¿Cómo eliminar el virus Buran?

Conocido también como: el virus Buran
Propagación: Baja
Nivel de peligrosidad: Extremo

Instrucciones para eliminar el cibersecuestro Buran

¿Qué es Buran?

Buran, descubierto por el investigador de software malicioso nao_sec, es un ransomware de alto riesgo distribuido usando Rig Exploit Kit. Esta es una nueva versión de otra infección de ransomware llamada Vega. Tras introducirse con éxito en el sistema, Buran cifra casi todos los archivos y añade al nombre de archivo el identificador único de la víctima (p. ej., "sample.jpg" podría llamarse "sample.jpg.48E7EE9F-3B50-B177-0614-DF09178EE722"). Tras introducirse con éxito, Buran genera un archivo de texto ("!!! YOUR FILES ARE ENCRYPTED !!!.TXT") y lo almacena en el escritorio. El archivo contiene un mensaje para pedir un rescate.

En el mensaje, se dice que los datos están cifrados y que se necesita una única clave de descifrado para recuperarlos. Lamentablemente, esta información es real. El tipo de algoritmo criptográfico usado por. Buran no es conocido actualmente; sin embargo, una clave única de descifrado se genera de forma individual para cada víctima. Las víctimas no pueden acceder a sus claves, ya que se almacenan en un servidor remoto controlado por ciberdelincuentes. Para recibir las claves (o las herramientas de descifrado con las claves incrustadas en ellas), los usuarios tienen que pagar un rescate. No se especifica el coste; esos datos se facilitan por correo electrónico; sin embargo, la cuantía del rescate suele oscilar entre los $500 y los $1500 en Bitcoins, Monero, Ethereum, DASH u otras criptomonedas. Independientemente del coste, no pague. Los estudios demuestran que estos individuos suelen ignorar a las víctimas una vez que realizan el pago del rescate. Por ello, normalmente pagar no dará ningún fruto y los usuarios podrían ser estafados. Lamentablemente, no existen herramientas capaces de "crackear" la encriptación de Buran para recuperar los archivos de forma gratuita. Esto quiere decir que la única forma que tienen las víctimas de recuperarlo todo es usando una copia de seguridad.

Captura de pantalla del mensaje instando a los usuarios a que paguen un rescate para descifrar los datos comprometidos:

instrucciones de descifrado Buran

Hay decenas de infecciones ransomware que comparten similitudes con Buran. La lista de ejemplos incluye (sin englobarlo todo) Luboversova148, Davda, Dodger, y Stone. Esas infecciones están desarrolladas por diferentes ciberdelincuentes; sin embargo, su comportamiento es prácticamente idéntico; todos cifran datos y hacen peticiones de rescate. La única diferencia está en la cuantía del rescate y en el tipo de algoritmo de encriptación usado. Por desgracia, las infecciones de ransomware suelen usar RSA, AES y otras criptografías que generan claves de descifrado únicas. En tales casos, el descifrado manual sin involucrar a los desarrolladores (no se recomienda) es imposible, a no ser que el virus esté en desarrollo o tenga varios errores o fallos de seguridad. El ransomware como Buran nos muestra lo importante que es mantener copias de seguridad con regularidad; sin embargo, póngalas en un servidor remoto o dispositivo de almacenamiento extraíble, ya que de forma local podrían comprometerse junto con los datos del sistema. Asimismo, le recomendamos tener múltiples copias de seguridad almacenadas en distintas ubicaciones porque siempre existe la posibilidad de que el servidor y el hardware se dañe.

¿Cómo infectó un ransomware mi equipo?

Como se ha mencionado anteriormente, Buran se propaga usando Rig Exploit Kit; sin embargo, esas infecciones de ransomware suelen propagarse a través de campañas de spam, canales de descarga de software no fiables, herramientas de actualización de software falsas y troyanos. Las campañas de spam se usan para enviar cientos de correos electrónicos engañosos que contienen adjuntos maliciosos (enlaces o archivos) y mensajes engañosos instando a los usuarios a que los abran. Los delincuentes suelen presentar esos adjuntos como documentos importantes como recibos, facturas, albaranes, etc. Esos son intentos de dar la impresión de utilidad e incrementar la posibilidad de engañar a los destinatarios para que abran los archivos. Las fuentes de descargas no oficiales (redes P2P, portales de descargas gratuitas, sitios de alojamiento de archivos, etc.) se usan también de un modo similar. Los delincuentes usan esas fuentes para propagar software malicioso presentando ejecutables maliciosos como software legítimo. De este modo, se engaña a los usuarios para que ellos mismos descarguen e instalen software malicioso. Los asistentes falsos de actualización suelen infectar los equipos aprovechándose de los errores de software o simplemente descargando o instalando software malicioso en vez de actualizaciones. Lo mismo aplica a los cracks falsos. En vez de ofrecer funciones de pago, esas herramientas inyectan software malicioso en el sistema. Los troyanos son aplicaciones maliciosas que se introducen silenciosamente en los equipos para descargar e instalar software malicioso adicional.

Datos básicos de la amenaza:
Nombre el virus Buran
Tipo de amenaza Ransomware, criptovirus, bloqueador de archivos
Extensión encriptada de archivos ID único de víctima.
Mensaje para pedir rescates !!! YOUR FILES ARE ENCRYPTED !!!.TXT
Contacto del ciberdelincuente polssh1@protonmail.com, polssh@protonmail.com, sanio.marino@aol.com
Detectada como Avast (FileRepMalware), DrWeb (Trojan.Encoder.28441), ESET-NOD32 (una versión de Generik.EJUVIDP), Kaspersky (UDS:DangerousObject.Multi.Generic), lista completa de detecciones (VirusTotal)
Nombre del proceso engañoso Inhibitins Allowance 1871 Signify Cntrt (el nombre del proceso puede variar).
Síntomas No se pueden abrir los archivos almacenados en el equipo, los archivos que funcionaban anteriormente tienen una extensión diferente, por ejemplo, my.docx.locked. Se muestra un mensaje en el escritorio para pedir un rescate. Los ciberdelincuentes piden el pago de un rescate (normalmente en bitcoins) para desbloquear sus archivos.
Métodos de distribución Adjuntos infectados en correos (macros), sitios web torrent, anuncios maliciosos.
Daño Todos los archivos están encriptados y no se pueden abrir sin pagar el rescate- Otros troyanos que roban contraseñas e infecciones de malware pueden instalarse junto con la infección ransomware.
Eliminación

Para eliminar el virus Buran, nuestros investigadores de software malicioso recomiendan analizar el equipo con Spyhunter.
▼ Descargar Spyhunter
Su detector gratuito verifica si su equipo está infectado. Para eliminar el software malicioso, tendrá que comprar la versión completa de Spyhunter.

¿Cómo puede protegerse frente a infecciones por ransomware?

En primer lugar, los usuarios deberían darse cuenta de que los motivos por los que se infecta el equipo son la falta de conocimiento y el comportamiento imprudente. La clave para la seguridad es la precaución. Por tanto, preste especial atención al navegar por internet y al descargar e instalar software. Debería gestionar todos los adjuntos de correos electrónicos con cuidado. Los adjuntos que sean irrelevantes o no sean de su interés tampoco deberían abrirse. Lo mismo aplica con los enlaces o archivos recibidos por parte de direcciones de email desconocidas o sospechosas. Asimismo, descargue sus aplicaciones de fuentes fiables a través de un enlace de descarga directo. No debería usar tampoco instaladores de terceros. Mantener actualizadas las aplicaciones y los sistemas operativos instalados es importante. Sin embargo, esto debería hacerse con funciones o herramientas integradas proporcionadas por el desarrollador oficial. Sepa que piratear software es un ciberdelito y el riesgo de infección es extremadamente alto. Por tanto, no debería nunca intentar piratear aplicaciones instaladas. Use una solución antivirus/antiespía de reputación; esas herramientas suelen detectar y eliminar software malicioso antes de que el sistema resulte dañado. Si su equipo está infectado ya con Buran, le recomendamos ejecutar un análisis con Spyhunter para eliminarlo de forma automática.

Texto mostrado en el archivo de texto de Buran ("!!! YOUR FILES ARE ENCRYPTED !!!.TXT"):

!!! YOUR FILES ARE ENCRYPTED !!!

All your files, documents, photos, databases and other important
files are encrypted.

You are not able to decrypt it by yourself! The only method
of recovering files is to purchase an unique private key.
Only we can give you this key and only we can recover your files.

To be sure we have the decryptor and it works you can send an
email polssh1@protonmail.com  and decrypt one file for free. But this
file should be of not valuable!

Do you really want to restore your files?

Write to email polssh1@protonmail.com, polssh@protonmail.com

Your personal ID: -

Attention!
 * Do not rename encrypted files. 
 * Do not try to decrypt your data using third party software,
   it may cause permanent data loss.  
 * Decryption of your files with the help of third parties may
   cause increased price (they add their fee to our) or you can
   become a victim of a scam.

Otra versión del archivo de texto del ransomware Buran ("!!! YOUR FILES ARE ENCRYPTED !!!.TXT"):

Buran update text file sample 2

Texto mostrado en este archivo:

All your files, documents, photos, databases and other important
files are encrypted.

You are not able to decrypt it by yourself! The only method
of recovering files is to purchase an unique private key.
Only we can give you this key and only we can recover your files.

To be sure we have the decryptor and it works you can send an
email sanio.marino@aol.com and decrypt one file for free. But this
file should be of not valuable!

Do you really want to restore your files?
Write to email sanio.marino@aol.com

Your personal ID: 1525CB79-46F7-C3A2-B2D8-B049C42D7257

Attention!
* Do not rename encrypted files.
* Do not try to decrypt your data using third party software,
it may cause permanent data loss.
* Decryption of your files with the help of third parties may
cause increased price (they add their fee to our) or you can
become a victim of a scam.

Captura de pantalla del proceso de ransomware Buran ("Inhibitins Allowance 1871 Signify Cntrt") en el Administrador de tareas:

Buran ransomware running under Inhibitins Allowance 1871 Signify Cntrt name in Windows Task Manager

Captura de pantalla de archivos cifrados por Buran (ID único como la extensión de archivo):

archivos encriptados por Buran

Eliminar el ransomware Buran:

Eliminar automáticamente de forma instantánea el virus Buran: Eliminar las amenazas de forma manual puede acabar siendo un proceso largo y tedioso que precisa de conocimientos informáticos avanzados. Spyhunter es una herramienta profesional para eliminar software malicioso de forma automática y está recomendada para acabar con el virus Buran. La descarga se iniciará al hacer clic en el siguiente botón:
▼ DESCARGAR Spyhunter Su detector gratuito verifica si su equipo está infectado. Para eliminar el software malicioso, tendrá que comprar la versión completa de Spyhunter. Si decide descargar este programa, quiere decir que usted está conforme con nuestra Política de privacidad y Condiciones de uso.

Menú rápido:

Paso 1

Usuarios de Windows XP y Windows 7: Inicie su equipo en modo seguro. Haga clic en Inicio, Apagar, Reiniciar y aceptar. Mientras el equipo arranca, pulse la tecla F8 en su teclado varias veces hasta que vea el menú de Opciones avanzadas de Windows, luego seleccione modo seguro con funciones de red de la lista.

Modo seguro con funciones de red

Este vídeo muestra cómo iniciar Windows 7 en "Modo seguro con funciones de red":

Usuarios de Windows 8: Inicie Windows 8 en modo seguro con funciones de red: Diríjase a la pantalla de inicio de Windows 8, escriba "avanzadas", en los resultados de búsqueda, seleccione "Cambiar opciones avanzadas de inicio". En la nueva ventana "Configuración de PC", vaya hasta la sección "Inicio avanzado".  Haga clic en el botón "Reiniciar ahora". Su PC se reiniciará ahora con el "Menú de opciones de arranque avanzadas". Haga clic en el botón de "Solucionar problemas", luego haga clic en el botón de "Opciones avanzadas". En la pantalla de opciones avanzadas, haga clic en "Configuración de inicio". Haga clic en el botón "Reiniciar". Su PC se reiniciará mostrando primero la pantalla de Configuración de inicio. Pulse F5 para arrancar en Modo seguro con funciones de red.

Modo seguro en Windows 8 con funciones de red

Este vídeo muestra cómo iniciar Windows 8 en "Modo seguro con funciones de red":

Usuarios de Windows 10: Haga clic en el logo de Windows y seleccione el icono de Inicio/Apagado. En el nuevo menú, haga clic en "Reiniciar" mientras mantiene pulsada la tecla "mayúsculas" en su teclado. En la ventana "seleccione una opción", haga clic en "Solucionar problemas" y luego en "Opciones avanzadas". En el menú de opciones avanzadas, seleccione "Configuración de inicio" y haga clic en el botón "Reiniciar". En la siguiente pantalla, tendrá que pulsar la tecla F5 de su teclado. Luego se reiniciará el sistema operativo en modo seguro con funciones de red

Modo seguro en Windows 10 con funciones de red

Este vídeo muestra cómo iniciar Windows 10 en "Modo seguro con funciones de red":

Paso 2

Inicie sesión con la cuenta que ha sido infectada con el virus Buran. Abra su navegador web y descargue un programa legítimo anti-spyware. Actualice el software antiespía e inicie un análisis de sistema completo. Elimine todas las entradas que se detecten

Si no puede arrancar su equipo en modo seguro con funciones de red, pruebe ejecutando una restauración del sistema.

Este vídeo muestra cómo eliminar el virus ransomware usando "Modo seguro con funciones de red" y "Restaurar sistema":

1. Durante el proceso de arranque de su ordenador, pulse la tecla F8 en su teclado varias veces hasta que se muestre el menú de Opciones avanzadas de Windows, luego seleccione Modo seguro con símbolo de sistema de la lista y pulse ENTER.

Inicie su sistema en modo seguro con símbolo de sistema

2. Cuando el símbolo del sistema se cargue, introduzca la siguiente línea: cd restore y pulse ENTER.

restauración de sistema usando símbolo del sistema cd restore

3. Luego teclee esta línea: rstrui.exe y pulse ENTER.

restaurar sistema usando símbolo de sistema rstrui.exe

4. En la nueva pantalla, haga clic en "Siguiente".

restaurar archivos del sistema y configuraciones

5. Seleccione uno de los puntos de restauración disponibles y haga clic en "Siguiente" (se restaurará el sistema de su equipo a una fecha anterior antes de que el ransomware Buranse introdujera en su PC).

seleccione un punto de restauración

6. En la ventana abierta, haga clic en "Sí".

ejecutar restauración de sistema

7. Después de restaurar su sistema a un punto anterior, descargue y analice su PC con un software de seguridad antimalware recomendado para eliminar los remanentes del virus Buran.

Para restaurar individualmente cada archivo encriptado por este virus, pruebe con la función versiones anteriores de archivo. Este método es únicamente eficaz si la función de Restaurar sistema estaba activa en el sistema operativo infectado. Tenga en cuenta que algunas variantes de Buraneliminan las instantáneas de volumen de los ficheros, por lo que puede que este método no funcione en algunos equipos.

Para restaurar un archivo, haga clic con el botón derecho del ratón sobre el archivo, seleccione Propiedades y haga clic en la pestaña Versiones anteriores. Si el archivo en cuestión tiene su punto de restauración, selecciónelo y haga clic en el botón "Restaurar".

Restaurando archivos encriptados por CryptoDefense

Si no puede iniciar su sistema en modo seguro con funciones de red (o con símbolo de sistema), inicie su ordenador usando un disco de rescate. Algunos tipos de ransomware desactivan el modo seguro, por lo que la desinfección es más compleja. Para este paso, necesitará tener acceso a otro PC.

Para recuperar el control de los archivos encriptados por Buran, pruebe un programa llamado Shadow Explorer. Aquí podrá leer más información sobre cómo usar este programa.

captura de pantalla de shadow explorer

Para proteger su equipo de virus encriptadores de archivos, analice su sistema con programas antivirus y antiespía fiables. Como medida de protección extra, le recomendamos el programa HitmanPro.Alert y EasySync CryptoMonitor que introduce de forma artificial directivas de grupo en el registro para bloquear programas maliciosos como Buran.

Tenga en cuenta que la actualización Windows 10 Fall Creators incluye la función "Acceso controlado a carpetas" que bloquea los intentos de los virus encriptadores para cifrar sus archivos. Por defecto, esta función protege de forma automática los archivos almacenados en Documentos, Imágenes, Vídeos, Música, Favoritos, así como las carpetas del escritorio.

acceso controlado a carpetas

Los usuarios de Windows 10 deberían instalar esta actualización para proteger sus archivos frente a los cibersecuestros. Aquí verá más información de cómo puede conseguir esta actualización para incrementar la protección de su equipo frente a las infecciones ransomware.

HitmanPro.Alert CryptoGuard detecta el cifrado de archivos y neutraliza tales intentos sin la necesidad de que el usuario intervenga:

la aplicación hitmanproalert que protege del ransomware

Malwarebytes Anti-Ransomware Beta recurre a tecnología avanzada proactiva que supervisa la actividad de los virus secuestradores de equipos y la interrumpe de inmediato antes de que afecten a los archivos de los usuarios:

malwarebytes anti-ransomware

  • La mejor forma de evitar daños ocasionados por infecciones de tipo ransomware (secuestradores de sistemas) es realizando habitualmente copias de seguridad. Aquí encontrará más información sobre soluciones informáticas para realizar copias de seguridad y para recuperar datos.

Otras herramientas conocidas para eliminar el virus Buran:

Fuente: https://www.pcrisk.com/removal-guides/15177-buran-ransomware

Acerca del autor:

Tomas Meskauskas

Me apasiona todo lo relacionado con seguridad informática y tecnología. Me avala una experiencia de más de 10 años trabajando para varias empresas de reparación de problemas técnicos y seguridad on-line. Como editor y autor de PCrisk, llevo trabajando desde 2010. Sígueme en Twitter y LinkedIn para no perderte nada sobre las últimas amenazas de seguridad en internet. Leer más sobre el autor.

El portal de seguridad PCrisk ha sido creado conjuntamente por varios investigadores de seguridad con el propósito de formar e informar a los usuarios sobre las últimas amenazas detectadas en internet. Podrá leer más información sobre los autores e investigadores que trabajan en PCrisk en nuestra página de Contacto.

Nuestras guías de desinfección de software malicioso son gratuitas. No obstante, si desea colaborar, puede realizar una donación.

Guías de desinfección en otros idiomas
Código QR
el virus Buran Código QR
Un código QR (código de respuesta rápida) es un código que puede ser escaneado usando dispositivos y que almacena direcciones web y otra información. Este código puede ser escaneado usando una cámara en un smartphone o tablet. Escanee este código QR para acceder fácilmente a la guía de desinfección de el virus Buran desde su dispositivo móvil.
Nuestra recomendación:

Despídase ya de el virus Buran:

▼ ELIMINAR AHORA con Spyhunter

Plataforma: Windows

Valoración de Spyhunter por parte del editor:
¡Excelente!

[Volver al principio]

Su detector gratuito verifica si su equipo está infectado. Para eliminar el software malicioso, tendrá que comprar la versión completa de Spyhunter.