Cómo mantener el equipo a salvo de TFlower y de otros cibersecuestros

Conocido también como: el virus TFlower
Propagación: Baja
Nivel de peligrosidad: Extremo

Instrucciones para eliminar TFlower

¿Qué es TFlower?

TFlower, descubierto por GrujaRS, es un software catalogado como cibersecuestro. A diferencia de casi todos los programas de tipo ransomware, no cambia las extensiones de los archivos cifrados. Lo que hace, sin embargo, es crear un mensaje pidiendo un rescate (con un archivo de texto llamado "!_Notice_!.txt) que contiene instrucciones sobre cómo comprar una herramienta de descifrado. Normalmente, los programas como TFlower cifran (bloquean) los archivos para que no puedan acceder a no ser que se decodifiquen con una herramienta de descifrado (que los ciberdelincuentes instan a las víctimas a comprar).

El mensaje de rescate ("!_Notice_!.txt") afirma que los archivos solo pueden ser descifrados con la clave que se usó para cifrarlos. Para conseguir la herramienta de descifrado, se insta a las víctimas a pagar a los desarrolladores de TFlower un rescate de 15 BTC (Bitcoin). Para hacer esta transacción, tienen que usar la dirección del monedero BTC facilitada en el mensaje de petición de rescate. El mensaje contiene también la dirección de un sitio web que puede usarse para descifrar un archivo gratis y una dirección de correo (flowerboard@torguard.tg) que puede usarse para contactar con los ciberdelincuentes que diseñaron el ransomware TFlower. 15 Bitcoins es una gran suma de dinero; sin embargo, aunque se pague, hay una alta probabilidad de que los desarrolladores no envíen las herramientas para descifrar los archivos. Los ciberdelincuentes no son de confianza y los usuarios que confían en ellos resultan estafados. Normalmente, solo los desarrolladores de ransomware tienen las herramientas/claves correctas para el descifrado. Casi todos los programas de tipo ransomware llevan a cabo cifrados que son imposibles de descifrar sin la intervención de los ciberdelincuentes. La única forma de recuperar los archivos es recuperarlos de una copia de seguridad; sin embargo, esto solo es posible si la copia de seguridad existe (se ha creado antes de que se infectara el equipo).

Captura de pantalla de un mensaje que insta a los usuarios a pagar un rescate para descifrar sus datos comprometidos:

instrucciones para descifrar TFlower

Otros ejemplos de ransomware son Format, Access, y Ndarod. Casi todos esos programas tienen un modus operandi similar: encriptan los datos y crean mensajes de rescate con instrucciones sobre su descifrado (para comprar herramientas requeridas para el descifrado). Las diferencias comunes están en la cuantía del rescate (coste de la herramienta o clave de descifrado) y algoritmo criptográfico (simétrico o asimétrico) usado para encriptar los datos. Normalmente, los archivos no pueden descifrarse sin las herramientas correctas y sin haber pagado. Rara vez, se pueden burlar los cifrados, solo cuando el ransomware presenta errores de seguridad u otras vulnerabilidades. Haga copias de seguridad con frecuencia y almacénelas en un servidor remoto (como la nube) o dispositivo de almacenamiento extraíble.

¿Cómo llegó a infectar el cibersecuestro mi equipo?

Hay más de una forma de distribuir programas como TFlower. Casi siempre, los ciberdelincuentes usan campañas de spam, falsas herramientas de software, canales de descarga no fiables, troyanos y herramientas de activación no oficiales. Usan campañas de spam para enviar correos que contienen adjuntos maliciosos que son normalmente archivos JavaScript, documentos Microsoft Office o PDF, archivos como ZIP, RAR, archivos ejecutables (.exe), etc. Si se abren, descargan e instalan software malicioso. Los falsos asistentes de actualización infectan los sistemas aprovechando las vulnerabilidades del software desactualizado o descargando o instalando software malicioso en vez de las actualizaciones. Las fuentes descarga no oficiales se usan para propagar software engañoso: los ciberdelincuentes cargan archivos maliciosos que se disfrazan como normales/inofensivos. Los usuarios que los descargan y abren sin querer ocasionan la instalación de software malicioso de alto riesgo. Algunos ejemplos de canales de descarga no fiables son sitios web no oficiales, redes P2P (como clientes torrent, eMule, etc.), páginas de descargas gratuitas, páginas de alojamiento de archivos gratuitos, etc. Las herramientas no oficiales de software se usan para propagar software malicioso. En vez de activar el software,simplemente descargan e instalan programas maliciosos. Los troyanos ocasionan infecciones en cadena: al instalarse, descargan e instalan software malicioso.

Resumen de la amenaza:
Nombre el virus TFlower
Tipo de amenaza Ransomware, virus criptográfico, bloqueador de archivos
Extensión de archivos encriptados !_Notice_!.txt
Mensaje para pedir el rescate 15 BTC (Bitcoin)
Dirección del monedero BTC 14nfYK5frS6Jb4B3mthRffTQuTFfeM9un3
Contacto del ciberdelincuente flowerboard@torguard.tg, flower.harris@protonmail.com, flower.harris@tutanota.com
Detectada como Avast (Win32:Malware-gen), AVG (Win32:Malware-gen), DrWeb (Trojan.Siggen8.38390), Kaspersky (UDS:DangerousObject.Multi.Generic), lista completa de detecciones (VirusTotal)
Síntomas No se pueden abrir los archivos almacenados en el equipo, los archivos que funcionaban anteriormente tienen una extensión diferente, por ejemplo, my.docx.locked. Se muestra un mensaje en el escritorio para pedir un rescate. Los ciberdelincuentes piden el pago de un rescate (normalmente en bitcoins) para desbloquear sus archivos.
Métodos de distribución Adjuntos infectados en correos (macros), sitios web torrent, anuncios maliciosos.
Daño Todos los archivos están encriptados y no se pueden abrir sin pagar el rescate- Otros troyanos que roban contraseñas e infecciones de malware pueden instalarse junto con la infección ransomware.
Eliminación

Para eliminar el virus TFlower, nuestros investigadores de software malicioso recomiendan analizar el equipo con Spyhunter.
▼ Descargar Spyhunter
Su detector gratuito verifica si su equipo está infectado. Para eliminar el software malicioso, tendrá que comprar la versión completa de Spyhunter.

¿Cómo puede protegerse frente a infecciones por ransomware?

No abra los archivos adjuntos a correos irrelevantes o cuando los correos vengan de direcciones desconocidas o sospechosas. Descargue los archivos y programas de sitios web oficiales y de confianza. No use las fuentes mencionadas anteriormente. Mantenga actualizados el software y sistema operativo instalado; sin embargo, use las herramientas y funciones implementadas creadas por los desarrolladores oficiales. Lo mismo aplica a la activación de software: las herramientas piratas son ilegales y los ciberdelincuentes suelen usarlas para distribuir software malicioso. Tenga instalado y siempre en funcionamiento un software reputable antivirus y antiespía. Si su equipo ya está infectado con TFlower, le recomendamos llevar a cabo un análisis con Spyhunter para eliminar automáticamente este cibersecuestro.

Texto mostrado en el archivo de texto en el ransomware TFlower ("!_Notice_!.txt"):

                         IMPORTANT NOTICE THAT IS URGENT AND TRUE
====================

 

Dear Sir/Ma,

Sorry to inform you but many files of your COMPANY has just been ENCRYPTED with a STRONG key.
This simply means that you will not be able to use your files until it is decrypted by the same key used in encrypting  it.

TO get the DECRYPT TOOL for your COMPANY, you have to make payment to us so as to recover your files.
You have to pay sum of 15 BTC to bitcoin address below:
BITCOIN ADDRESS:=>>  14nfYK5frS6Jb4B3mthRffTQuTFfeM9un3

 

                                                   NOTE
====================

 

You may upload 1 of your encrypted files to test the decryption for free.
But, the file should not contain any valuable information.
All the operations can be done at following web site.
WEBSITE:=>> http://665vhhhfwgtpvq6765vektenyr5iw3d5duyydpnsdaijbp4xvz2rxeqd.onion/user.php?address=14nfYK5frS6Jb4B3mthRffTQuTFfeM9un3
E-MAIL :=>>   flowerboard@torguard.tg

Captura de pantalla del sitio web TFlower:

sitio web TFlower

Texto mostrado en el sitio web Tor:

Bitcoin address is 14nfYK5frS6Jb4B3mthRffTQuTFfeM9un3
Payment state: Not yet    
Test: Clieck Here
Test file is "1.jpg".    
We have encrypted some of your files.
If you want to decrypt those files, you should pay 15 BTC to address 14nfYK5frS6Jb4B3mthRffTQuTFfeM9un3 to get your decrypt tool here.
After paying bitcoin, please login with the bitcoin address given to you and download the decrypt tool.
Note: Before making a payment, you may login and upload a file for decryption test.

Our email address is flowerboard@torguard.tg.

Captura de pantalla de archivos cifrados por TFlower:

archivos cifrados por TFlower

Eliminar el cibersecuestro TFlower:

Eliminar automáticamente de forma instantánea el virus TFlower: Eliminar las amenazas de forma manual puede acabar siendo un proceso largo y tedioso que precisa de conocimientos informáticos avanzados. Spyhunter es una herramienta profesional para eliminar software malicioso de forma automática y está recomendada para acabar con el virus TFlower. La descarga se iniciará al hacer clic en el siguiente botón:
▼ DESCARGAR Spyhunter Su detector gratuito verifica si su equipo está infectado. Para eliminar el software malicioso, tendrá que comprar la versión completa de Spyhunter. Si decide descargar este programa, quiere decir que usted está conforme con nuestra Política de privacidad y Condiciones de uso.

Menú rápido:

Paso 1

Usuarios de Windows XP y Windows 7: Inicie su equipo en modo seguro. Haga clic en Inicio, Apagar, Reiniciar y aceptar. Mientras el equipo arranca, pulse la tecla F8 en su teclado varias veces hasta que vea el menú de Opciones avanzadas de Windows, luego seleccione modo seguro con funciones de red de la lista.

Modo seguro con funciones de red

Este vídeo muestra cómo iniciar Windows 7 en "Modo seguro con funciones de red":

Usuarios de Windows 8: Inicie Windows 8 en modo seguro con funciones de red: Diríjase a la pantalla de inicio de Windows 8, escriba "avanzadas", en los resultados de búsqueda, seleccione "Cambiar opciones avanzadas de inicio". En la nueva ventana "Configuración de PC", vaya hasta la sección "Inicio avanzado".  Haga clic en el botón "Reiniciar ahora". Su PC se reiniciará ahora con el "Menú de opciones de arranque avanzadas". Haga clic en el botón de "Solucionar problemas", luego haga clic en el botón de "Opciones avanzadas". En la pantalla de opciones avanzadas, haga clic en "Configuración de inicio". Haga clic en el botón "Reiniciar". Su PC se reiniciará mostrando primero la pantalla de Configuración de inicio. Pulse F5 para arrancar en Modo seguro con funciones de red.

Modo seguro en Windows 8 con funciones de red

Este vídeo muestra cómo iniciar Windows 8 en "Modo seguro con funciones de red":

Usuarios de Windows 10: Haga clic en el logo de Windows y seleccione el icono de Inicio/Apagado. En el nuevo menú, haga clic en "Reiniciar" mientras mantiene pulsada la tecla "mayúsculas" en su teclado. En la ventana "seleccione una opción", haga clic en "Solucionar problemas" y luego en "Opciones avanzadas". En el menú de opciones avanzadas, seleccione "Configuración de inicio" y haga clic en el botón "Reiniciar". En la siguiente pantalla, tendrá que pulsar la tecla F5 de su teclado. Luego se reiniciará el sistema operativo en modo seguro con funciones de red

Modo seguro en Windows 10 con funciones de red

Este vídeo muestra cómo iniciar Windows 10 en "Modo seguro con funciones de red":

Paso 2

Inicie sesión con la cuenta que ha sido infectada con el virus TFlower. Abra su navegador web y descargue un programa legítimo anti-spyware. Actualice el software antiespía e inicie un análisis de sistema completo. Elimine todas las entradas que se detecten

Si no puede arrancar su equipo en modo seguro con funciones de red, pruebe ejecutando una restauración del sistema.

Este vídeo muestra cómo eliminar el virus ransomware usando "Modo seguro con funciones de red" y "Restaurar sistema":

1. Durante el proceso de arranque de su ordenador, pulse la tecla F8 en su teclado varias veces hasta que se muestre el menú de Opciones avanzadas de Windows, luego seleccione Modo seguro con símbolo de sistema de la lista y pulse ENTER.

Inicie su sistema en modo seguro con símbolo de sistema

2. Cuando el símbolo del sistema se cargue, introduzca la siguiente línea: cd restore y pulse ENTER.

restauración de sistema usando símbolo del sistema cd restore

3. Luego teclee esta línea: rstrui.exe y pulse ENTER.

restaurar sistema usando símbolo de sistema rstrui.exe

4. En la nueva pantalla, haga clic en "Siguiente".

restaurar archivos del sistema y configuraciones

5. Seleccione uno de los puntos de restauración disponibles y haga clic en "Siguiente" (se restaurará el sistema de su equipo a una fecha anterior antes de que el ransomware TFlowerse introdujera en su PC).

seleccione un punto de restauración

6. En la ventana abierta, haga clic en "Sí".

ejecutar restauración de sistema

7. Después de restaurar su sistema a un punto anterior, descargue y analice su PC con un software de seguridad antimalware recomendado para eliminar los remanentes del virus TFlower.

Para restaurar individualmente cada archivo encriptado por este virus, pruebe con la función versiones anteriores de archivo. Este método es únicamente eficaz si la función de Restaurar sistema estaba activa en el sistema operativo infectado. Tenga en cuenta que algunas variantes de TFlowereliminan las instantáneas de volumen de los ficheros, por lo que puede que este método no funcione en algunos equipos.

Para restaurar un archivo, haga clic con el botón derecho del ratón sobre el archivo, seleccione Propiedades y haga clic en la pestaña Versiones anteriores. Si el archivo en cuestión tiene su punto de restauración, selecciónelo y haga clic en el botón "Restaurar".

Restaurando archivos encriptados por CryptoDefense

Si no puede iniciar su sistema en modo seguro con funciones de red (o con símbolo de sistema), inicie su ordenador usando un disco de rescate. Algunos tipos de ransomware desactivan el modo seguro, por lo que la desinfección es más compleja. Para este paso, necesitará tener acceso a otro PC.

Para recuperar el control de los archivos encriptados por TFlower, pruebe un programa llamado Shadow Explorer. Aquí podrá leer más información sobre cómo usar este programa.

captura de pantalla de shadow explorer

Para proteger su equipo de virus encriptadores de archivos, analice su sistema con programas antivirus y antiespía fiables. Como medida de protección extra, le recomendamos el programa HitmanPro.Alert y EasySync CryptoMonitor que introduce de forma artificial directivas de grupo en el registro para bloquear programas maliciosos como TFlower.

Tenga en cuenta que la actualización Windows 10 Fall Creators incluye la función "Acceso controlado a carpetas" que bloquea los intentos de los virus encriptadores para cifrar sus archivos. Por defecto, esta función protege de forma automática los archivos almacenados en Documentos, Imágenes, Vídeos, Música, Favoritos, así como las carpetas del escritorio.

acceso controlado a carpetas

Los usuarios de Windows 10 deberían instalar esta actualización para proteger sus archivos frente a los cibersecuestros. Aquí verá más información de cómo puede conseguir esta actualización para incrementar la protección de su equipo frente a las infecciones ransomware.

HitmanPro.Alert CryptoGuard detecta el cifrado de archivos y neutraliza tales intentos sin la necesidad de que el usuario intervenga:

la aplicación hitmanproalert que protege del ransomware

Malwarebytes Anti-Ransomware Beta recurre a tecnología avanzada proactiva que supervisa la actividad de los virus secuestradores de equipos y la interrumpe de inmediato antes de que afecten a los archivos de los usuarios:

malwarebytes anti-ransomware

  • La mejor forma de evitar daños ocasionados por infecciones de tipo ransomware (secuestradores de sistemas) es realizando habitualmente copias de seguridad. Aquí encontrará más información sobre soluciones informáticas para realizar copias de seguridad y para recuperar datos.

Otras herramientas conocidas para eliminar el virus TFlower:

Fuente: https://www.pcrisk.com/removal-guides/15507-tflower-ransomware

Acerca del autor:

Tomas Meskauskas

Me apasiona todo lo relacionado con seguridad informática y tecnología. Me avala una experiencia de más de 10 años trabajando para varias empresas de reparación de problemas técnicos y seguridad on-line. Como editor y autor de PCrisk, llevo trabajando desde 2010. Sígueme en Twitter y LinkedIn para no perderte nada sobre las últimas amenazas de seguridad en internet. Leer más sobre el autor.

El portal de seguridad PCrisk ha sido creado conjuntamente por varios investigadores de seguridad con el propósito de formar e informar a los usuarios sobre las últimas amenazas detectadas en internet. Podrá leer más información sobre los autores e investigadores que trabajan en PCrisk en nuestra página de Contacto.

Nuestras guías de desinfección de software malicioso son gratuitas. No obstante, si desea colaborar, puede realizar una donación.

Guías de desinfección en otros idiomas
Código QR
el virus TFlower Código QR
Un código QR (código de respuesta rápida) es un código que puede ser escaneado usando dispositivos y que almacena direcciones web y otra información. Este código puede ser escaneado usando una cámara en un smartphone o tablet. Escanee este código QR para acceder fácilmente a la guía de desinfección de el virus TFlower desde su dispositivo móvil.
Nuestra recomendación:

Despídase ya de el virus TFlower:

▼ ELIMINAR AHORA con Spyhunter

Plataforma: Windows

Valoración de Spyhunter por parte del editor:
¡Excelente!

[Volver al principio]

Su detector gratuito verifica si su equipo está infectado. Para eliminar el software malicioso, tendrá que comprar la versión completa de Spyhunter.