Eliminar la infección por ransomware .pdf

Conocido también como: el virus .pdf
Propagación: Baja
Nivel de peligrosidad: Extremo

Instrucciones para eliminar el cibersecuestro .pdf

¿Qué es .pdf ransomware?

.pdf es una infección de tipo ransomware que pertenece a la familia de ransomware Dharma. Como ocurre con casi todas las infecciones de esta familia, .pdf fue descubierta por Jakub Kroustek. Tras introducirse en el sistema, .pdf encripta la mayor parte de los archivos almacenados, de ahí que se vuelvan inutilizables. Asimismo, .pdf cambia el nombre de cada archivo añadiendo el ID único de víctima, el correo electrónico del desarrollador y la extensión ".pdf". Por ejemplo, "sam.jpg" encriptado pasaría a llamarse algo como "sample.jpg.id-1E857D00.[decryptbots@cock.li].pdf". Sepa que ".pdf" como extensión es un formato completamente auténtico de Portable Document Format (PDF), por tanto, en los archivos cifrados se verá probablemente el icono PDF. Sin embargo, no deje engañarse por ello, los archivos están cifrados y no es que simplemente se cambiaron los formatos. Una vez que finaliza el cifrado, .pdf abre una ventana emergente (aplicación HTML) y suelta el archivo de texto "RETURN FILES.txt" en el escritorio.

Ahora bien, el archivo de texto creado genera un breve mensaje donde se dice que los datos están encriptados y se insta a las víctimas a contactar con los desarrolladores de .pdf. Mientras tanto, la aplicación HTML ofrece mucha más información. Se asegura que los archivos están comprometidos usando criptografía RSA-1024 y que se necesita una única clave de descifrado para recuperarlos. Por desgracia, esto es cierto. RSA-1024 es un algoritmo asimétrico diseñado para generar dos claves únicas generadas individualmente para cada víctima. La clave pública se usa para cifrar datos mientras que la clave privada se usa para desencriptarlos. El problema es que las víctimas no pueden acceder a sus claves privadas, ya que todas ellas se almacenan en un servidor remoto controlado por los desarrolladores de .pdf. Por este motivo, esas personas pueden chantajear fácilmente a las víctimas con la oferta de una recuperación de pago. El precio del descifrado no se conoce actualmente. No obstante, cabe resaltar que la cuantía del rescate suele oscilar entre 500 y 1500 USD y los delincuentes exigen el pago de varias criptomonedas como Bitcoins, Moneros, DASH, Ethereum u otras. Ahora bien, cabe mencionar que los desarrolladores de pdf ofrecen la desencriptación gratuita de un archivo (hasta 1 MB en tamaño, sin archivar). Hacen esto con la intención de demostrar que son capaces de restaurar los datos y ganarse la confianza de las víctimas. Sin embargo, aunque pueda permitírselo, no debería hacerlo. Los ciberdelincuentes de ransomware son conocidos por ignorar a las víctimas cuando se realicen los pagos. Con otras palabras, no conseguirá probablemente nada con pagar y será estafado. Por este motivo, debe ignorar todas las peticiones de contacto con esas personas y no pagar ninguna recompensa. Lamentablemente, no existen herramientas capaces de "crackear" la encriptación RSA-1024 para recuperar los archivos de forma gratuita. Por tanto, lo único que las víctimas pueden hacer es recuperarlo todo usando una copia de seguridad si hay una creada

Captura de pantalla de un mensaje instando a los usuarios a pagar un rescate para descifrar sus datos comprometidos:

instrucciones para descifrar .pdf decrypt

.pdf es prácticamente idéntica a decenas de infecciones de tipo ransomware como Sguard, Cetori, NEMTY PROJECT. Tenga en cuenta que aunque los desarrolladores sean diferentes, todas esas infecciones son prácticamente idénticas. Casi todas ellas están diseñadas para comprometer los datos (normalmente, cifrándolos) para que los desarrolladores pidan un rescate. El problema es que los cifrados suelen realizarse usando criptografías RSA, AES u otro tipo de criptografía similar, lo cual genera claves de descifrado únicas. Por tanto, a no ser que el virus no esté 100 % desarrollado o tenga ciertos fallos/errores, se hace imposible recuperar los archivos manualmente sin la ayuda de los desarrolladores. Las infecciones por ransomware son una de las razones principales por las que debería mantener copias de seguridad frecuentes de sus archivos. Sin embargo, asegúrese de almacenarlas en un servidor remoto (p. ej. la nube) o un dispositivo de almacenamiento extraíble (p. ej. pen-drive, disco duro externo o similar). Esto es así porque las copias de seguridad almacenadas de forma local serán comprometidas junto con datos regulares. En realidad, debería tener múltiples copias de seguridad almacenadas en distintas ubicaciones porque los dispositivos de almacenamiento o servidores pueden dañarse.

¿Cómo infectó un ransomware mi equipo?

No se sabe aún cómo los desarrolladores propagan .pdf. Sin embargo, las infecciones de este tipo suelen propagarse a través de troyanos, actualizadores de software y craks, campañas de correo basura, descargas de software de terceros (p. ej. redes P2P, sitios web de descargas gratuitas, sitios de almacenamiento de archivos, etc.). Los troyanos son aplicaciones maliciosas que se infiltran en los equipos e inyectan software malicioso adicional en ellos. Los asistentes falsos de actualización y el software pirata infectan los sistemas en vez de cumplir con su cometido: actualizar u ofrecer acceso a funciones de pago. Las campañas de spam se usan para enviar cientos de correos electrónicos engañosos que contienen adjuntos maliciosos (enlaces o archivos) y mensajes que indican que esos adjuntos son documentos importantes (p. ej. recibos, facturas, albaranes, etc.) instando a los usuarios a que los abran. Lo mismo ocurre con las fuentes de descarga no oficiales, que los delincuentes presentan apps maliciosas como legítimas, de ahí que se engañe a los usuarios para que descarguen e instalen el software malicioso por sí mismos. En resumen, los motivos principales por los que se infectan los equipos son la falta de conocimiento y un comportamiento imprudente.

Resumen de la amenaza:
Nombre el virus .pdf
Tipo de amenaza Ransomware, virus criptográfico, bloqueador de archivos
Extensión de archivos encriptados .pdf (este ransomware añade también el identificador único de víctima y los correos de los desarrolladores al nombre de archivo)
Mensaje para pedir el rescate archivo de texto RETURN FILES.txt, ventana emergente (aplicación de HTML)
Contacto del ciberdelincuente decryptbots@cock.li
Detectada como Avast (Win32:RansomX-gen [Ransom]), BitDefender (Trojan.Ransom.Crysis.E), ESET-NOD32 (una versión de Win32/Filecoder.Crysis.P), Kaspersky (Trojan-Ransom.Win32.Crusis.to), lista completa de detecciones (VirusTotal)
Síntomas No se pueden abrir los archivos almacenados en el equipo, los archivos que funcionaban anteriormente tienen una extensión diferente, por ejemplo, my.docx.locked. Se muestra un mensaje en el escritorio para pedir un rescate. Los ciberdelincuentes piden el pago de un rescate (normalmente en bitcoins) para desbloquear sus archivos.
Métodos de distribución Adjuntos infectados en correos (macros), sitios web torrent, anuncios maliciosos.
Daño Todos los archivos están encriptados y no se pueden abrir sin pagar el rescate- Otros troyanos que roban contraseñas e infecciones de malware pueden instalarse junto con la infección ransomware.
Eliminación

Para eliminar el virus .pdf, nuestros investigadores de software malicioso recomiendan analizar el equipo con Spyhunter.
▼ Descargar Spyhunter
Su detector gratuito verifica si su equipo está infectado. Para eliminar el software malicioso, tendrá que comprar la versión completa de Spyhunter.

¿Cómo puede protegerse frente a infecciones por ransomware?

En primer lugar, los usuarios deberían darse cuenta de que la clave para tener seguridad informática es la precaución. Por tanto, es extremadamente importante prestar especial atención durante los procesos de descarga, instalación y actualización, así como al navegar por internet en general. Descargue los programas solo de fuentes oficiales, preferentemente usando enlaces de descarga directa. Es necesario hacer un mantenimiento adecuado del software, por lo que es imprescindible mantener actualizadas todas las aplicaciones instaladas. Sin embargo, esto debería hacerse con funciones o herramientas integradas proporcionadas por el desarrollador oficial. El uso de asistentes de descargas e instaladores de terceros es peligroso, ya que esas herramientas suelen incluir aplicaciones engañosas. Es también muy importante saber que la piratería de software es un ciberdelito. Por si esto no fuera suficiente, la inmensa mayoría de herramientas piratas son fraudulentas, de ahí que usarlas sea arriesgado. Por esa razón, nunca debería intentar activar apps instaladas usando herramientas ilegales y no oficiales. Debería gestionar todos los adjuntos de correos electrónicos con cuidado. Aquellos archivos que no sean interesantes o que hayan sido enviados por direcciones desconocidas o sospechosas no deberían abrirse nunca. Por último, tenga siempre instalada y en funcionamiento una solución de seguridad en internet que sea de confianza; le ayudará a detectar y eliminar el software malicioso antes de que se dañe el sistema. Si su equipo ya está infectado con .pdf, le recomendamos llevar a cabo un análisis con Spyhunter para eliminar automáticamente este ransomware.

Texto mostrado en la ventana emergente del ransomware .pdf (aplicación HTML):

All FILES ENCRYPTED "RSA1024"
All YOUR FILES HAVE BEEN ENCRYPTED!!! IF YOU WANT TO RESTORE THEM, WRITE US TO THE E-MAIL decryptbots@cock.li
IN THE LETTER WRITE YOUR ID, YOUR ID 1E857D00
IF YOU ARE NOT ANSWERED, WRITE TO EMAIL:decryptbots@cock.li
YOUR SECRET KEY WILL BE STORED ON A SERVER 7 DAYS, AFTER 7 DAYS IT MAY BE OVERWRITTEN BY OTHER KEYS, DON'T PULL TIME, WAITING YOUR EMAIL
FREE DECRYPTION FOR PROOF
You can send us up to 1 file for free decryption. The total size of files must be less than 1Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
DECRYPTION PROCESS:
When you make sure of decryption possibility transfer the money to our bitcoin wallet. As soon as we receive the money we will send you:
1. Decryption program.
2. Detailed instruction for decryption.
3. And individual keys for decrypting your files.
!WARNING!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Captura de pantalla del archivo de texto .pdf ("RETURN FILES.txt"):

archivo de texto .pdf

Texto mostrado en este archivo:

All your data is encrypted!
for return write to mail:
decryptbots@cock.li

Captura de pantalla de archivo cifrados por .pdf (extensión ".pdf"):

archivos cifrados por .pdf

Eliminar el cibersecuestro .pdf:

Eliminar automáticamente de forma instantánea el virus .pdf: Eliminar las amenazas de forma manual puede acabar siendo un proceso largo y tedioso que precisa de conocimientos informáticos avanzados. Spyhunter es una herramienta profesional para eliminar software malicioso de forma automática y está recomendada para acabar con el virus .pdf. La descarga se iniciará al hacer clic en el siguiente botón:
▼ DESCARGAR Spyhunter Su detector gratuito verifica si su equipo está infectado. Para eliminar el software malicioso, tendrá que comprar la versión completa de Spyhunter. Si decide descargar este programa, quiere decir que usted está conforme con nuestra Política de privacidad y Condiciones de uso.

Menú rápido:

Paso 1

Usuarios de Windows XP y Windows 7: Inicie su equipo en modo seguro. Haga clic en Inicio, Apagar, Reiniciar y aceptar. Mientras el equipo arranca, pulse la tecla F8 en su teclado varias veces hasta que vea el menú de Opciones avanzadas de Windows, luego seleccione modo seguro con funciones de red de la lista.

Modo seguro con funciones de red

Este vídeo muestra cómo iniciar Windows 7 en "Modo seguro con funciones de red":

Usuarios de Windows 8: Inicie Windows 8 en modo seguro con funciones de red: Diríjase a la pantalla de inicio de Windows 8, escriba "avanzadas", en los resultados de búsqueda, seleccione "Cambiar opciones avanzadas de inicio". En la nueva ventana "Configuración de PC", vaya hasta la sección "Inicio avanzado".  Haga clic en el botón "Reiniciar ahora". Su PC se reiniciará ahora con el "Menú de opciones de arranque avanzadas". Haga clic en el botón de "Solucionar problemas", luego haga clic en el botón de "Opciones avanzadas". En la pantalla de opciones avanzadas, haga clic en "Configuración de inicio". Haga clic en el botón "Reiniciar". Su PC se reiniciará mostrando primero la pantalla de Configuración de inicio. Pulse F5 para arrancar en Modo seguro con funciones de red.

Modo seguro en Windows 8 con funciones de red

Este vídeo muestra cómo iniciar Windows 8 en "Modo seguro con funciones de red":

Usuarios de Windows 10: Haga clic en el logo de Windows y seleccione el icono de Inicio/Apagado. En el nuevo menú, haga clic en "Reiniciar" mientras mantiene pulsada la tecla "mayúsculas" en su teclado. En la ventana "seleccione una opción", haga clic en "Solucionar problemas" y luego en "Opciones avanzadas". En el menú de opciones avanzadas, seleccione "Configuración de inicio" y haga clic en el botón "Reiniciar". En la siguiente pantalla, tendrá que pulsar la tecla F5 de su teclado. Luego se reiniciará el sistema operativo en modo seguro con funciones de red

Modo seguro en Windows 10 con funciones de red

Este vídeo muestra cómo iniciar Windows 10 en "Modo seguro con funciones de red":

Paso 2

Inicie sesión con la cuenta que ha sido infectada con el virus .pdf. Abra su navegador web y descargue un programa legítimo anti-spyware. Actualice el software antiespía e inicie un análisis de sistema completo. Elimine todas las entradas que se detecten

Si no puede arrancar su equipo en modo seguro con funciones de red, pruebe ejecutando una restauración del sistema.

Este vídeo muestra cómo eliminar el virus ransomware usando "Modo seguro con funciones de red" y "Restaurar sistema":

1. Durante el proceso de arranque de su ordenador, pulse la tecla F8 en su teclado varias veces hasta que se muestre el menú de Opciones avanzadas de Windows, luego seleccione Modo seguro con símbolo de sistema de la lista y pulse ENTER.

Inicie su sistema en modo seguro con símbolo de sistema

2. Cuando el símbolo del sistema se cargue, introduzca la siguiente línea: cd restore y pulse ENTER.

restauración de sistema usando símbolo del sistema cd restore

3. Luego teclee esta línea: rstrui.exe y pulse ENTER.

restaurar sistema usando símbolo de sistema rstrui.exe

4. En la nueva pantalla, haga clic en "Siguiente".

restaurar archivos del sistema y configuraciones

5. Seleccione uno de los puntos de restauración disponibles y haga clic en "Siguiente" (se restaurará el sistema de su equipo a una fecha anterior antes de que el ransomware .pdfse introdujera en su PC).

seleccione un punto de restauración

6. En la ventana abierta, haga clic en "Sí".

ejecutar restauración de sistema

7. Después de restaurar su sistema a un punto anterior, descargue y analice su PC con un software de seguridad antimalware recomendado para eliminar los remanentes del virus .pdf.

Para restaurar individualmente cada archivo encriptado por este virus, pruebe con la función versiones anteriores de archivo. Este método es únicamente eficaz si la función de Restaurar sistema estaba activa en el sistema operativo infectado. Tenga en cuenta que algunas variantes de .pdfeliminan las instantáneas de volumen de los ficheros, por lo que puede que este método no funcione en algunos equipos.

Para restaurar un archivo, haga clic con el botón derecho del ratón sobre el archivo, seleccione Propiedades y haga clic en la pestaña Versiones anteriores. Si el archivo en cuestión tiene su punto de restauración, selecciónelo y haga clic en el botón "Restaurar".

Restaurando archivos encriptados por CryptoDefense

Si no puede iniciar su sistema en modo seguro con funciones de red (o con símbolo de sistema), inicie su ordenador usando un disco de rescate. Algunos tipos de ransomware desactivan el modo seguro, por lo que la desinfección es más compleja. Para este paso, necesitará tener acceso a otro PC.

Para recuperar el control de los archivos encriptados por .pdf, pruebe un programa llamado Shadow Explorer. Aquí podrá leer más información sobre cómo usar este programa.

captura de pantalla de shadow explorer

Para proteger su equipo de virus encriptadores de archivos, analice su sistema con programas antivirus y antiespía fiables. Como medida de protección extra, le recomendamos el programa HitmanPro.Alert y EasySync CryptoMonitor que introduce de forma artificial directivas de grupo en el registro para bloquear programas maliciosos como .pdf.

Tenga en cuenta que la actualización Windows 10 Fall Creators incluye la función "Acceso controlado a carpetas" que bloquea los intentos de los virus encriptadores para cifrar sus archivos. Por defecto, esta función protege de forma automática los archivos almacenados en Documentos, Imágenes, Vídeos, Música, Favoritos, así como las carpetas del escritorio.

acceso controlado a carpetas

Los usuarios de Windows 10 deberían instalar esta actualización para proteger sus archivos frente a los cibersecuestros. Aquí verá más información de cómo puede conseguir esta actualización para incrementar la protección de su equipo frente a las infecciones ransomware.

HitmanPro.Alert CryptoGuard detecta el cifrado de archivos y neutraliza tales intentos sin la necesidad de que el usuario intervenga:

la aplicación hitmanproalert que protege del ransomware

Malwarebytes Anti-Ransomware Beta recurre a tecnología avanzada proactiva que supervisa la actividad de los virus secuestradores de equipos y la interrumpe de inmediato antes de que afecten a los archivos de los usuarios:

malwarebytes anti-ransomware

  • La mejor forma de evitar daños ocasionados por infecciones de tipo ransomware (secuestradores de sistemas) es realizando habitualmente copias de seguridad. Aquí encontrará más información sobre soluciones informáticas para realizar copias de seguridad y para recuperar datos.

Otras herramientas conocidas para eliminar el virus .pdf:

Fuente: https://www.pcrisk.com/removal-guides/15698-pdf-ransomware

Acerca del autor:

Tomas Meskauskas

Me apasiona todo lo relacionado con seguridad informática y tecnología. Me avala una experiencia de más de 10 años trabajando para varias empresas de reparación de problemas técnicos y seguridad on-line. Como editor y autor de PCrisk, llevo trabajando desde 2010. Sígueme en Twitter y LinkedIn para no perderte nada sobre las últimas amenazas de seguridad en internet. Leer más sobre el autor.

El portal de seguridad PCrisk ha sido creado conjuntamente por varios investigadores de seguridad con el propósito de formar e informar a los usuarios sobre las últimas amenazas detectadas en internet. Podrá leer más información sobre los autores e investigadores que trabajan en PCrisk en nuestra página de Contacto.

Nuestras guías de desinfección de software malicioso son gratuitas. No obstante, si desea colaborar, puede realizar una donación.

Guías de desinfección en otros idiomas
Código QR
el virus .pdf Código QR
Un código QR (código de respuesta rápida) es un código que puede ser escaneado usando dispositivos y que almacena direcciones web y otra información. Este código puede ser escaneado usando una cámara en un smartphone o tablet. Escanee este código QR para acceder fácilmente a la guía de desinfección de el virus .pdf desde su dispositivo móvil.
Nuestra recomendación:

Despídase ya de el virus .pdf:

▼ ELIMINAR AHORA con Spyhunter

Plataforma: Windows

Valoración de Spyhunter por parte del editor:
¡Excelente!

[Volver al principio]

Su detector gratuito verifica si su equipo está infectado. Para eliminar el software malicioso, tendrá que comprar la versión completa de Spyhunter.