.exe), etc.  Una vez abiertos, descargan e instalan ransomware u otro programa malicioso de alto riesgo. Si ya hay un troyano instalado en el equipo, entonces es muy probable que esté diseñado para propagar varias amenazas. Los programas de este tipo suelen ocasionar infecciones en cadena. Los actualizadores de software falsos, si se usan, propagan software malicioso instalándolos en vez de las actualizaciones o parches esperados. Esas herramientas podrían usarse para aprovecharse de los fallos desactualizados de software, errores, etc. Las fuentes de descargas dudosas no oficiales como redes P2P (clientes torrent, eMule, etc.), portales de descargas gratuitas, sitios de alojamiento de archivos, etc. pueden ser usados por ciberdelincuentes también. Los ciberdelincuentes usan esos canales para presentan sus programas maliciosos como archivos inofensivos. Cuando los usuarios los descargan y abren, instalan programas maliciosos ellos mismos. Al usar varias herramientas para piratear software, los usuarios suelen poner en peligro a los programas maliciosos instalados también. Esas herramientas deberían saltarse las activaciones de pago; sin embargo, suelen ocasionar instalaciones no deseadas e infecciones en el equipo.

Datos básicos de la amenaza:
Nombre el virus Sodinokibi
Tipo de amenaza Ransomware, virus criptográfico, bloqueador de archivos
Extensión de los archivos encriptados Cadena aleatoria.
Mensaje de petición del rescate Archivo de texto, fondo del escritorio, sitio web.
Cifra del rescate $2500/$5000
Contacto con el ciberdelincuentes Chat en el sitio web.
Detectada como Avast (Win32:Malware-gen), BitDefender (Trojan.GenericKD.31927370), ESET-NOD32 (a variant of Win32/GenKryptik.DGSJ), Kaspersky (Exploit.Win32.Nekto.lr), Full List Of Detections (VirusTotal)
Nombre del proceso malintencionado Showing Mcga Wmv Photo Ramsey Married
Síntomas No se pueden abrir los archivos almacenados en el equipo, los archivos que antes funcionaban tienen ahora una extensión diferente, por ejemplo my.docx.locked. Se muestra un mensaje en el escritorio para pedir un rescate. Los ciberdelincuentes solicitan el pago de una suma (normalmente en Bitcoins) para desbloquear los archivos.
Formas de distribución Adjuntos por e-mail infectados (macros), sitios web torrent, anuncios maliciosos.
Daño    Todos los archivos están cifrados y no pueden abrirse si no se ha pagado un rescate. Se pueden instalar otros troyanos que roban contraseñas e infecciones de malware junto con una infección ransomware.
Eliminación   

Para eliminar el virus Sodinokibi, nuestros investigadores de software malicioso recomiendan analizar el equipo con Spyhunter.
▼ Descargar Spyhunter
Su detector gratuito verifica si su equipo está infectado. Para eliminar el software malicioso, tendrá que comprar la versión completa de Spyhunter.

¿Cómo protegerse de los cibersecuestros?

No abra adjuntos que están presentes en correos por parte de remitentes desconocidos o sospechosos. Lo mismo aplica a los enlaces web. Esos correos electrónicos suelen presentarse como oficiales e importantes; sin embargo, casi siempre son irrelevantes. Asimismo, le recomendamos usar los sitios web oficiales y de confianza al descargar el software y actualizarlo con las funciones o herramientas incorporadas facilitadas solo por desarrolladores oficiales. Sepa que las herramientas que permiten a los usuarios evitar el pago de software son ilegales y suelen ocasionar infecciones informáticas. Para evitar tener infectado el equipo, le recomendamos tener instalado (y activado) un software antivirus o antiespía de reputación. No se debería desactivar salvo que exista un motivo de peso. Si su equipo está infectado ya con Sodinokibi, le recomendamos ejecutar un análisis con Spyhunter para eliminarlos de forma automática.

Texto mostrado en el archivo de texto del ransomware Sodinokibi (caracteres-aleatorios-HOW-TO-DECRYPT.txt):

--=== Welcome. Again. ===---

[+] Whats Happen? [+]

Your files are encrypted, and currently unavailable. You can check it: all files on you computer has expansion 686l0tek69.
By the way, everything is possible to recover (restore), but you need to follow our instructions. Otherwise, you cant return your data (NEVER).

[+] What guarantees? [+]

Its just a business. We absolutely do not care about you and your deals, except getting benefits. If we do not do our work and liabilities - nobody will not cooperate with us. Its not in our interests.
To check the ability of returning files, You should go to our website. There you can decrypt one file for free. That is our guarantee.
If you will not cooperate with our service - for us, its does not matter. But you will lose your time and data, cause just we have the private key. In practise - time is much more valuable than money.

[+] How to get access on website? [+]

You have two ways:

1) [Recommended] Using a TOR browser!
  a) Download and install TOR browser from this site: hxxps://torproject.org/
  b) Open our website: hxxp://aplebzu47wgazapdqks6vrcv6zcnjppkbxbr6wketf56nf6aq2nmyoyd.onion/913AED0B5FE1497D

2) If TOR blocked in your country, try to use VPN! But you can use our secondary website. For this:
  a) Open your any browser (Chrome, Firefox, Opera, IE, Edge)
  b) Open our secondary website: http://decryptor.top/913AED0B5FE1497D

Warning: secondary website can be blocked, thats why first variant much better and more available.

When you open our website, put the following data in the input form:
Key:

-

Extension name:

686l0tek69

-----------------------------------------------------------------------------------------

!!! DANGER !!!
DONT try to change files by yourself, DONT use any third party software for restoring your data or antivirus solutions - its may entail damge of the private key and, as result, The Loss all data.
!!! !!! !!!
ONE MORE TIME: Its in your interests to get your files back. From our side, we (the best specialists) make everything for restoring, but please should not interfere.
!!! !!! !!!

Captura de pantalla del sitio web de Sodinokibi (página de inicio):

página inicial del ransomware sodinokibi

Captura de pantalla del sitio web de Sodinokibi (segunda página):

sitio web de sodinokibi segunda página

Texto mostrado en el sitio web abierto con Tor (segunda página):

Your computer have been infected!
Your documents, photos, databases and other important files encrypted
To decrypt your files you need to buy our special software - 686l0tek69-Decryptor
You can do it right now. Follow the instructions below. But remember that you do not have much time
686l0tek69-Decryptor costs

You have 2 days, 23:59:17
* If you do not pay on time, the price will be doubled
* Time ends on May 3, 10:44:08
Current price
After time ends
0.47528863 btc
ò 2,500 USD
0.95057726 btc
ò 5,000 USD

Status: No access to download 686l0tek69-Decryptor.

BTC receiving address: 324VH5nPXCKCUGAMAn23nogm2Z6ph97evh
Instructions Chat support
How to buy 686l0tek69-Decryptor?

Create a Bitcoin Wallet (we recommend Blockchain.info)
Buy necessary amount of Bitcoins. Current price for buying is 0.47528863 btc
Send 0.47528863 btc to the following Bitcoin address:
324VH5nPXCKCUGAMAn23nogm2Z6ph97evh

* This receiving address was created for you, to identify your transactions
Wait for 3 confirmations
Reload current page after, and get a link to download 686l0tek69-Decryptor

Guarantees?

Upload your file for test 686l0tek69-Decryptor.

* This file should be an encrypted image. Example

your-file-name.jpg.686l0tek69
your-file-name.png.686l0tek69
your-file-name.gif.686l0tek69

Aspecto del sitio web de Sodinokibi abierto con Tor (GIF):

aspecto de la web sodinokibi

Captura de pantalla del fondo de escritorio Sodinokibi:

fondo de escritorio de Sodinokibi

Captura de pantalla de archivos cifrados por Sodinokibi (extensión aleatoria):

Archivos cifrados por Sodinokibi

Captura de pantalla del proceso de ransomware Sodinokibi en el Administrador de tareas ("Showing Mcga Wmv Photo Ramsey Married"):

Proceso de sodinokibi en el Administrador de tareas

Capturas de pantalla de un chat con los ciberdelincuentes sobre el nombre del ransomware

ventana de chat sodinokibi 1 ventana de chat sodinokibi 2

Texto en el chat:

Researcher Tomas: Where are you from?
Researcher Tomas: What is the name of your ransomware?
Cyber criminal: We don't have name, don't write here.
Researcher Tomas: Researchers are calling this - "Sodinokibi" ransomware. That's not a very nice name, maybe you like to use something else?
Cyber criminal: show me
Researcher Tomas: hxxps://www.youtube.com/watch?v=MlfYEqAjXUE&feature=youtu.be
Researcher Tomas: You could think of some cooler name than "Sodinokibi".
Cyber criminal: Hm, why this name?
Researcher Tomas: I would guess this is from an executable file name (hxxps://twitter.com/GrujaRS/status/1122051853657739265/photo/1)
Researcher Tomas: What name would you like to use?
Cyber criminal: we don't have name, but give to us few days to think about it
Researcher Tomas: ok, great.

Actualización a 3 de mayo de 2019 - la investigación dio como resultado que los ciberdelincuentes han empezado a aprovecharse la vulnerabilidad de Oracle WebLogic Servers (CVE-2019-2725) para inyectar varios programas maliciosos, entre ellos, GANDCRAB, Sodinokibi, varios mineros, botnets, etc. Por suerte, Oracle ya ha lanzado un parche para solucionar esta vulnerabilidad. Por tanto, si tiene un servidor de ese tipo, descargue e instale el parche de inmediato. Podría encontrar información detallada y descargar el enlace del parche en este artículo.

Eliminar el virus encriptador Sodinokibi:

Eliminar automáticamente de forma instantánea el virus Sodinokibi: Eliminar las amenazas de forma manual puede acabar siendo un proceso largo y tedioso que precisa de conocimientos informáticos avanzados. Spyhunter es una herramienta profesional para eliminar software malicioso de forma automática y está recomendada para acabar con el virus Sodinokibi. La descarga se iniciará al hacer clic en el siguiente botón:
▼ DESCARGAR Spyhunter Su detector gratuito verifica si su equipo está infectado. Para eliminar el software malicioso, tendrá que comprar la versión completa de Spyhunter. Si decide descargar este programa, quiere decir que usted está conforme con nuestra Política de privacidad y Condiciones de uso.

Menú rápido:

Paso 1

Usuarios de Windows XP y Windows 7: Inicie su equipo en modo seguro. Haga clic en Inicio, Apagar, Reiniciar y aceptar. Mientras el equipo arranca, pulse la tecla F8 en su teclado varias veces hasta que vea el menú de Opciones avanzadas de Windows, luego seleccione modo seguro con funciones de red de la lista.

Modo seguro con funciones de red

Este vídeo muestra cómo iniciar Windows 7 en "Modo seguro con funciones de red":

Usuarios de Windows 8: Inicie Windows 8 en modo seguro con funciones de red: Diríjase a la pantalla de inicio de Windows 8, escriba "avanzadas", en los resultados de búsqueda, seleccione "Cambiar opciones avanzadas de inicio". En la nueva ventana "Configuración de PC", vaya hasta la sección "Inicio avanzado".  Haga clic en el botón "Reiniciar ahora". Su PC se reiniciará ahora con el "Menú de opciones de arranque avanzadas". Haga clic en el botón de "Solucionar problemas", luego haga clic en el botón de "Opciones avanzadas". En la pantalla de opciones avanzadas, haga clic en "Configuración de inicio". Haga clic en el botón "Reiniciar". Su PC se reiniciará mostrando primero la pantalla de Configuración de inicio. Pulse F5 para arrancar en Modo seguro con funciones de red.

Modo seguro en Windows 8 con funciones de red

Este vídeo muestra cómo iniciar Windows 8 en "Modo seguro con funciones de red":

Usuarios de Windows 10: Haga clic en el logo de Windows y seleccione el icono de Inicio/Apagado. En el nuevo menú, haga clic en "Reiniciar" mientras mantiene pulsada la tecla "mayúsculas" en su teclado. En la ventana "seleccione una opción", haga clic en "Solucionar problemas" y luego en "Opciones avanzadas". En el menú de opciones avanzadas, seleccione "Configuración de inicio" y haga clic en el botón "Reiniciar". En la siguiente pantalla, tendrá que pulsar la tecla F5 de su teclado. Luego se reiniciará el sistema operativo en modo seguro con funciones de red

Modo seguro en Windows 10 con funciones de red

Este vídeo muestra cómo iniciar Windows 10 en "Modo seguro con funciones de red":

Paso 2

Inicie sesión con la cuenta que ha sido infectada con el virus Sodinokibi. Abra su navegador web y descargue un programa legítimo anti-spyware. Actualice el software antiespía e inicie un análisis de sistema completo. Elimine todas las entradas que se detecten

Si no puede arrancar su equipo en modo seguro con funciones de red, pruebe ejecutando una restauración del sistema.

Este vídeo muestra cómo eliminar el virus ransomware usando "Modo seguro con funciones de red" y "Restaurar sistema":

1. Durante el proceso de arranque de su ordenador, pulse la tecla F8 en su teclado varias veces hasta que se muestre el menú de Opciones avanzadas de Windows, luego seleccione Modo seguro con símbolo de sistema de la lista y pulse ENTER.

Inicie su sistema en modo seguro con símbolo de sistema

2. Cuando el símbolo del sistema se cargue, introduzca la siguiente línea: cd restore y pulse ENTER.

restauración de sistema usando símbolo del sistema cd restore

3. Luego teclee esta línea: rstrui.exe y pulse ENTER.

restaurar sistema usando símbolo de sistema rstrui.exe

4. En la nueva pantalla, haga clic en "Siguiente".

restaurar archivos del sistema y configuraciones

5. Seleccione uno de los puntos de restauración disponibles y haga clic en "Siguiente" (se restaurará el sistema de su equipo a una fecha anterior antes de que el ransomware Sodinokibi se introdujera en su PC).

seleccione un punto de restauración

6. En la ventana abierta, haga clic en "Sí".

ejecutar restauración de sistema

7. Después de restaurar su sistema a un punto anterior, descargue y analice su PC con un software de seguridad antimalware recomendado para eliminar los remanentes del virus Sodinokibi.

Para restaurar individualmente cada archivo encriptado por este virus, pruebe con la función versiones anteriores de archivo. Este método es únicamente eficaz si la función de Restaurar sistema estaba activa en el sistema operativo infectado. Tenga en cuenta que algunas variantes de Sodinokibi eliminan las instantáneas de volumen de los ficheros, por lo que puede que este método no funcione en algunos equipos.

Para restaurar un archivo, haga clic con el botón derecho del ratón sobre el archivo, seleccione Propiedades y haga clic en la pestaña Versiones anteriores. Si el archivo en cuestión tiene su punto de restauración, selecciónelo y haga clic en el botón "Restaurar".

Restaurando archivos encriptados por CryptoDefense

Si no puede iniciar su sistema en modo seguro con funciones de red (o con símbolo de sistema), inicie su ordenador usando un disco de rescate. Algunos tipos de ransomware desactivan el modo seguro, por lo que la desinfección es más compleja. Para este paso, necesitará tener acceso a otro PC.

Para recuperar el control de los archivos encriptados por Sodinokibi, pruebe un programa llamado Shadow Explorer. Aquí podrá leer más información sobre cómo usar este programa.

captura de pantalla de shadow explorer

Para proteger su equipo de virus encriptadores de archivos, analice su sistema con programas antivirus y antiespía fiables. Como medida de protección extra, le recomendamos el programa HitmanPro.Alert y EasySync CryptoMonitor que introduce de forma artificial directivas de grupo en el registro para bloquear programas maliciosos como Sodinokibi.

Tenga en cuenta que la actualización Windows 10 Fall Creators incluye la función "Acceso controlado a carpetas" que bloquea los intentos de los virus encriptadores para cifrar sus archivos. Por defecto, esta función protege de forma automática los archivos almacenados en Documentos, Imágenes, Vídeos, Música, Favoritos, así como las carpetas del escritorio.

acceso controlado a carpetas

Los usuarios de Windows 10 deberían instalar esta actualización para proteger sus archivos frente a los cibersecuestros. Aquí verá más información de cómo puede conseguir esta actualización para incrementar la protección de su equipo frente a las infecciones ransomware.

HitmanPro.Alert CryptoGuard detecta el cifrado de archivos y neutraliza tales intentos sin la necesidad de que el usuario intervenga:

la aplicación hitmanproalert que protege del ransomware

Malwarebytes Anti-Ransomware Beta recurre a tecnología avanzada proactiva que supervisa la actividad de los virus secuestradores de equipos y la interrumpe de inmediato antes de que afecten a los archivos de los usuarios:

malwarebytes anti-ransomware

  • La mejor forma de evitar daños ocasionados por infecciones de tipo ransomware (secuestradores de sistemas) es realizando habitualmente copias de seguridad. Aquí encontrará más información sobre soluciones informáticas para realizar copias de seguridad y para recuperar datos.

Otras herramientas conocidas para eliminar el virus Sodinokibi:

Fuente: https://www.pcrisk.com/removal-guides/14942-sodinokibi-ransomware

Acerca del autor:

Tomas Meskauskas

Me apasiona todo lo relacionado con seguridad informática y tecnología. Me avala una experiencia de más de 10 años trabajando para varias empresas de reparación de problemas técnicos y seguridad on-line. Como editor y autor de PCrisk, llevo trabajando desde 2010. Sígueme en Twitter y LinkedIn para no perderte nada sobre las últimas amenazas de seguridad en internet. Leer más sobre el autor.

El portal de seguridad PCrisk ha sido creado conjuntamente por varios investigadores de seguridad con el propósito de formar e informar a los usuarios sobre las últimas amenazas detectadas en internet. Podrá leer más información sobre los autores e investigadores que trabajan en PCrisk en nuestra página de Contacto.

Nuestras guías de desinfección de software malicioso son gratuitas. No obstante, si desea colaborar, puede realizar una donación.

Guías de desinfección en otros idiomas
Código QR
el virus Sodinokibi Código QR
Un código QR (código de respuesta rápida) es un código que puede ser escaneado usando dispositivos y que almacena direcciones web y otra información. Este código puede ser escaneado usando una cámara en un smartphone o tablet. Escanee este código QR para acceder fácilmente a la guía de desinfección de el virus Sodinokibi desde su dispositivo móvil.
Nuestra recomendación:

Despídase ya de el virus Sodinokibi:

▼ ELIMINAR AHORA con Spyhunter

Plataforma: Windows

Valoración de Spyhunter por parte del editor:
¡Excelente!

[Volver al principio]

Su detector gratuito verifica si su equipo está infectado. Para eliminar el software malicioso, tendrá que comprar la versión completa de Spyhunter.