¿Cómo evitar la instalación del cibersecuestro Lazarus?

Conocido también como: el virus Lazarus
Propagación: Baja
Nivel de peligrosidad: Extremo

Instrucciones para eliminar el cibersecuestro Lazarus

¿Qué es Lazarus?

El ransomware Lazarus procede de King Ouroboros, otro programa de tipo ransomware. El individuo que descubrió Lazarus es Alex Svirid. El ransomware es un tipo de software que cifra datos (bloquea su acceso a ellos). Los ciberdelincuentes crean programas de este tipo con la finalidad de sacarle el dinero a las víctimas pidiendo el pago de un rescate a cambio de una herramienta o clave de descifrado. Lazarus cambia el nombre de los archivos cifrados añadiendo una cadena que contiene la dirección de e-mail, ID de víctima y la extensión ".Lazarus". Por ejemplo, cambia "1.jpg" por "1.jpg.[ID=LNDxrzJ2Aw][Mail=Mr.TeslaBrain@gmail.com].Lazarus", etc. Crea también un archivo de texto llamado "Read-Me-Now.txt" y muestra una ventana emergente.

El archivo Read-Me-Now.txt file es una nota de petición de rescate, los desarrolladores de Lazarus la crearon para explicar a sus víctimas cómo descifrar sus archivos. Como se indica en esta nota (y en la ventana emergente), este ransomware encripta archivos con un alto nivel de criptografía y las víctimas que deseen acceder a sus archivos tienen que pagar por el descifrado (pagarle un rescate al ciberdelincuente). Antes de hacer esto, pueden enviar un archivo (que no sea más grande que 1 MB) a mr.teslabrain@gmail.com. El precio del descifrado está por confirmar; sin embargo, se menciona que se duplicará si los desarrolladores de Lazarus no reciben noticias en 48 horas tras el cifrado o si la víctima intenta descifrar los archivos usando un software de terceros. Aparte, se indica que los intentos por descifrar los archivos con otras herramientas podrían dañar los archivos encriptados. Normalmente, las encriptaciones ocasionadas por programas de tipo ransomware pueden descifrarse usando herramientas que los ciberdelincuentes tienen (desarrolladores de ransomware). En otras palabras, se obliga a los usuarios a contactar con desarrolladores de ransomware y comprar herramientas de descifrado o claves de ellos porque no existen otras herramientas que puedan descifrar los datos bloqueados. Sin embargo, no se recomienda confiar en los ciberdelincuentes y pagarles un rescate, muy a menudo no envían las herramientas requeridas para el descifrado aunque se realice el pago. En tales casos, la mejor forma de evitar la pérdida de datos y económica es recuperando los archivos a partir de una copia de seguridad. No obstante, solo es posible si se hace una copia de seguridad de los datos antes de la encriptación.

Captura de pantalla del mensaje instando a los usuarios a que paguen un rescate para descifrar los datos comprometidos::

instrucciones para descifrar Lazarus

La mayor parte de los programas de tipo ransomware están diseñados para cifrar datos almacenados en equipos (y dispositivos de almacenamiento conectados) y crear (o mostrar) una nota de petición de rescate. Dos principales diferencias más comunes son el precio del descifrado y el algoritmo criptográfico (simétrico o asimétrico) que el ransomware usa para encriptar los archivos. Por desgracia, casi todos los programas de este tipo realizan cifrados que son posible de descifrar sin que intervengan los usuarios o ciberdelincuentes que los desarrollaron. Es posible descifrar los archivos sin tener que pagar por ello o contactar con los ciberdelincuentes solo si el ransomware está inacabado (tiene algunos errores o fallos de seguridad). Para evitar cualquier problema ocasionado a través de esos programas maliciosos, le recomendamos tener una copia de seguridad almacenada en un servidor remoto o dispositivo extraíble (o ambos). Unos cuantos ejemplos de programas que se parecen a Lazarus son Carote, Gero y Hese.

¿Cómo secuestraron mi equipo?

No existe información sobre cómo los desarrolladores de Lazarus intentan infectar los equipos con este ransomware; sin embargo, casi todos los ciberdelincuentes propagan su software malicioso a través de campañas de spam, troyanos, software no oficial, herramientas para piratear software y falsas actualizaciones de software. Muy a menudo los ciberdelincuentes envían correos que contienen adjuntos maliciosos y los presentan como documentos importantes. La principal finalidad de esas campañas es engañar a los destinatarios a abrir el adjunto. Si se abre, descarga e instala un ransomware u otro software malicioso. Algunos ejemplos de archivos que suelen adjuntarse a esos correos son documentos Microsoft Office, archivos como ZIP, RAR, JavaScript, ficheros PDF, ejecutables (.exe), etc. Los troyanos son programas maliciosos que están diseñados para propagar otras infecciones: una vez que el equipo está infectado con un troyano, este programa descarga e instala otro software malicioso. Las fuentes de descarga de software de dudosa confianza como sitios web de alojamiento de archivos, las redes P2P y otras fuentes de descarga no oficiales presentan a menudo ejecutables maliciosos como software legítimo. Los ciberdelincuentes los usan para disfrazar archivos maliciosos (ejecutables) de archivos normales. Si los usuarios descargan y abren esos archivos, instalarán programas de alto riesgo como ransomware. Las herramientas de piratería son programas que están diseñados para activar software de licencia gratuitamente. Sin embargo, hay muchos ciberdelincuentes que diseñan esas herramientas para infectar equipos con varios virus. Las falsas herramientas de actualización de software ocasionan daño al descargar e instalar software malicioso en vez de actualizar programas antiguos o al aprovecharse de errores, fallos de seguridad y software vulnerable.

Resumen de la amenaza:
Nombre el virus Lazarus
Tipo de amenaza Ransomware, virus criptográfico, bloqueador de archivos
Extensión de archivos encriptados .Lazarus (este ransomware añade también el identificador único de víctima y los correos de los desarrolladores al nombre de archivo)
Mensaje para pedir el rescate Read-Me-Now.txt y una ventana emergente
Contacto del ciberdelincuente mr.teslabrain@gmail.com
Detectada como Avast (Win32:Malware-gen), BitDefender (DeepScan:Generic.Ransom.Ouroboros.9588D3CF), ESET-NOD32 (una variante de Win32/Filecoder.NXE), Kaspersky (HEUR:Trojan.Win32.Generic), lista completa de detecciones (VirusTotal)
Síntomas No se pueden abrir los archivos almacenados en el equipo, los archivos que funcionaban anteriormente tienen una extensión diferente, por ejemplo, my.docx.locked. Se muestra un mensaje en el escritorio para pedir un rescate. Los ciberdelincuentes piden el pago de un rescate (normalmente en bitcoins) para desbloquear sus archivos.
Información adicional Los desarrolladores de Lazarus usan un servicio de correo electrónico público (Gmail). Es fácil rastrear a los usuarios de estos servicios, lo cual indica que los ciberdelincuentes que crean y propagan Lazarus son principiantes en este campo.
Métodos de distribución Adjuntos infectados en correos (macros), sitios web torrent, anuncios maliciosos.
Daño Todos los archivos están encriptados y no se pueden abrir sin pagar el rescate. Otros troyanos que roban contraseñas e infecciones de malware pueden instalarse junto con la infección ransomware.
Eliminación

Para eliminar el virus Lazarus, nuestros investigadores de software malicioso recomiendan analizar el equipo con Spyhunter.
▼ Descargar Spyhunter
Su detector gratuito verifica si su equipo está infectado. Para eliminar el software malicioso, tendrá que comprar la versión completa de Spyhunter.

¿Cómo puede protegerse frente a infecciones por ransomware?

Le recomendamos descargar, instalar, actualizar software y navegar por internet de forma responsable. No se recomienda usar asistentes de descargas ajenos, páginas no oficiales, redes P2P y otras herramientas similares. Todo el software debería descargarse usando sitios web oficiales o de confianza. El software instalado debe actualizarse con las funciones implementadas o herramientas que están diseñadas por los desarrolladores de software oficiales. Le recomendamos ignorar los correos que hayan sido enviados por remitentes desconocidos o que contengan adjuntos (enlaces web) que no son interesantes. No abra archivos adjuntos a correos de este tipo si no tiene motivos para creer que son seguros. Las herramientas de piratería son ilegales y suelen ocasionar la infección del equipo, no se deberían usar esas herramientas. Analice el sistema operativo con un software antivirus o antiespía de reputación, si detecta alguna amenaza, debería eliminarse de inmediato. Si su equipo ya está infectado con Lazarus, le recomendamos llevar a cabo un análisis con Spyhunter para eliminar automáticamente este cibersecuestro.

Texto en esta ventana emergente:

Your Files Has Been Encrypted
How To Recover :
Your Data Has Been Encrypted Due The Security Problem
If You Want To Restore Your Files Send Email to Us
Before Paying You Can Send 1MB file For Decryption Test to guarantee that your Files Can Be Restored
Test File Should Not Contain Valuable Data ( Databases Large Excels , Backups )
Do Not Rename Files or Do Not Try Decrypt Files With 3rd Party Softwares , It May Damage Your Files
And Increase Decryption Price

Your ID : -
Our Email : Mr.TeslaBrain@gmail.com

How To Buy Bitcoin :
Payment Should Be With Bitcoin
You Can learn how To Buy Bitcoin From This Links :
hxxps://localbitcoins.com/buy_bitcoins
hxxps://www.coindesk.com/information/how-can-i-buy-bitcoins

Captura de pantalla del archivo de texto de Lazarus ("Read-Me-Now.txt"):

archivo de texto Lazarus

Texto mostrado en este fichero:

Your All Files Encrypted With High level Cryptography Algorithm
If You Need Your Files You Should Pay For Decryption
You Can Send 1MB File For Decryption Test To Make Sure Your Files Can Be Decrypted
After 48 hour If You Dont contact us or use 3rd party applications or recovery tools   Decryption fee will Be Double
After Test You Will Get Decryption Tool
Your ID For Decryption:LNDxrzJ2Aw
Contact Us: Mr.TeslaBrain@gmail.com

Captura de pantalla de los archivos encriptados por Lazarus (extensión ".Lazarus"):

archivos encriptados por Lazarus

Eliminar el cibersecuestro de Lazarus:

Eliminar automáticamente de forma instantánea el virus Lazarus: Eliminar las amenazas de forma manual puede acabar siendo un proceso largo y tedioso que precisa de conocimientos informáticos avanzados. Spyhunter es una herramienta profesional para eliminar software malicioso de forma automática y está recomendada para acabar con el virus Lazarus. La descarga se iniciará al hacer clic en el siguiente botón:
▼ DESCARGAR Spyhunter Su detector gratuito verifica si su equipo está infectado. Para eliminar el software malicioso, tendrá que comprar la versión completa de Spyhunter. Si decide descargar este programa, quiere decir que usted está conforme con nuestra Política de privacidad y Condiciones de uso.

Menú rápido:

Paso 1

Usuarios de Windows XP y Windows 7: Inicie su equipo en modo seguro. Haga clic en Inicio, Apagar, Reiniciar y aceptar. Mientras el equipo arranca, pulse la tecla F8 en su teclado varias veces hasta que vea el menú de Opciones avanzadas de Windows, luego seleccione modo seguro con funciones de red de la lista.

Modo seguro con funciones de red

Este vídeo muestra cómo iniciar Windows 7 en "Modo seguro con funciones de red":

Usuarios de Windows 8: Inicie Windows 8 en modo seguro con funciones de red: Diríjase a la pantalla de inicio de Windows 8, escriba "avanzadas", en los resultados de búsqueda, seleccione "Cambiar opciones avanzadas de inicio". En la nueva ventana "Configuración de PC", vaya hasta la sección "Inicio avanzado".  Haga clic en el botón "Reiniciar ahora". Su PC se reiniciará ahora con el "Menú de opciones de arranque avanzadas". Haga clic en el botón de "Solucionar problemas", luego haga clic en el botón de "Opciones avanzadas". En la pantalla de opciones avanzadas, haga clic en "Configuración de inicio". Haga clic en el botón "Reiniciar". Su PC se reiniciará mostrando primero la pantalla de Configuración de inicio. Pulse F5 para arrancar en Modo seguro con funciones de red.

Modo seguro en Windows 8 con funciones de red

Este vídeo muestra cómo iniciar Windows 8 en "Modo seguro con funciones de red":

Usuarios de Windows 10: Haga clic en el logo de Windows y seleccione el icono de Inicio/Apagado. En el nuevo menú, haga clic en "Reiniciar" mientras mantiene pulsada la tecla "mayúsculas" en su teclado. En la ventana "seleccione una opción", haga clic en "Solucionar problemas" y luego en "Opciones avanzadas". En el menú de opciones avanzadas, seleccione "Configuración de inicio" y haga clic en el botón "Reiniciar". En la siguiente pantalla, tendrá que pulsar la tecla F5 de su teclado. Luego se reiniciará el sistema operativo en modo seguro con funciones de red

Modo seguro en Windows 10 con funciones de red

Este vídeo muestra cómo iniciar Windows 10 en "Modo seguro con funciones de red":

Paso 2

Inicie sesión con la cuenta que ha sido infectada con el virus Lazarus. Abra su navegador web y descargue un programa legítimo anti-spyware. Actualice el software antiespía e inicie un análisis de sistema completo. Elimine todas las entradas que se detecten

Si no puede arrancar su equipo en modo seguro con funciones de red, pruebe ejecutando una restauración del sistema.

Este vídeo muestra cómo eliminar el virus ransomware usando "Modo seguro con funciones de red" y "Restaurar sistema":

1. Durante el proceso de arranque de su ordenador, pulse la tecla F8 en su teclado varias veces hasta que se muestre el menú de Opciones avanzadas de Windows, luego seleccione Modo seguro con símbolo de sistema de la lista y pulse ENTER.

Inicie su sistema en modo seguro con símbolo de sistema

2. Cuando el símbolo del sistema se cargue, introduzca la siguiente línea: cd restore y pulse ENTER.

restauración de sistema usando símbolo del sistema cd restore

3. Luego teclee esta línea: rstrui.exe y pulse ENTER.

restaurar sistema usando símbolo de sistema rstrui.exe

4. En la nueva pantalla, haga clic en "Siguiente".

restaurar archivos del sistema y configuraciones

5. Seleccione uno de los puntos de restauración disponibles y haga clic en "Siguiente" (se restaurará el sistema de su equipo a una fecha anterior antes de que el ransomware Lazarusse introdujera en su PC).

seleccione un punto de restauración

6. En la ventana abierta, haga clic en "Sí".

ejecutar restauración de sistema

7. Después de restaurar su sistema a un punto anterior, descargue y analice su PC con un software de seguridad antimalware recomendado para eliminar los remanentes del virus Lazarus.

Para restaurar individualmente cada archivo encriptado por este virus, pruebe con la función versiones anteriores de archivo. Este método es únicamente eficaz si la función de Restaurar sistema estaba activa en el sistema operativo infectado. Tenga en cuenta que algunas variantes de Lazaruseliminan las instantáneas de volumen de los ficheros, por lo que puede que este método no funcione en algunos equipos.

Para restaurar un archivo, haga clic con el botón derecho del ratón sobre el archivo, seleccione Propiedades y haga clic en la pestaña Versiones anteriores. Si el archivo en cuestión tiene su punto de restauración, selecciónelo y haga clic en el botón "Restaurar".

Restaurando archivos encriptados por CryptoDefense

Si no puede iniciar su sistema en modo seguro con funciones de red (o con símbolo de sistema), inicie su ordenador usando un disco de rescate. Algunos tipos de ransomware desactivan el modo seguro, por lo que la desinfección es más compleja. Para este paso, necesitará tener acceso a otro PC.

Para recuperar el control de los archivos encriptados por Lazarus, pruebe un programa llamado Shadow Explorer. Aquí podrá leer más información sobre cómo usar este programa.

captura de pantalla de shadow explorer

Para proteger su equipo de virus encriptadores de archivos, analice su sistema con programas antivirus y antiespía fiables. Como medida de protección extra, le recomendamos el programa HitmanPro.Alert y EasySync CryptoMonitor que introduce de forma artificial directivas de grupo en el registro para bloquear programas maliciosos como Lazarus.

Tenga en cuenta que la actualización Windows 10 Fall Creators incluye la función "Acceso controlado a carpetas" que bloquea los intentos de los virus encriptadores para cifrar sus archivos. Por defecto, esta función protege de forma automática los archivos almacenados en Documentos, Imágenes, Vídeos, Música, Favoritos, así como las carpetas del escritorio.

acceso controlado a carpetas

Los usuarios de Windows 10 deberían instalar esta actualización para proteger sus archivos frente a los cibersecuestros. Aquí verá más información de cómo puede conseguir esta actualización para incrementar la protección de su equipo frente a las infecciones ransomware.

HitmanPro.Alert CryptoGuard detecta el cifrado de archivos y neutraliza tales intentos sin la necesidad de que el usuario intervenga:

la aplicación hitmanproalert que protege del ransomware

Malwarebytes Anti-Ransomware Beta recurre a tecnología avanzada proactiva que supervisa la actividad de los virus secuestradores de equipos y la interrumpe de inmediato antes de que afecten a los archivos de los usuarios:

malwarebytes anti-ransomware

  • La mejor forma de evitar daños ocasionados por infecciones de tipo ransomware (secuestradores de sistemas) es realizando habitualmente copias de seguridad. Aquí encontrará más información sobre soluciones informáticas para realizar copias de seguridad y para recuperar datos.

Otras herramientas conocidas para eliminar el virus Lazarus:

Fuente: https://www.pcrisk.com/removal-guides/15720-lazarus-ransomware

Acerca del autor:

Tomas Meskauskas

Me apasiona todo lo relacionado con seguridad informática y tecnología. Me avala una experiencia de más de 10 años trabajando para varias empresas de reparación de problemas técnicos y seguridad on-line. Como editor y autor de PCrisk, llevo trabajando desde 2010. Sígueme en Twitter y LinkedIn para no perderte nada sobre las últimas amenazas de seguridad en internet. Leer más sobre el autor.

El portal de seguridad PCrisk ha sido creado conjuntamente por varios investigadores de seguridad con el propósito de formar e informar a los usuarios sobre las últimas amenazas detectadas en internet. Podrá leer más información sobre los autores e investigadores que trabajan en PCrisk en nuestra página de Contacto.

Nuestras guías de desinfección de software malicioso son gratuitas. No obstante, si desea colaborar, puede realizar una donación.

Guías de desinfección en otros idiomas
Código QR
el virus Lazarus Código QR
Un código QR (código de respuesta rápida) es un código que puede ser escaneado usando dispositivos y que almacena direcciones web y otra información. Este código puede ser escaneado usando una cámara en un smartphone o tablet. Escanee este código QR para acceder fácilmente a la guía de desinfección de el virus Lazarus desde su dispositivo móvil.
Nuestra recomendación:

Despídase ya de el virus Lazarus:

▼ ELIMINAR AHORA con Spyhunter

Plataforma: Windows

Valoración de Spyhunter por parte del editor:
¡Excelente!

[Volver al principio]

Su detector gratuito verifica si su equipo está infectado. Para eliminar el software malicioso, tendrá que comprar la versión completa de Spyhunter.