¿Cómo eliminar la infección por ransomware de BORISHORSE?

Conocido también como: el virus BORISHORSE
Propagación: Baja
Nivel de peligrosidad: Extremo

Instrucciones para eliminar el cibersecuestro BORISHORSE

¿Qué es BORISHORSE?

BORISHORSE es otra versión de la infección ransomware Dharma. La finalidad de este software malicioso es introducirse silenciosamente en los sistemas y cifrar datos almacenados. Durante ese proceso, BORISHORSE cambia el nombre de cada archivo comprometido añadiendo el identificador único de la víctima, dirección de correo del desarrollador y la extensión ".BORISHORSE" (como el nombre del ransomware). Por ejemplo, "1.jpg" encriptado pasaría a llamarse algo como "1.jpg.id[1E857D00-2271].[worldofdonkeys@protonmail.com].BORISHORSE". Asimismo, BORISHORSE genera dos archivos: "info.hta" (aplicación HTML que muestra una ventana emergente) y "info.txt", y los deja en el escritorio de la víctima. BORISHORSE fue descubierto por primera vez por Raby.

El archivo de texto creado contiene un breve mensaje en el que se informa a las víctimas sobre el cifrado y se las anima a contactar con ciberdelincuentes si desean recuperar los datos. Entretanto, la ventana emergente (aplicación HTML) ofrece muchos más detalles. Básicamente dice que los desarrolladores son los únicos que pueden descifrar los datos comprometidos. Para recibir la herramienta de descifrado, cada víctima tiene que pagar un rescate. El precio no se especifica, todas las instrucciones de pago y para el descifrado se facilitan por e-mail. No obstante, deberíamos informar a las víctimas que la cuantía el rescate suele oscilar entre 500 y 1500 USD. Lo único que el mensaje dice es que el pago debe realizarse con la criptomoneda Bitcoin. Los desarrolladores de BORISHORSE ofrecen también descifrar 3 archivos gratuitamente. Sin embargo, los archivos no pueden contener datos valiosos y su cuantía total no puede exceder de 4MB. Los delincuentes siguen esta estrategia para ganarse la confianza de la víctima. Sin embargo, no debería fiarse nunca de esos individuos porque los ciberdelincuentes de ransomware son conocidos por ignorar a las víctimas cuando se realicen los pagos. Con otras palabras, los usuarios pagan rescates y normalmente no obtienen nada a cambio. Por este motivo, debe ignorar todas las peticiones de contacto con esas personas y no pagar ninguna recompensa. Lamentablemente, no existen herramientas capaces de "crackear" la encriptación de BORISHORSE para recuperar los archivos de forma gratuita. La única solución posible es restaurarlo todo a partir de una copia de seguridad.

Captura de pantalla de un mensaje instando a los usuarios a pagar un rescate para descifrar los datos comprometidos:

instrucciones para descifrar BORISHORSE

Hay cientos de infecciones de tipo ransomware que comparten similitudes con BORISHORSE (p. ej., Masok, ERIS RANSOMWARE v2, GermanWiper. Casi todas ellas están diseñadas para comprometer los datos (normalmente, cifrándolos) para que los desarrolladores pidan un rescate. La única diferencia principal está en la cuantía del rescate y el tipo de algoritmo de cifrado usado. Por desgracia, los cifrados suelen realizarse usando criptografías RSA, AES u otro tipo de alta calidad, lo cual genera claves de descifrado únicas. Por este motivo, es prácticamente imposible desencriptar los datos sin que intervengan los desarrolladores. La única posibilidad de restaurar los archivos es ver si el ransomware está incompleto en cuanto a desarrollo o tiene ciertos fallos de seguridad (por ejemplo, la clave está incluida el código fuente, almacenada localmente, etc.). Los cibersecuestros nos recuerdan lo importante que es realizar frecuentemente copias de seguridad. No obstante, asegúrese de almacenarlas en dispositivos extraíbles o servidores remotos, porque las copias de seguridad almacenadas de forma local podrían comprometerse junto con los datos del sistema. Asimismo, le recomendamos tener múltiples copias de seguridad almacenadas en distintas ubicaciones porque los dispositivos de almacenamiento o servidores pueden dañarse.

¿Cómo infectó un ransomware mi equipo?

Las infecciones de ransomware suelen propagarse a través de fuentes de descarga de software de terceros, campañas de spam, troyanos, así como software pirata. Las campañas de spam se usan para enviar cientos de correos electrónicos engañosos que contienen adjuntos maliciosos y mensajes engañosos que los presentan como documentos importantes (p. ej. facturas, recibos, albaranes, etc.). Los delincuentes hacen esto para dar la impresión de legitimidad y engañan a los usuarios para que los abran. Las fuentes de descargas no oficiales (redes P2P, portales de descargas gratuitas, sitios de alojamiento de archivos, etc.) se usan también de un modo similar. Los desarrolladores presentan apps maliciosas como legítimas, de ahí que se engañe a los usuarios para que descarguen e instalen el software malicioso por sí mismos. En el siguiente intento, los troyanos que son en esencia aplicaciones ligeras que, una vez infiltradas, descargan e instalan software malicioso adicional. Los asistentes falsos de actualizaciones suelen infectar los sistemas haciendo un mal uso de errores o fallos de seguridad o simplemente con la descarga e instalación de software malicioso en lugar de ofrecer las actualizaciones prometidas. Lo mismo aplica a las herramientas de piratería que inyectan software malicioso en vez de ofrecer a los usuarios acceso a funciones de pago. En resumen, los principales motivos por los que se infecta el equipo son la falta de conocimiento y un comportamiento imprudente.

Resumen de la amenaza:
Nombre el virus BORISHORSE
Tipo de amenaza Ransomware, virus criptográfico, bloqueador de archivos
Extensión de archivos encriptados .BORISHORSE (este ransomware añade también el identificador único de víctima y los correos de los desarrolladores al nombre de archivo).
Mensaje para pedir el rescate info.hta (aplicación HTML), info.txt
Contacto del ciberdelincuente worldofdonkeys@protonmail.com, worldofdonkeys@xmpp.jp (cliente Jabber), beautydonkey@xmpp.jp (cliente Jabber)
Detectada como Avast (Win32:Malware-gen), BitDefender (Gen:Variant.Ulise.39944), ESET-NOD32 (una versión de Win32/Filecoder.Phobos.C), Kaspersky (HEUR:Trojan.Win32.Generic), lista completa de detecciones (VirusTotal)
Síntomas No se pueden abrir los archivos almacenados en el equipo, los archivos que funcionaban anteriormente tienen una extensión diferente, por ejemplo, my.docx.locked. Se muestra un mensaje en el escritorio para pedir un rescate. Los ciberdelincuentes piden el pago de un rescate (normalmente en bitcoins) para desbloquear sus archivos.
Métodos de distribución Adjuntos infectados en correos (macros), sitios web torrent, anuncios maliciosos.
Daño Todos los archivos están encriptados y no se pueden abrir sin pagar el rescate- Otros troyanos que roban contraseñas e infecciones de malware pueden instalarse junto con la infección ransomware.
Eliminación

Para eliminar el virus BORISHORSE, nuestros investigadores de software malicioso recomiendan analizar el equipo con Spyhunter.
▼ Descargar Spyhunter
Su detector gratuito verifica si su equipo está infectado. Para eliminar el software malicioso, tendrá que comprar la versión completa de Spyhunter.

¿Cómo puede protegerse frente a infecciones por ransomware?

Para prevenir esta situación, los usuarios deben ir con mucho cuidado al navegar por internet, así como en las descargas, instalaciones y actualizaciones de software. Debería gestionar todos los adjuntos de correos electrónicos con cuidado. No deberían abrir nunca archivos que reciba de direcciones de correo electrónico sospechosas. Lo mismo aplica a los adjuntos que sean irrelevantes o no sean de su interés. Los programas deseados deberían descargarse solo de fuentes oficiales usando solo un enlace de descarga directa. Es también de extrema importancia hacer un mantenimiento adecuado del software. También debería mantener actualizado el software instalado; sin embargo, para lograr esto, use funciones integradas o herramientas facilitadas por el desarrollador oficial. Los instaladores o descargadores de terceros incluyen a menudo (empaquetan) programas dudosos y estas herramientas no deberían usarse. Sepa que piratear software es un ciberdelito y, por si no fuera poco, el riesgo de infección es extremadamente alto, ya que casi todas las herramientas de piratería son falsas. Por último, asegúrese de tener instalada una solución antivirus o antiespía reputable en funcionamiento porque tales herramientas detectan y eliminan muy probablemente el software malicioso antes de que pase algo malo. La clave para mantener el equipo seguro es la precaución. Si su equipo ya está infectado con BORISHORSE, le recomendamos llevar a cabo un análisis con Spyhunter para eliminar automáticamente este ransomware.

Texto mostrado en la ventana emergente del ransomware BORISHORSE (aplicación HTML "info.hta"):

All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail worldofdonkeys@protonmail.com
Write this ID in the title of your message 1E857D00-2271
If there is no response from our mail, you can install the Jabber client and write to us in support of worldofdonkeys@xmpp.jp
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 1-3 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Jabber client installation instructions:
Download the jabber (Pidgin) client from hxxps://pidgin.im/download/windows/
After installation, the Pidgin client will prompt you to create a new account.
Click "Add"
In the "Protocol" field, select XMPP
In "Username" - come up with any name
In the field "domain" - enter any jabber-server, there are a lot of them, for example - exploit.im
Create a password
At the bottom, put a tick "Create account"
Click add
If you selected "domain" - exploit.im, then a new window should appear in which you will need to re-enter your data:
User
password
You will need to follow the link to the captcha (there you will see the characters that you need to enter in the field below)
If you don't understand our Pidgin client installation instructions, you can find many installation tutorials on youtube - hxxps://www.youtube.com/results?search_query=pidgin+jabber+install
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Captura de pantalla del archivo de texto BORISHORSE ("info.txt"):

archivo de texto BORISHORSE

Texto mostrado en este archivo:

Want return your files?Write to our xmpp account - worldofdonkeys@xmpp.jp
The easiest way - register here hxxps://www.xmpp.jp/signup
After download pidgin client hxxps://pidgin.im/
Press Add account,choose protocol xmpp and put username from xmpp.jp where are you sign up
Domain - xmpp.jp
Put your password and press add
When you log in press Buddies --> Add Buddy-->and in Buddys username put beautydonkey xmpp.jp
After you will see added account beautydonkey@xmpp.jp,click twice on it and write your message
You can send us 1-3 test files. The total size of files must be less than 10Mb (non archived),
we will decrypt them and send to you that we are real
If you have a problem with xmpp you can write to our mail worldofdonkeys@protonmail.com

Captura de pantalla de los archivos cifrados por BORISHORSE (extensión ".BORISHORSE"):

archivos encriptados por BORISHORSE

Instrucciones para eliminar el ransomware BORISHORSE:

Eliminar automáticamente de forma instantánea el virus BORISHORSE: Eliminar las amenazas de forma manual puede acabar siendo un proceso largo y tedioso que precisa de conocimientos informáticos avanzados. Spyhunter es una herramienta profesional para eliminar software malicioso de forma automática y está recomendada para acabar con el virus BORISHORSE. La descarga se iniciará al hacer clic en el siguiente botón:
▼ DESCARGAR Spyhunter Su detector gratuito verifica si su equipo está infectado. Para eliminar el software malicioso, tendrá que comprar la versión completa de Spyhunter. Si decide descargar este programa, quiere decir que usted está conforme con nuestra Política de privacidad y Condiciones de uso.

Menú rápido:

Paso 1

Usuarios de Windows XP y Windows 7: Inicie su equipo en modo seguro. Haga clic en Inicio, Apagar, Reiniciar y aceptar. Mientras el equipo arranca, pulse la tecla F8 en su teclado varias veces hasta que vea el menú de Opciones avanzadas de Windows, luego seleccione modo seguro con funciones de red de la lista.

Modo seguro con funciones de red

Este vídeo muestra cómo iniciar Windows 7 en "Modo seguro con funciones de red":

Usuarios de Windows 8: Inicie Windows 8 en modo seguro con funciones de red: Diríjase a la pantalla de inicio de Windows 8, escriba "avanzadas", en los resultados de búsqueda, seleccione "Cambiar opciones avanzadas de inicio". En la nueva ventana "Configuración de PC", vaya hasta la sección "Inicio avanzado".  Haga clic en el botón "Reiniciar ahora". Su PC se reiniciará ahora con el "Menú de opciones de arranque avanzadas". Haga clic en el botón de "Solucionar problemas", luego haga clic en el botón de "Opciones avanzadas". En la pantalla de opciones avanzadas, haga clic en "Configuración de inicio". Haga clic en el botón "Reiniciar". Su PC se reiniciará mostrando primero la pantalla de Configuración de inicio. Pulse F5 para arrancar en Modo seguro con funciones de red.

Modo seguro en Windows 8 con funciones de red

Este vídeo muestra cómo iniciar Windows 8 en "Modo seguro con funciones de red":

Usuarios de Windows 10: Haga clic en el logo de Windows y seleccione el icono de Inicio/Apagado. En el nuevo menú, haga clic en "Reiniciar" mientras mantiene pulsada la tecla "mayúsculas" en su teclado. En la ventana "seleccione una opción", haga clic en "Solucionar problemas" y luego en "Opciones avanzadas". En el menú de opciones avanzadas, seleccione "Configuración de inicio" y haga clic en el botón "Reiniciar". En la siguiente pantalla, tendrá que pulsar la tecla F5 de su teclado. Luego se reiniciará el sistema operativo en modo seguro con funciones de red

Modo seguro en Windows 10 con funciones de red

Este vídeo muestra cómo iniciar Windows 10 en "Modo seguro con funciones de red":

Paso 2

Inicie sesión con la cuenta que ha sido infectada con el virus BORISHORSE. Abra su navegador web y descargue un programa legítimo anti-spyware. Actualice el software antiespía e inicie un análisis de sistema completo. Elimine todas las entradas que se detecten

Si no puede arrancar su equipo en modo seguro con funciones de red, pruebe ejecutando una restauración del sistema.

Este vídeo muestra cómo eliminar el virus ransomware usando "Modo seguro con funciones de red" y "Restaurar sistema":

1. Durante el proceso de arranque de su ordenador, pulse la tecla F8 en su teclado varias veces hasta que se muestre el menú de Opciones avanzadas de Windows, luego seleccione Modo seguro con símbolo de sistema de la lista y pulse ENTER.

Inicie su sistema en modo seguro con símbolo de sistema

2. Cuando el símbolo del sistema se cargue, introduzca la siguiente línea: cd restore y pulse ENTER.

restauración de sistema usando símbolo del sistema cd restore

3. Luego teclee esta línea: rstrui.exe y pulse ENTER.

restaurar sistema usando símbolo de sistema rstrui.exe

4. En la nueva pantalla, haga clic en "Siguiente".

restaurar archivos del sistema y configuraciones

5. Seleccione uno de los puntos de restauración disponibles y haga clic en "Siguiente" (se restaurará el sistema de su equipo a una fecha anterior antes de que el ransomware BORISHORSEse introdujera en su PC).

seleccione un punto de restauración

6. En la ventana abierta, haga clic en "Sí".

ejecutar restauración de sistema

7. Después de restaurar su sistema a un punto anterior, descargue y analice su PC con un software de seguridad antimalware recomendado para eliminar los remanentes del virus BORISHORSE.

Para restaurar individualmente cada archivo encriptado por este virus, pruebe con la función versiones anteriores de archivo. Este método es únicamente eficaz si la función de Restaurar sistema estaba activa en el sistema operativo infectado. Tenga en cuenta que algunas variantes de BORISHORSEeliminan las instantáneas de volumen de los ficheros, por lo que puede que este método no funcione en algunos equipos.

Para restaurar un archivo, haga clic con el botón derecho del ratón sobre el archivo, seleccione Propiedades y haga clic en la pestaña Versiones anteriores. Si el archivo en cuestión tiene su punto de restauración, selecciónelo y haga clic en el botón "Restaurar".

Restaurando archivos encriptados por CryptoDefense

Si no puede iniciar su sistema en modo seguro con funciones de red (o con símbolo de sistema), inicie su ordenador usando un disco de rescate. Algunos tipos de ransomware desactivan el modo seguro, por lo que la desinfección es más compleja. Para este paso, necesitará tener acceso a otro PC.

Para recuperar el control de los archivos encriptados por BORISHORSE, pruebe un programa llamado Shadow Explorer. Aquí podrá leer más información sobre cómo usar este programa.

captura de pantalla de shadow explorer

Para proteger su equipo de virus encriptadores de archivos, analice su sistema con programas antivirus y antiespía fiables. Como medida de protección extra, le recomendamos el programa HitmanPro.Alert y EasySync CryptoMonitor que introduce de forma artificial directivas de grupo en el registro para bloquear programas maliciosos como BORISHORSE.

Tenga en cuenta que la actualización Windows 10 Fall Creators incluye la función "Acceso controlado a carpetas" que bloquea los intentos de los virus encriptadores para cifrar sus archivos. Por defecto, esta función protege de forma automática los archivos almacenados en Documentos, Imágenes, Vídeos, Música, Favoritos, así como las carpetas del escritorio.

acceso controlado a carpetas

Los usuarios de Windows 10 deberían instalar esta actualización para proteger sus archivos frente a los cibersecuestros. Aquí verá más información de cómo puede conseguir esta actualización para incrementar la protección de su equipo frente a las infecciones ransomware.

HitmanPro.Alert CryptoGuard detecta el cifrado de archivos y neutraliza tales intentos sin la necesidad de que el usuario intervenga:

la aplicación hitmanproalert que protege del ransomware

Malwarebytes Anti-Ransomware Beta recurre a tecnología avanzada proactiva que supervisa la actividad de los virus secuestradores de equipos y la interrumpe de inmediato antes de que afecten a los archivos de los usuarios:

malwarebytes anti-ransomware

  • La mejor forma de evitar daños ocasionados por infecciones de tipo ransomware (secuestradores de sistemas) es realizando habitualmente copias de seguridad. Aquí encontrará más información sobre soluciones informáticas para realizar copias de seguridad y para recuperar datos.

Otras herramientas conocidas para eliminar el virus BORISHORSE:

Fuente: https://www.pcrisk.com/removal-guides/15574-borishorse-ransomware

Acerca del autor:

Tomas Meskauskas

Me apasiona todo lo relacionado con seguridad informática y tecnología. Me avala una experiencia de más de 10 años trabajando para varias empresas de reparación de problemas técnicos y seguridad on-line. Como editor y autor de PCrisk, llevo trabajando desde 2010. Sígueme en Twitter y LinkedIn para no perderte nada sobre las últimas amenazas de seguridad en internet. Leer más sobre el autor.

El portal de seguridad PCrisk ha sido creado conjuntamente por varios investigadores de seguridad con el propósito de formar e informar a los usuarios sobre las últimas amenazas detectadas en internet. Podrá leer más información sobre los autores e investigadores que trabajan en PCrisk en nuestra página de Contacto.

Nuestras guías de desinfección de software malicioso son gratuitas. No obstante, si desea colaborar, puede realizar una donación.

Guías de desinfección en otros idiomas
Código QR
el virus BORISHORSE Código QR
Un código QR (código de respuesta rápida) es un código que puede ser escaneado usando dispositivos y que almacena direcciones web y otra información. Este código puede ser escaneado usando una cámara en un smartphone o tablet. Escanee este código QR para acceder fácilmente a la guía de desinfección de el virus BORISHORSE desde su dispositivo móvil.
Nuestra recomendación:

Despídase ya de el virus BORISHORSE:

▼ ELIMINAR AHORA con Spyhunter

Plataforma: Windows

Valoración de Spyhunter por parte del editor:
¡Excelente!

[Volver al principio]

Su detector gratuito verifica si su equipo está infectado. Para eliminar el software malicioso, tendrá que comprar la versión completa de Spyhunter.