Instrucciones para eliminar la infección por ransomware JSWRM

Conocido también como: el virus JSWRM
Propagación: Baja
Nivel de peligrosidad: Extremo

Instrucciones para eliminar el cibersecuestro JSWRM

¿Qué es JSWRM?

JSWRM es otro programa peligroso de tipo ransomware que fue descubierto por GrujaRS. Tras introducirse en el equipo, JSWRM encripta casi todos los archivos almacenados y añade una extensión a los nombres de archivo con un identificador único de víctima, el correo electrónico de los desarrolladores y ".JSWRM". Por ejemplo, el archivo "sample.jpg" encriptado pasaría a llamarse algo como "sample.jpg.[ID-EJ6BQNB][symmetries@tutamail.com].JSWRM". Una vez que los datos están cifrados, JSWRM genera una aplicación HTML ("JSWRM-DECRYPT.hta") y la suelta en el escritorio de la víctima. Esta aplicación muestra una ventana emergente que muestra un mensaje de petición de rescate.

Como se ha indicado anteriormente, la app "JSWRM-DECRYPT.hta" genera un mensaje que informa a las víctimas sobre el cifrado e les insta a contactar con los desarrolladores de JSWRM para pagar un rescate si quieren recuperar los archivos. No hay información sobre el cifrado, por lo que no se sabe de momento si JSWRM usa criptografía simétrica o asimétrica. En cualquier caso, para la desencriptación se necesita una clave generada de forma única para cada víctima. El problema está en que todas las claves se almacenan en un servidor remoto controlado por los ciberdelincuentes. Por este motivo, cada víctima tiene que pagar un rescate para poder descifrar sus datos. El precio no se sabe todavía, todos los datos se facilitan por e-mail. No obstante, cabe resaltar que los delincuentes suelen pedir unos $500-$1500 y exigen realizar los pagos en varias criptomonedas (p. ej., Bitcoin, Monero, DASH, Ethereum, etc.). Es importante saber que pagar no suele dar ningún resultado, ya que los desarrolladores del ransomware ignoran a menudo a sus víctimas una vez que han realizado el pago. Por esta razón, le recomendamos ignorar todas las instrucciones para realizar el pago y no contactar con esas personas. Por desgracia, JSWRM es un cibersecuestro indescifrable, por lo que no existe ninguna herramienta capaz de romper su cifrado y restaurar los datos de forma gratuita. Lo único que pueden hacer las víctimas es restaurarlo todo a partir de una copia de seguridad.

Captura de pantalla de un mensaje donde se pide a los usuarios pagar un rescate para descifrar los datos comprometidos:

instrucciones para desencriptar JSWRM

Existen decenas de infecciones tipo ransomware que comparten similitudes con JSWRM. Nusar, FreezedByWizard y Lotep son solo algunos ejemplos de una larga lista. Como ocurre con JSWRM, casi todas esas infecciones cifran datos y hacen peticiones de rescate. Aunque los desarrolladores cambia, las principales diferencias están en la cuantía del rescate y en el tipo de algoritmo de encriptación usado. Por desgracia, la mayor parte de las infecciones por ransomware usan criptografías que generan claves únicas de desencriptación. Por tanto, si el virus fue programado sin errores, será imposible descifrar los datos sin que intervengan los desarrolladores. Los cibersecuestros nos recuerdan lo importante que es realizar frecuentemente copias de seguridad. No obstante, asegúrese de almacenarlas en dispositivos extraíbles o servidores remotos, porque las copias de seguridad almacenadas de forma local podrían comprometerse junto con los datos del sistema. Asimismo, le recomendamos tener múltiples copias de seguridad almacenadas en distintas ubicaciones porque los dispositivos de almacenamiento o servidores pueden dañarse.

¿Cómo infectó un ransomware mi equipo?

Las infecciones de ransomware suelen propagarse a través de fuentes de descarga de software de terceros, campañas de spam, troyanos, así como software pirata. Las fuentes de descargas no oficiales como redes P2P, portales de descargas gratuitas, sitios de alojamiento de archivos, etc. presentan ejecutables maliciosos como software legítimo. De este modo, se engaña a los usuarios para que descarguen e instalen software malicioso. Lo mismo ocurre con las campañas de spam que se usan para enviar cientos de correos electrónicos que contienen adjuntos maliciosos (enlaces o archivos) y mensajes engañosos instando a los usuarios a que los abran. Para hacer el mensaje más creíble e incrementar la probabilidad de que los destinatarios caigan en la trampa, los delincuentes suelen presentar los adjuntos como documentos importantes (p. ej. facturas, recibos, albaranes o similar). Los troyanos son aplicaciones maliciosas que se infiltran en los equipos e inyectan software malicioso adicional en ellos. Los asistentes falsos de actualización y el software pirata infectan los sistemas en vez de actualizar u ofrecer acceso a funciones de pago. Resumiendo, las principales causas de la infección en equipos son la falta de conocimiento y un comportamiento imprudente del usuario.

Resumen de la amenaza:
Nombre el virus JSWRM
Tipo de amenaza Ransomware, virus criptográfico, bloqueador de archivos
Extensión de archivos encriptados Este ransomware añade a los archivos el identificador único de la víctima, el correo electrónico de los desarrolladores y la extensión ".JSWRM".
Mensaje para pedir el rescate Aplicación HTML JSWRM-DECRYPT.hta
Contacto del ciberdelincuente symmetries@tutamail.com, symmetries0@tutanota.com
Detectada como Avast (Win32:Malware-gen), BitDefender (Trojan.GenericKD.32095161), ESET-NOD32 (una variante de Win32/Injector.EGIR), Kaspersky (Trojan.Win32.VBKryjetor.byfc), lista completa de detecciones (VirusTotal)
Nombre del proceso malintencionado MANWARD6.exe (el nombre del proceso puede ser otro).
Síntomas No se pueden abrir los archivos almacenados en el equipo, los archivos que funcionaban anteriormente tienen una extensión diferente, por ejemplo, my.docx.locked. Se muestra un mensaje en el escritorio para pedir un rescate. Los ciberdelincuentes piden el pago de un rescate (normalmente en bitcoins) para desbloquear sus archivos.
Métodos de distribución Adjuntos infectados en correos (macros), sitios web torrent, anuncios maliciosos.
Daño Todos los archivos están encriptados y no se pueden abrir sin pagar el rescate- Otros troyanos que roban contraseñas e infecciones de malware pueden instalarse junto con la infección ransomware.
Eliminación

Para eliminar el virus JSWRM, nuestros investigadores de software malicioso recomiendan analizar el equipo con Malwarebytes.
▼ Descargar Malwarebytes
Su detector gratuito verifica si su equipo está infectado. Para usar el producto con todas las funciones, debe comprar una licencia para Malwarebytes. 14 días de prueba gratuita limitada disponible.

¿Cómo puede protegerse frente a infecciones por ransomware?

En primer lugar, los usuarios deberían darse cuenta de que la clave para tener seguridad informática es la precaución. Por tanto, manténgase alerta al navegar por internet y al descargar, instalar o actualizar software. Piénseselo dos veces antes de abrir adjuntos en correos. No deberían abrir nunca archivos que reciba de direcciones de correo electrónico sospechosas. Lo mismo aplica a los que sean irrelevantes o no sean de su interés. Asimismo, recomendamos descargar el software solo de fuentes oficiales a través de enlaces directos de descarga. Los instaladores o descargadores de terceros incluyen a menudo (empaquetan) programas dudosos y estas herramientas no deberían usarse. Es muy importante mantener las aplicaciones y el sistema operativo actualizados. Sin embargo, para lograrlo, los usuarios deberían usar solo funciones de actualización integradas o herramientas facilitadas por los desarrolladores oficiales. Asimismo, hay que resaltar que la piratería de software está considerada un ciberdelito, dado que casi todas las herramientas piratas son falsas y el riesgo de infección es extremadamente alto. Por este motivo, la piratería de software nunca debería ser una opción. Por último, asegúrese de tener instalado y en funcionamiento un programa antivirus o antiespía de confianza. Ese tipo de programas le ayudarán a detectar y eliminar el software malicioso antes de que dañe el sistema. Si su equipo ya está infectado con JSWRM, le recomendamos llevar a cabo un análisis con Malwarebytes para eliminar automáticamente este cibersecuestro.

Texto mostroad en la aplicación HTML del ransomware JSWRM ("JSWRM-DECRYPT.hta"):

Your files are corrupted!
Identificator for files: EJ6BQNB

E-mail for contact: symmetries@tutamail.com

Backup e-mail for contact : symmetries0@tutanota.com

Free decryption as guarantee!
Before paying you can request free decryption of 3 files.

Total size of files must be less than 5MB (non-archived).

Files shouldn't contain valuable information (accept only txt\jpg\png).


Attention!
Don't try to decrypt it manually.

Don't rename extension of files.

Don't try to write AV companies (they can't help you).

Captura de pantalla del proceso JSWRM ("MANWARD6.exe") en el Administrador de tareas:

JSWRM en el Administrador de tareas

Captura de pantalla de los archivos encriptados por JSWRM (extensión ".JSWRM"):

archivos encriptados por JSWRM

Eliminar el cibersecuestro JSWRM:

Eliminar automáticamente de forma instantánea el virus JSWRM: Eliminar las amenazas de forma manual puede acabar siendo un proceso largo y tedioso que precisa de conocimientos informáticos avanzados. Malwarebytes es una herramienta profesional para eliminar software malicioso de forma automática y está recomendada para acabar con el virus JSWRM. La descarga se iniciará al hacer clic en el siguiente botón:
▼ DESCARGAR Malwarebytes Su detector gratuito verifica si su equipo está infectado. Para usar el producto con todas las funciones, debe comprar una licencia para Malwarebytes. 14 días de prueba gratuita limitada disponible. Si decide descargar este programa, quiere decir que usted está conforme con nuestra Política de privacidad y Condiciones de uso.

Menú rápido:

Paso 1

Usuarios de Windows XP y Windows 7: Inicie su equipo en modo seguro. Haga clic en Inicio, Apagar, Reiniciar y aceptar. Mientras el equipo arranca, pulse la tecla F8 en su teclado varias veces hasta que vea el menú de Opciones avanzadas de Windows, luego seleccione modo seguro con funciones de red de la lista.

Modo seguro con funciones de red

Este vídeo muestra cómo iniciar Windows 7 en "Modo seguro con funciones de red":

Usuarios de Windows 8: Inicie Windows 8 en modo seguro con funciones de red: Diríjase a la pantalla de inicio de Windows 8, escriba "avanzadas", en los resultados de búsqueda, seleccione "Cambiar opciones avanzadas de inicio". En la nueva ventana "Configuración de PC", vaya hasta la sección "Inicio avanzado".  Haga clic en el botón "Reiniciar ahora". Su PC se reiniciará ahora con el "Menú de opciones de arranque avanzadas". Haga clic en el botón de "Solucionar problemas", luego haga clic en el botón de "Opciones avanzadas". En la pantalla de opciones avanzadas, haga clic en "Configuración de inicio". Haga clic en el botón "Reiniciar". Su PC se reiniciará mostrando primero la pantalla de Configuración de inicio. Pulse F5 para arrancar en Modo seguro con funciones de red.

Modo seguro en Windows 8 con funciones de red

Este vídeo muestra cómo iniciar Windows 8 en "Modo seguro con funciones de red":

Usuarios de Windows 10: Haga clic en el logo de Windows y seleccione el icono de Inicio/Apagado. En el nuevo menú, haga clic en "Reiniciar" mientras mantiene pulsada la tecla "mayúsculas" en su teclado. En la ventana "seleccione una opción", haga clic en "Solucionar problemas" y luego en "Opciones avanzadas". En el menú de opciones avanzadas, seleccione "Configuración de inicio" y haga clic en el botón "Reiniciar". En la siguiente pantalla, tendrá que pulsar la tecla F5 de su teclado. Luego se reiniciará el sistema operativo en modo seguro con funciones de red

Modo seguro en Windows 10 con funciones de red

Este vídeo muestra cómo iniciar Windows 10 en "Modo seguro con funciones de red":

Paso 2

Inicie sesión con la cuenta que ha sido infectada con el virus JSWRM. Abra su navegador web y descargue un programa legítimo anti-spyware. Actualice el software antiespía e inicie un análisis de sistema completo. Elimine todas las entradas que se detecten

Si no puede arrancar su equipo en modo seguro con funciones de red, pruebe ejecutando una restauración del sistema.

Este vídeo muestra cómo eliminar el virus ransomware usando "Modo seguro con funciones de red" y "Restaurar sistema":

1. Durante el proceso de arranque de su ordenador, pulse la tecla F8 en su teclado varias veces hasta que se muestre el menú de Opciones avanzadas de Windows, luego seleccione Modo seguro con símbolo de sistema de la lista y pulse ENTER.

Inicie su sistema en modo seguro con símbolo de sistema

2. Cuando el símbolo del sistema se cargue, introduzca la siguiente línea: cd restore y pulse ENTER.

restauración de sistema usando símbolo del sistema cd restore

3. Luego teclee esta línea: rstrui.exe y pulse ENTER.

restaurar sistema usando símbolo de sistema rstrui.exe

4. En la nueva pantalla, haga clic en "Siguiente".

restaurar archivos del sistema y configuraciones

5. Seleccione uno de los puntos de restauración disponibles y haga clic en "Siguiente" (se restaurará el sistema de su equipo a una fecha anterior antes de que el ransomware JSWRM se introdujera en su PC).

seleccione un punto de restauración

6. En la ventana abierta, haga clic en "Sí".

ejecutar restauración de sistema

7. Después de restaurar su sistema a un punto anterior, descargue y analice su PC con un software de seguridad antimalware recomendado para eliminar los remanentes del virus JSWRM.

Para restaurar individualmente cada archivo encriptado por este virus, pruebe con la función versiones anteriores de archivo. Este método es únicamente eficaz si la función de Restaurar sistema estaba activa en el sistema operativo infectado. Tenga en cuenta que algunas variantes de JSWRM eliminan las instantáneas de volumen de los ficheros, por lo que puede que este método no funcione en algunos equipos.

Para restaurar un archivo, haga clic con el botón derecho del ratón sobre el archivo, seleccione Propiedades y haga clic en la pestaña Versiones anteriores. Si el archivo en cuestión tiene su punto de restauración, selecciónelo y haga clic en el botón "Restaurar".

Restaurando archivos encriptados por CryptoDefense

Si no puede iniciar su sistema en modo seguro con funciones de red (o con símbolo de sistema), inicie su ordenador usando un disco de rescate. Algunos tipos de ransomware desactivan el modo seguro, por lo que la desinfección es más compleja. Para este paso, necesitará tener acceso a otro PC.

Para recuperar el control de los archivos encriptados por JSWRM, pruebe un programa llamado Shadow Explorer. Aquí podrá leer más información sobre cómo usar este programa.

captura de pantalla de shadow explorer

Para proteger su equipo de virus encriptadores de archivos, analice su sistema con programas antivirus y antiespía fiables. Como medida de protección extra, le recomendamos el programa HitmanPro.Alert y EasySync CryptoMonitor que introduce de forma artificial directivas de grupo en el registro para bloquear programas maliciosos como JSWRM.

Tenga en cuenta que la actualización Windows 10 Fall Creators incluye la función "Acceso controlado a carpetas" que bloquea los intentos de los virus encriptadores para cifrar sus archivos. Por defecto, esta función protege de forma automática los archivos almacenados en Documentos, Imágenes, Vídeos, Música, Favoritos, así como las carpetas del escritorio.

acceso controlado a carpetas

Los usuarios de Windows 10 deberían instalar esta actualización para proteger sus archivos frente a los cibersecuestros. Aquí verá más información de cómo puede conseguir esta actualización para incrementar la protección de su equipo frente a las infecciones ransomware.

HitmanPro.Alert CryptoGuard detecta el cifrado de archivos y neutraliza tales intentos sin la necesidad de que el usuario intervenga:

la aplicación hitmanproalert que protege del ransomware

Malwarebytes Anti-Ransomware Beta recurre a tecnología avanzada proactiva que supervisa la actividad de los virus secuestradores de equipos y la interrumpe de inmediato antes de que afecten a los archivos de los usuarios:

malwarebytes anti-ransomware

  • La mejor forma de evitar daños ocasionados por infecciones de tipo ransomware (secuestradores de sistemas) es realizando habitualmente copias de seguridad. Aquí encontrará más información sobre soluciones informáticas para realizar copias de seguridad y para recuperar datos.

Otras herramientas conocidas para eliminar el virus JSWRM:

Fuente: https://www.pcrisk.com/removal-guides/15332-jswrm-ransomware

Acerca del autor:

Tomas Meskauskas

Me apasiona todo lo relacionado con seguridad informática y tecnología. Me avala una experiencia de más de 10 años trabajando para varias empresas de reparación de problemas técnicos y seguridad on-line. Como editor y autor de PCrisk, llevo trabajando desde 2010. Sígueme en Twitter y LinkedIn para no perderte nada sobre las últimas amenazas de seguridad en internet. Leer más sobre el autor.

El portal de seguridad PCrisk ha sido creado conjuntamente por varios investigadores de seguridad con el propósito de formar e informar a los usuarios sobre las últimas amenazas detectadas en internet. Podrá leer más información sobre los autores e investigadores que trabajan en PCrisk en nuestra página de Contacto.

Nuestras guías de desinfección de software malicioso son gratuitas. No obstante, si desea colaborar, puede realizar una donación.

Guías de desinfección en otros idiomas
Código QR
el virus JSWRM Código QR
Un código QR (código de respuesta rápida) es un código que puede ser escaneado usando dispositivos y que almacena direcciones web y otra información. Este código puede ser escaneado usando una cámara en un smartphone o tablet. Escanee este código QR para acceder fácilmente a la guía de desinfección de el virus JSWRM desde su dispositivo móvil.
Nuestra recomendación:

Despídase ya de el virus JSWRM:

▼ ELIMINAR AHORA con Malwarebytes

Plataforma: Windows

Valoración de Malwarebytes por parte del editor:
¡Excelente!

[Volver al principio]

Su detector gratuito verifica si su equipo está infectado. Para usar el producto con todas las funciones, debe comprar una licencia para Malwarebytes. 14 días de prueba gratuita limitada disponible.