Ransomware MegaCortex

Conocido también como: el virus MegaCortex
Propagación: Baja
Nivel de peligrosidad: Extremo

Instrucciones para eliminar el secuestrador de equipos MegaCortex

¿Qué es MegaCortex?

Ransomware es un tipo de software que cifra datos y archivos almacenados en el equipo de la víctima y los mantiene inaccesibles salvo que se pague un rescate. MegaCortex es uno de esos programas que fue descubierto por Michael Gillespie. También cambia el nombre de todos los archivos encriptados añadiendo la extensión ".aes128ctr"; por ejemplo, cambia el nombre de "1.jpg" por "1.jpg.aes128ctr", etc. Asimismo, crea un aviso de rescate, el archivo "!!!_READ_ME_!!!.txt" y lo pone en carpetas que contienen archivos cifrados.

Básicamente,"!!!_READ_ME_!!!.txt" se crea para informar a las víctimas de cómo pueden descifrar sus archivos. Dice que la única forma de hace esto es usando su herramienta de descifrado. No se sabe cuánto cuesta; sin embargo, esta información se debería de facilitar tras contactar con los desarrolladores de MegaCortex a través de shawhart1542925@mail.com o anderssperry6654818@mail.com. Se pide a las víctimas que no reinicien o apaguen sus equipos; de lo contrario, podrían perder sus datos de forma permanente. Como señal de que tienen la herramienta de descifrado, ofrecen descifrar dos archivos de forma gratuita que deberían enviarse junto con el archivo "fracxidg.tsv" (según ellos, aparece en la unidad "C:"). Aunque vayan a descifrar algunos archivos gratis, no debería fiarse. Es muy común que los desarrolladores de ransomware no envíen las herramientas de descifrado aunque se hayan satisfecho sus demandas de pago. Por desgracia, los usuarios que desarrollan esos programas usan algoritmos criptográficos que aseguran un potente cifrado imposible de descifrar sin usar la herramienta adecuada que tienen solo los ciberdelincuentes. Normalmente, la única forma gratuita de acceder a los archivos descifrados de nuevo es restaurarlos a partir de una copia de seguridad.

Captura de pantalla del mensaje donde se insta a los usuarios a pagar la recompensa para desencriptar los archivos afectados:

instrucciones para desencriptar MegaCortex

Algunos ejemplos de otros programas de tipo ransomware que son similares a MegaCortex son Prodecryptor, Todarius y Sodinokibi. Lo que tienen en común casi todos esos programas es que están diseñados para encriptar datos y mantenerlos bloqueados a no ser que se pague el rescate. Las diferencias más comunes están en la cuantía del rescate y el tipo de algoritmo usado para encriptar los archivos (simétrico o asimétrico). El principal problema es que casi ningún programa de tipo ransomware se puede crackear sin usar la herramienta adecuada, normalmente los desarrolladores son los únicos que la tienen. Es solo posible llevar a cabo un descifrado sin su colaboración si sus programas están inacabados o tienen algunos errores o fallos de seguridad. Por ello, recomendamos crear copias de seguridad de los datos de forma regular y conservarlos en un servidor remoto o en un dispositivo de almacenamiento.

¿Cómo llegó el cibersecuestro a mi equipo?

Los resultados del estudio muestran que los ciberdelincuentes suelen propagar MegaCortex usando el troyano Cobalt Strike. Es sabido que los delincuentes usan cuentas de administrador en el sistema secuestrado para ejecutar un script en PowerShell, que es básicamente un script de Cobalt Strike codificado en Base64. Este script está diseñado para abrir un shell inverso Meterpreter que permite a los ciberdelincuentes usar Windows PowerShell de forma remota. Los delincuentes usan luego el shell inverso para descargar varios archivos en todos los equipos conectados a la red, lo cual quiere decir que MegaCortex se inyecta en múltiples equipos a la vez. Antes de ejecutar el software malicioso, los delincuentes ejecutan un archivo batch que finaliza más de cien procesos del sistema e inhabilita su ejecución al inicio. Una vez hecho esto, se abre el ejecutable de MegaCortex. La lista de procesos finalizados o desactivados incluye principalmente a aquellos relacionados con la protección del sistema y aplicaciones antivirus. Ahora bien, en contraste con otras infecciones de tipo ransomware, este método de distribución es bastante inusual porque casi todas esas infecciones se propagan a través de correo basura, troyanos, varios programas de dudosa fiabilidad y falsos actualizadores. Si los delincuentes usan campañas de correo basura, entonces envían correos que incluyen adjuntos maliciosos. El objetivo principal de esos correos es engañar a los usuarios para que abran esos adjuntos. En casi todos los casos, los archivos adjuntos son archivos ejecutables (.exe), documentos Microsoft Office o PDF, archivos como ZIP, RAR, JavaScript.  Al abrirse, esos archivos descargan e instalan ransomware u otra infección informática de alto riesgo. Los troyanos son programas maliciosos que están diseñados para propagar otras infecciones. Sin embargo, para ocasionar algún daño tienen que estar instalados previamente. Una vez instalados, descargan e instalan programas maliciosos. Varias plataformas gratuitas de alojamiento de archivos, sitios web de descargas gratuitas, redes P2P y otras fuentes sospechosas de descarga de software pueden usarse por parte de ciberdelincuentes para propagar virus también. Usan esos canales para presentar sus ejecutables maliciosos que, si se descargan y abren, infectarán los equipos con software malicioso. Al usar estos canales, los usuarios corren el riesgo de ocasionar infecciones informáticas por sí mismos. Los actualizadores falsos de software suelen infectar sistemas, bien descargando software malicioso en vez de actualizaciones, o bien abusando de fallas de seguridad en el software. Las herramientas de piratería son programas que están diseñados para activar software de licencia gratuitamente. Sin embargo, es bastante común que los ciberdelincuentes usen esas herramientas para propagar virus también. En pocas palabras, en vez de piratear software, esos programas descargan e instalan programas de tipo ransomware y maliciosos.

Datos básicos de la amenaza:
Nombre     el virus MegaCortex
Tipo de amenaza Ransomware, virus criptográfico, cibersecuestro
Detectada como (winnit.exe) Avast (Win32:Malware-gen), BitDefender (Trojan.Ransom.CBH), ESET-NOD32 (a variant of Win32/Agent.AAPF), Kaspersky (UDS:DangerousObject.Multi.Generic), Full List Of Detections (VirusTotal)
Extensión de los archivos encriptados .aes128ctr
Mensaje de petición de rescate !!!_READ_ME_!!!.txt text file
Contacto del ciberdelincuente shawhart1542925@mail.com, anderssperry6654818@mail.com
Síntomas    No se pueden abrir los archivos almacenados en el equipo, los archivos que antes funcionaban tienen ahora una extensión diferente, por ejemplo my.docx.locked. Se muestra un mensaje en el escritorio para pedir un rescate. Los ciberdelincuentes solicitan el pago de una suma (normalmente en Bitcoins) para desbloquear los archivos.
Formas de distribución Adjuntos por e-mail infectados (macros), sitios web torrent, anuncios maliciosos.
Daño    Todos los archivos están cifrados y no pueden abrirse si no se ha pagado un rescate. Se pueden instalar otros troyanos que roban contraseñas e infecciones de malware junto con una infección ransomware.
Eliminación

Para eliminar el virus MegaCortex, nuestros investigadores de software malicioso recomiendan analizar el equipo con Spyhunter.
▼ Descargar Spyhunter
Su detector gratuito verifica si su equipo está infectado. Para eliminar el software malicioso, tendrá que comprar la versión completa de Spyhunter.

¿Cómo protegerse de los cibersecuestros?

Le recomendamos encarecidamente analizar cada correo antes de abrir los adjuntos o enlaces presentes en ellos. Sobre todo, si son recibidos por parte de direcciones sospechosas o desconocidas y son irrelevantes. Los correos de este tipo deberían ignorarse (deje cerrados los adjuntos). También es importante descargar el software deseado solo de fuentes oficiales usando la URL de descarga directa. No debería fiarse de ninguna herramienta mencionada anteriormente. Mantener el software actualizado es importante; sin embargo, esto debería hacerse con funciones o herramientas integradas proporcionadas por el desarrollador oficial. Lo mismo aplica a las activaciones de software, las herramientas de piratería no son legales; aparte, suelen infectar los equipos con varios programas maliciosos. Asimismo, imprescindible tener instalada y en funcionamiento una solución fiable antivirus o antiespía. Si su equipo está infectado ya con MegaCortex, le recomendamos ejecutar un análisis con Spyhunter para eliminarlos de forma automática.

Texto mostrado en el archivo de texto del ransomware MegaCortex ("!!!_READ_ME_!!!.txt"):

Your companies cyber defense systems have been weighed, measured and have been found wanting.
The breach is a result of grave neglect of security protocols.
All of your computers have been corrupted with MegaCortex malware that has encrypted your files.

We ensure that the only way to retrieve your data swiftly and securely is with our software.
Restoration of your data requires a private key which only we possess.
Don't waste your time and money purchasing third party software, without the private key they are useless.

It is critical that you don't restart or shutdown your computer.
This may lead to irreversible damage to your data and you may not be able to turn your computer back on.

To confirm that our software works email to us 2 files from random computers and C:\fracxidg.tsv file('s)
and you will get them decrypted.
C:\fracxidg.tsv contain encrypted session keys we need in order to be able to decrypt your files.

The softwares price will include a guarantee that your company will never be inconvenienced by us.
You will also receive a consultation on how to improve your companies cyber security .
If you want to purchase our software to restore your data contact us at:

shawhart1542925@mail.com
anderssperry6654818@mail.com

We can only show you the door. You're the one who has to walk through it.

Captura de pantalla de archivos cifrados por MegaCortex (extensión ".aes128ctr"):

archivos cifrados por MegaCortex

Eliminar el cibersecuestro MegaCortex:

Eliminar automáticamente de forma instantánea el virus MegaCortex: Eliminar las amenazas de forma manual puede acabar siendo un proceso largo y tedioso que precisa de conocimientos informáticos avanzados. Spyhunter es una herramienta profesional para eliminar software malicioso de forma automática y está recomendada para acabar con el virus MegaCortex. La descarga se iniciará al hacer clic en el siguiente botón:
▼ DESCARGAR Spyhunter Su detector gratuito verifica si su equipo está infectado. Para eliminar el software malicioso, tendrá que comprar la versión completa de Spyhunter. Si decide descargar este programa, quiere decir que usted está conforme con nuestra Política de privacidad y Condiciones de uso.

Menú rápido:

Paso 1

Usuarios de Windows XP y Windows 7: Inicie su equipo en modo seguro. Haga clic en Inicio, Apagar, Reiniciar y aceptar. Mientras el equipo arranca, pulse la tecla F8 en su teclado varias veces hasta que vea el menú de Opciones avanzadas de Windows, luego seleccione modo seguro con funciones de red de la lista.

Modo seguro con funciones de red

Este vídeo muestra cómo iniciar Windows 7 en "Modo seguro con funciones de red":

Usuarios de Windows 8: Inicie Windows 8 en modo seguro con funciones de red: Diríjase a la pantalla de inicio de Windows 8, escriba "avanzadas", en los resultados de búsqueda, seleccione "Cambiar opciones avanzadas de inicio". En la nueva ventana "Configuración de PC", vaya hasta la sección "Inicio avanzado".  Haga clic en el botón "Reiniciar ahora". Su PC se reiniciará ahora con el "Menú de opciones de arranque avanzadas". Haga clic en el botón de "Solucionar problemas", luego haga clic en el botón de "Opciones avanzadas". En la pantalla de opciones avanzadas, haga clic en "Configuración de inicio". Haga clic en el botón "Reiniciar". Su PC se reiniciará mostrando primero la pantalla de Configuración de inicio. Pulse F5 para arrancar en Modo seguro con funciones de red.

Modo seguro en Windows 8 con funciones de red

Este vídeo muestra cómo iniciar Windows 8 en "Modo seguro con funciones de red":

Usuarios de Windows 10: Haga clic en el logo de Windows y seleccione el icono de Inicio/Apagado. En el nuevo menú, haga clic en "Reiniciar" mientras mantiene pulsada la tecla "mayúsculas" en su teclado. En la ventana "seleccione una opción", haga clic en "Solucionar problemas" y luego en "Opciones avanzadas". En el menú de opciones avanzadas, seleccione "Configuración de inicio" y haga clic en el botón "Reiniciar". En la siguiente pantalla, tendrá que pulsar la tecla F5 de su teclado. Luego se reiniciará el sistema operativo en modo seguro con funciones de red

Modo seguro en Windows 10 con funciones de red

Este vídeo muestra cómo iniciar Windows 10 en "Modo seguro con funciones de red":

Paso 2

Inicie sesión con la cuenta que ha sido infectada con el virus MegaCortex. Abra su navegador web y descargue un programa legítimo anti-spyware. Actualice el software antiespía e inicie un análisis de sistema completo. Elimine todas las entradas que se detecten

Si no puede arrancar su equipo en modo seguro con funciones de red, pruebe ejecutando una restauración del sistema.

Este vídeo muestra cómo eliminar el virus ransomware usando "Modo seguro con funciones de red" y "Restaurar sistema":

1. Durante el proceso de arranque de su ordenador, pulse la tecla F8 en su teclado varias veces hasta que se muestre el menú de Opciones avanzadas de Windows, luego seleccione Modo seguro con símbolo de sistema de la lista y pulse ENTER.

Inicie su sistema en modo seguro con símbolo de sistema

2. Cuando el símbolo del sistema se cargue, introduzca la siguiente línea: cd restore y pulse ENTER.

restauración de sistema usando símbolo del sistema cd restore

3. Luego teclee esta línea: rstrui.exe y pulse ENTER.

restaurar sistema usando símbolo de sistema rstrui.exe

4. En la nueva pantalla, haga clic en "Siguiente".

restaurar archivos del sistema y configuraciones

5. Seleccione uno de los puntos de restauración disponibles y haga clic en "Siguiente" (se restaurará el sistema de su equipo a una fecha anterior antes de que el ransomware MegaCortex se introdujera en su PC).

seleccione un punto de restauración

6. En la ventana abierta, haga clic en "Sí".

ejecutar restauración de sistema

7. Después de restaurar su sistema a un punto anterior, descargue y analice su PC con un software de seguridad antimalware recomendado para eliminar los remanentes del virus MegaCortex.

Para restaurar individualmente cada archivo encriptado por este virus, pruebe con la función versiones anteriores de archivo. Este método es únicamente eficaz si la función de Restaurar sistema estaba activa en el sistema operativo infectado. Tenga en cuenta que algunas variantes de MegaCortex eliminan las instantáneas de volumen de los ficheros, por lo que puede que este método no funcione en algunos equipos.

Para restaurar un archivo, haga clic con el botón derecho del ratón sobre el archivo, seleccione Propiedades y haga clic en la pestaña Versiones anteriores. Si el archivo en cuestión tiene su punto de restauración, selecciónelo y haga clic en el botón "Restaurar".

Restaurando archivos encriptados por CryptoDefense

Si no puede iniciar su sistema en modo seguro con funciones de red (o con símbolo de sistema), inicie su ordenador usando un disco de rescate. Algunos tipos de ransomware desactivan el modo seguro, por lo que la desinfección es más compleja. Para este paso, necesitará tener acceso a otro PC.

Para recuperar el control de los archivos encriptados por MegaCortex, pruebe un programa llamado Shadow Explorer. Aquí podrá leer más información sobre cómo usar este programa.

captura de pantalla de shadow explorer

Para proteger su equipo de virus encriptadores de archivos, analice su sistema con programas antivirus y antiespía fiables. Como medida de protección extra, le recomendamos el programa HitmanPro.Alert y EasySync CryptoMonitor que introduce de forma artificial directivas de grupo en el registro para bloquear programas maliciosos como MegaCortex.

Tenga en cuenta que la actualización Windows 10 Fall Creators incluye la función "Acceso controlado a carpetas" que bloquea los intentos de los virus encriptadores para cifrar sus archivos. Por defecto, esta función protege de forma automática los archivos almacenados en Documentos, Imágenes, Vídeos, Música, Favoritos, así como las carpetas del escritorio.

acceso controlado a carpetas

Los usuarios de Windows 10 deberían instalar esta actualización para proteger sus archivos frente a los cibersecuestros. Aquí verá más información de cómo puede conseguir esta actualización para incrementar la protección de su equipo frente a las infecciones ransomware.

HitmanPro.Alert CryptoGuard detecta el cifrado de archivos y neutraliza tales intentos sin la necesidad de que el usuario intervenga:

la aplicación hitmanproalert que protege del ransomware

Malwarebytes Anti-Ransomware Beta recurre a tecnología avanzada proactiva que supervisa la actividad de los virus secuestradores de equipos y la interrumpe de inmediato antes de que afecten a los archivos de los usuarios:

malwarebytes anti-ransomware

  • La mejor forma de evitar daños ocasionados por infecciones de tipo ransomware (secuestradores de sistemas) es realizando habitualmente copias de seguridad. Aquí encontrará más información sobre soluciones informáticas para realizar copias de seguridad y para recuperar datos.

Otras herramientas conocidas para eliminar el virus MegaCortex:

Fuente: https://www.pcrisk.com/removal-guides/14954-megacortex-ransomware

Acerca del autor:

Tomas Meskauskas

Me apasiona todo lo relacionado con seguridad informática y tecnología. Me avala una experiencia de más de 10 años trabajando para varias empresas de reparación de problemas técnicos y seguridad on-line. Como editor y autor de PCrisk, llevo trabajando desde 2010. Sígueme en Twitter y LinkedIn para no perderte nada sobre las últimas amenazas de seguridad en internet. Leer más sobre el autor.

El portal de seguridad PCrisk ha sido creado conjuntamente por varios investigadores de seguridad con el propósito de formar e informar a los usuarios sobre las últimas amenazas detectadas en internet. Podrá leer más información sobre los autores e investigadores que trabajan en PCrisk en nuestra página de Contacto.

Nuestras guías de desinfección de software malicioso son gratuitas. No obstante, si desea colaborar, puede realizar una donación.

Guías de desinfección en otros idiomas
Código QR
el virus MegaCortex Código QR
Un código QR (código de respuesta rápida) es un código que puede ser escaneado usando dispositivos y que almacena direcciones web y otra información. Este código puede ser escaneado usando una cámara en un smartphone o tablet. Escanee este código QR para acceder fácilmente a la guía de desinfección de el virus MegaCortex desde su dispositivo móvil.
Nuestra recomendación:

Despídase ya de el virus MegaCortex:

▼ ELIMINAR AHORA con Spyhunter

Plataforma: Windows

Valoración de Spyhunter por parte del editor:
¡Excelente!

[Volver al principio]

Su detector gratuito verifica si su equipo está infectado. Para eliminar el software malicioso, tendrá que comprar la versión completa de Spyhunter.