Eliminar el cibersecuestro MedusaLocker del sistema operativo

Conocido también como: el virus MedusaLocker
Propagación: Baja
Nivel de peligrosidad: Extremo

Instrucciones para eliminar MedusaLocker

¿Qué es MedusaLocker?

MedusaLocker, descubierto por MalwareHunterTeam, es un programa malicioso clasificado como ransomware. Funciona encriptando los datos y manteniéndolos bloqueados hasta que se pague un rescate (es decir, hasta que se compre la herramienta de descifrado). Durante el proceso de cifrado, todos los archivos se renombran usando la extensión ".encrypted"; cambiando el título del archivo para que "1.jpg" pase a llamarse "1.jpg.encrypted" y así sucesivamente. Una vez que los datos están encriptados, MedusaLocker suelta un archivo HTML en el escritorio de la víctima - "HOW_TO_RECOVER_DATA.html", que incluye un mensaje de petición de rescate.

En el mensaje de petición de rescate, se asegura que todos los archivos han sido encriptados y que para recuperarlos hay que comprar un desencriptador único a los ciberdelincuentes de MedusaLocker. Para más información sobre el proceso de compra del software de descifrado, se insta a las víctimas a contactar con los delincuentes a través de un correo electrónico facilitado. En caso de que no llegue ninguna respuesta en 24 horas, los usuarios deberán escribir a otra dirección de correo alternativa. En el correo que envíen las víctimas deben escribir su número personal ID que se incluye en la nota de petición de rescate. Para demostrar su capacidad de deshacer el entuerto, los desarrolladores de MedusaLocker ofrecen descifrar un archivo gratis. Lo harán si el archivo no tiene más de 10 MB. En el mensaje se advierte asimismo que el correo electrónico será bloqueado pronto, por lo que los usuarios afectados deberían contactar con ellos sin más demora. En la nota, se sigue diciendo que cambiar los datos encriptados de alguna forma, intentar descifrarlos con otro software o usar claves privadas de otra víctima podría llevar a la pérdida permanente de los datos. Por desgracia, lo que dicen es cierto. No existe ninguna herramienta gratuita de descifrado capaz de romper el descifrado de MedusaLocker. Normalmente, solo los ciberdelincuentes son capaces de descifrar sus datos, encriptados con su software. Sin embargo, se desaconseja satisfacer sus demandas de pago y comunicarse con tales delincuentes. A menudo, a pesar de pagar, las víctimas de ransomware no reciben las herramientas de descifrado ni las claves. Por tanto, sus datos permanecen encriptados y no son válidos. La única forma posible es recuperar los archivos de una copia de seguridad, siempre y cuando se haya hecho antes de la infección y se haya almacenado en otro sitio.

Captura de pantalla de un mensaje instando a los usuarios a pagar un rescate para descifrar los datos comprometidos:

instrucciones para descifrar MedusaLocker

Casi todos los programas de ransomware comparten similitudes, p. ej. Leto, Sapphire, Angus son similares a MedusaLocker. El software malicioso de este tipo cifra los datos y exige el pago. Las únicas diferencias están en los algoritmos criptográficos (simétricos o asimétricos) usados para encriptar los archivos y en la cuantía del rescate. Los ciberdelincuentes prefieren las divisas digitales (p. ej. criptomonedas, cupones prepago, etc.), porque las transacciones de estas son difíciles o imposibles de rastrear. A no ser que el ransomware esté en desarrollo o tenga fallos de seguridad, es imposible llevar a cabo un descifrado de forma manual (sin involucrar a los desarrolladores del programa malicioso). Para asegurar que los archivos no se encriptan y evitar los ataques dañinos, se recomienda almacenar copias de seguridad en servidores remotos o dispositivos de almacenamiento extraíbles. Normalmente, se deben almacenar múltiples copias de seguridad en distintas ubicaciones.

¿Cómo llegó a infectar el cibersecuestro mi equipo?

Tanto el ransomware como el software malicioso se propaga principalmente a través de campañas de spam, troyanos, herramientas de piratería (activación), actualizadores falsos y canales de descarga dudosos. Las campañas de spam se usan para enviar miles de correos engañosos que contienen adjuntos virulentos (o enlaces web que apuntan a ellos). Esos correos electrónicos suelen estar etiquetados como "urgentes", "oficiales", "Importantes"; etc. Los adjuntos pueden estar en varios formatos de archivo (p. ej. archivos ejecutables, documentos PDF y Microsoft Office, JavaScript, etc.) y una vez abiertos, ocasionan la infección. Los troyanos son programas maliciosos que están diseñados para propagar otras infecciones. Con otras palabras, descargan o instalan software malicioso adicional. Las herramientas de piratería de software pueden instalar software malicioso en vez de activar el producto de pago. Los falsos asistentes de actualización infectan los sistemas aprovechando las vulnerabilidades del software desactualizado o descargando o instalando software malicioso en vez de las actualizaciones. Las redes P2P de compartición (BitTorrent, Gnutella, eMule, etc.), sitios no oficiales y de alojamiento gratuito, asistentes de descarga de terceros no son de fiar, ya que lo más probable es que tengan software empaquetado o engañoso.

Resumen de la amenaza:
Nombre el virus MedusaLocker
Tipo de amenaza Ransomware, virus criptográfico, bloqueador de archivos
Extensión de archivos encriptados .encrypted
Mensaje para pedir el rescate HOW_TO_RECOVER_DATA.html
Contacto del ciberdelincuentet folieloi@protonmail.com, ctorsenoria@tutanota.com
Detectada como AVG (Win32:Malware-gen), BitDefender (Trojan.GenericKD.41882000), ESET-NOD32 (una versión de Win32/Filecoder.NYA), Kaspersky (Trojan.Win32.DelShad.ayu), lista completa de detecciones (VirusTotal)
Síntomas No se pueden abrir los archivos almacenados en el equipo, los archivos que funcionaban anteriormente tienen una extensión diferente, por ejemplo, my.docx.locked. Se muestra un mensaje en el escritorio para pedir un rescate. Los ciberdelincuentes piden el pago de un rescate (normalmente en bitcoins) para desbloquear sus archivos.
Métodos de distribución Adjuntos infectados en correos (macros), sitios web torrent, anuncios maliciosos.
Daño Todos los archivos están encriptados y no se pueden abrir sin pagar el rescate- Otros troyanos que roban contraseñas e infecciones de malware pueden instalarse junto con la infección ransomware.
Eliminación

Para eliminar el virus MedusaLocker, nuestros investigadores de software malicioso recomiendan analizar el equipo con Spyhunter.
▼ Descargar Spyhunter
Su detector gratuito verifica si su equipo está infectado. Para eliminar el software malicioso, tendrá que comprar la versión completa de Spyhunter.

¿Cómo puede protegerse frente a infecciones por ransomware?

No abra los archivos adjuntos a correos irrelevantes o cuando los correos vengan de direcciones desconocidas o sospechosas. Cualquier adjunto encontrado en tal correo no debería abrirse nunca, ya que puede ocasionar la infección. Solo los canales oficiales y verificados deberían usarse para descargar software en contraposición con los canales de compartición o de terceros. El software instalado debe actualizarse con las funciones implementadas o herramientas que están diseñadas por los desarrolladores de software oficiales. Las herramientas de piratería de software pueden instalar software malicioso en vez de activar el producto de pago. Por último, asegúrese de tener instalado y en funcionamiento un programa antivirus o antiespía de confianza. El citado software debería usarse para realizar análisis regulares y mantener el equipo a salvo. Si su equipo está infectado ya con MedusaLocker, le recomendamos ejecutar un análisis con Spyhunter para eliminar este ransomware de forma automática.

Texto mostrado en el archivo HTML de MedusaLocker ("HOW_TO_RECOVER_DATA.html"):

All your data are encrypted!
What happened?
Your files are encrypted, and currently unavailable.
You can check it: all files on you computer has new expansion.
By the way, everything is possible to recover (restore), but you need to buy a unique decryptor.
Otherwise, you never cant return your data.

For purchasing a decryptor contact us by email:
Folieloi@protonmail.com
If you will get no answer within 24 hours contact us by our alternate emails:
Ctorsenoria@tutanota.com

What guarantees?
Its just a business. If we do not do our work and liabilities - nobody will not cooperate with us.
To verify the possibility of the recovery of your files we can decrypted 1 file for free.
Attach 1 file to the letter (no more than 10Mb). Indicate your personal ID on the letter:
-
Attention!
- Attempts of change files by yourself will result in a loose of data.
- Our e-mail can be blocked over time. Write now, loss of contact with us will result in a loose of data.
- Use any third party software for restoring your data or antivirus solutions will result in a loose of data.
- Decryptors of other users are unique and will not fit your files and use of those will result in a loose of data.
- If you will not cooperate with our service - for us, its does not matter. But you will lose your time and data, cause just we have the private key.

Aspecto del archivo HTML del ransomware MedusaLocker (GIF):

archivo HTML MedusaLocker

Captura de pantalla de los archivos cifrados por MedusaLocker (extensión ".encrypted"):

archivos cifrados por MedusaLocker

Eliminar el ransomware de MedusaLocker:

Eliminar automáticamente de forma instantánea el virus MedusaLocker: Eliminar las amenazas de forma manual puede acabar siendo un proceso largo y tedioso que precisa de conocimientos informáticos avanzados. Spyhunter es una herramienta profesional para eliminar software malicioso de forma automática y está recomendada para acabar con el virus MedusaLocker. La descarga se iniciará al hacer clic en el siguiente botón:
▼ DESCARGAR Spyhunter Su detector gratuito verifica si su equipo está infectado. Para eliminar el software malicioso, tendrá que comprar la versión completa de Spyhunter. Si decide descargar este programa, quiere decir que usted está conforme con nuestra Política de privacidad y Condiciones de uso.

Menú rápido:

Paso 1

Usuarios de Windows XP y Windows 7: Inicie su equipo en modo seguro. Haga clic en Inicio, Apagar, Reiniciar y aceptar. Mientras el equipo arranca, pulse la tecla F8 en su teclado varias veces hasta que vea el menú de Opciones avanzadas de Windows, luego seleccione modo seguro con funciones de red de la lista.

Modo seguro con funciones de red

Este vídeo muestra cómo iniciar Windows 7 en "Modo seguro con funciones de red":

Usuarios de Windows 8: Inicie Windows 8 en modo seguro con funciones de red: Diríjase a la pantalla de inicio de Windows 8, escriba "avanzadas", en los resultados de búsqueda, seleccione "Cambiar opciones avanzadas de inicio". En la nueva ventana "Configuración de PC", vaya hasta la sección "Inicio avanzado".  Haga clic en el botón "Reiniciar ahora". Su PC se reiniciará ahora con el "Menú de opciones de arranque avanzadas". Haga clic en el botón de "Solucionar problemas", luego haga clic en el botón de "Opciones avanzadas". En la pantalla de opciones avanzadas, haga clic en "Configuración de inicio". Haga clic en el botón "Reiniciar". Su PC se reiniciará mostrando primero la pantalla de Configuración de inicio. Pulse F5 para arrancar en Modo seguro con funciones de red.

Modo seguro en Windows 8 con funciones de red

Este vídeo muestra cómo iniciar Windows 8 en "Modo seguro con funciones de red":

Usuarios de Windows 10: Haga clic en el logo de Windows y seleccione el icono de Inicio/Apagado. En el nuevo menú, haga clic en "Reiniciar" mientras mantiene pulsada la tecla "mayúsculas" en su teclado. En la ventana "seleccione una opción", haga clic en "Solucionar problemas" y luego en "Opciones avanzadas". En el menú de opciones avanzadas, seleccione "Configuración de inicio" y haga clic en el botón "Reiniciar". En la siguiente pantalla, tendrá que pulsar la tecla F5 de su teclado. Luego se reiniciará el sistema operativo en modo seguro con funciones de red

Modo seguro en Windows 10 con funciones de red

Este vídeo muestra cómo iniciar Windows 10 en "Modo seguro con funciones de red":

Paso 2

Inicie sesión con la cuenta que ha sido infectada con el virus MedusaLocker. Abra su navegador web y descargue un programa legítimo anti-spyware. Actualice el software antiespía e inicie un análisis de sistema completo. Elimine todas las entradas que se detecten

Si no puede arrancar su equipo en modo seguro con funciones de red, pruebe ejecutando una restauración del sistema.

Este vídeo muestra cómo eliminar el virus ransomware usando "Modo seguro con funciones de red" y "Restaurar sistema":

1. Durante el proceso de arranque de su ordenador, pulse la tecla F8 en su teclado varias veces hasta que se muestre el menú de Opciones avanzadas de Windows, luego seleccione Modo seguro con símbolo de sistema de la lista y pulse ENTER.

Inicie su sistema en modo seguro con símbolo de sistema

2. Cuando el símbolo del sistema se cargue, introduzca la siguiente línea: cd restore y pulse ENTER.

restauración de sistema usando símbolo del sistema cd restore

3. Luego teclee esta línea: rstrui.exe y pulse ENTER.

restaurar sistema usando símbolo de sistema rstrui.exe

4. En la nueva pantalla, haga clic en "Siguiente".

restaurar archivos del sistema y configuraciones

5. Seleccione uno de los puntos de restauración disponibles y haga clic en "Siguiente" (se restaurará el sistema de su equipo a una fecha anterior antes de que el ransomware MedusaLockerse introdujera en su PC).

seleccione un punto de restauración

6. En la ventana abierta, haga clic en "Sí".

ejecutar restauración de sistema

7. Después de restaurar su sistema a un punto anterior, descargue y analice su PC con un software de seguridad antimalware recomendado para eliminar los remanentes del virus MedusaLocker.

Para restaurar individualmente cada archivo encriptado por este virus, pruebe con la función versiones anteriores de archivo. Este método es únicamente eficaz si la función de Restaurar sistema estaba activa en el sistema operativo infectado. Tenga en cuenta que algunas variantes de MedusaLockereliminan las instantáneas de volumen de los ficheros, por lo que puede que este método no funcione en algunos equipos.

Para restaurar un archivo, haga clic con el botón derecho del ratón sobre el archivo, seleccione Propiedades y haga clic en la pestaña Versiones anteriores. Si el archivo en cuestión tiene su punto de restauración, selecciónelo y haga clic en el botón "Restaurar".

Restaurando archivos encriptados por CryptoDefense

Si no puede iniciar su sistema en modo seguro con funciones de red (o con símbolo de sistema), inicie su ordenador usando un disco de rescate. Algunos tipos de ransomware desactivan el modo seguro, por lo que la desinfección es más compleja. Para este paso, necesitará tener acceso a otro PC.

Para recuperar el control de los archivos encriptados por MedusaLocker, pruebe un programa llamado Shadow Explorer. Aquí podrá leer más información sobre cómo usar este programa.

captura de pantalla de shadow explorer

Para proteger su equipo de virus encriptadores de archivos, analice su sistema con programas antivirus y antiespía fiables. Como medida de protección extra, le recomendamos el programa HitmanPro.Alert y EasySync CryptoMonitor que introduce de forma artificial directivas de grupo en el registro para bloquear programas maliciosos como MedusaLocker.

Tenga en cuenta que la actualización Windows 10 Fall Creators incluye la función "Acceso controlado a carpetas" que bloquea los intentos de los virus encriptadores para cifrar sus archivos. Por defecto, esta función protege de forma automática los archivos almacenados en Documentos, Imágenes, Vídeos, Música, Favoritos, así como las carpetas del escritorio.

acceso controlado a carpetas

Los usuarios de Windows 10 deberían instalar esta actualización para proteger sus archivos frente a los cibersecuestros. Aquí verá más información de cómo puede conseguir esta actualización para incrementar la protección de su equipo frente a las infecciones ransomware.

HitmanPro.Alert CryptoGuard detecta el cifrado de archivos y neutraliza tales intentos sin la necesidad de que el usuario intervenga:

la aplicación hitmanproalert que protege del ransomware

Malwarebytes Anti-Ransomware Beta recurre a tecnología avanzada proactiva que supervisa la actividad de los virus secuestradores de equipos y la interrumpe de inmediato antes de que afecten a los archivos de los usuarios:

malwarebytes anti-ransomware

  • La mejor forma de evitar daños ocasionados por infecciones de tipo ransomware (secuestradores de sistemas) es realizando habitualmente copias de seguridad. Aquí encontrará más información sobre soluciones informáticas para realizar copias de seguridad y para recuperar datos.

Otras herramientas conocidas para eliminar el virus MedusaLocker

Fuente: https://www.pcrisk.com/removal-guides/16113-medusalocker-ransomware

Acerca del autor:

Tomas Meskauskas

Me apasiona todo lo relacionado con seguridad informática y tecnología. Me avala una experiencia de más de 10 años trabajando para varias empresas de reparación de problemas técnicos y seguridad on-line. Como editor y autor de PCrisk, llevo trabajando desde 2010. Sígueme en Twitter y LinkedIn para no perderte nada sobre las últimas amenazas de seguridad en internet. Leer más sobre el autor.

El portal de seguridad PCrisk ha sido creado conjuntamente por varios investigadores de seguridad con el propósito de formar e informar a los usuarios sobre las últimas amenazas detectadas en internet. Podrá leer más información sobre los autores e investigadores que trabajan en PCrisk en nuestra página de Contacto.

Nuestras guías de desinfección de software malicioso son gratuitas. No obstante, si desea colaborar, puede realizar una donación.

Guías de desinfección en otros idiomas
Código QR
el virus MedusaLocker Código QR
Un código QR (código de respuesta rápida) es un código que puede ser escaneado usando dispositivos y que almacena direcciones web y otra información. Este código puede ser escaneado usando una cámara en un smartphone o tablet. Escanee este código QR para acceder fácilmente a la guía de desinfección de el virus MedusaLocker desde su dispositivo móvil.
Nuestra recomendación:

Despídase ya de el virus MedusaLocker:

▼ ELIMINAR AHORA con Spyhunter

Plataforma: Windows

Valoración de Spyhunter por parte del editor:
¡Excelente!

[Volver al principio]

Su detector gratuito verifica si su equipo está infectado. Para eliminar el software malicioso, tendrá que comprar la versión completa de Spyhunter.