Cómo remover el ransomware Wiki de tu sistema operativo

Conocido también como: Virus Wiki
Propagación: Baja
Nivel de peligrosidad: Extremo

Instrucciones para remover el ransomware Wiki

¿Qué es Wiki?

Wiki es un fragmento de software malicioso, clasificado como ransomware, perteneciente a la familia de malware Crysis/Dharma. El crédito por descubrir Wiki pertenece a Jakub Kroustek. Está diseñado para cifrar datos y mantenerlos bloqueados, hasta que se pague un rescate (es decir, se compra un software/herramienta de descifrado). A medida que este programa malicioso cifra los datos, cambia el nombre de los archivos con un número de identificación único (generado para cada víctima), la dirección de correo electrónico de sus desarrolladores y la extensión ".wiki". Por ejemplo, un archivo nombrado "1.jpg" aparecerá parecido a "1.jpg.id-1E857D00.[bitlocker@foxmail.com ].wiki", y así sucesivamente. Una vez que se completa este proceso, Wiki deja un archivo llamado "FILES ENCRYPTED.txt" en el escritorio y muestra una ventana emergente.

El mensaje en el archivo de texto informa a las víctimas que sus datos han sido bloqueados, y si quieren recuperarlos deben escribirle a los ciberdelincuentes detrás del ransomware Wiki. La ventana emergente contiene una nota de rescate más detallada. Indica que el correo electrónico debe contener el número de identificación único en el asunto/título y se proporcionan direcciones alternativas, en caso de que los usuarios no reciban ninguna respuesta en 24 horas. Las víctimas deben pagar un rescate para recibir una herramienta de descifrado, el tamaño del pago dependerá de qué tan rápido le escriban a los delincuentes. Como prueba de su capacidad para restaurar los datos cifrados, los desarrolladores de este software malicioso ofrecen descifrar un archivo de forma gratuita. El archivo no debe ser mayor de 1Mb (no archivado) y no debe contener información valiosa, por lo tanto, no puede ser una base de datos, copia de seguridad, hoja de Excel grande y similares. El mensaje también da instrucciones sobre cómo obtener la criptomoneda de Bitcoin, que es la moneda en la que se deberá pagar el rescate. Además, se les dice a los usuarios que no cambien el nombre de los archivos encriptados y que no intenten descifrarlos manualmente (utilizando software de terceros), ya que eso provocará la pérdida permanente de datos. Es cierto que no hay programas gratuitos capaces de "descifrar" el cifrado de Wiki. Las infecciones de tipo ransomware utilizan cifrados fuertes, que generalmente no pueden romperse sin la interferencia de los ciberdelincuentes que cifraron los datos. En cualquier caso, se recomienda expresamente no comunicarse con ellos y satisfacer las demandas de rescate. A menudo, a pesar del pago, las víctimas no reciben las herramientas necesarias para descifrar sus archivos. Por lo tanto, sus datos permanecen cifrados y sin valor alguno. La única solución viable es restaurar los archivos desde una copia de seguridad, si se realizó antes del ataque y se almacenó por separado.

Captura de pantalla de un mensaje que alienta a los usuarios a pagar un rescate para descifrar sus datos comprometidos:

instrucciones de desencriptación de wiki

La mayoría de los programas de ransomware comparten ciertas características comunes entre ellas. Maze 2019, MedusaLocker, Deal son algunos ejemplos de infecciones similares a Wiki. Todo el ransomware cifra los archivos y exige el pago por su descifrado. Sin embargo, hay algunas diferencias cruciales: el algoritmo criptográfico que usan (simétrica or asimétrica) y el tamaño del rescate. Estos últimos suelen estar entre sumas de tres dígitos y cuatro dígitos (en USD). Los ciberdelincuentes prefieren monedas digitales (por ejemplo, criptomonedas, cupones prepagos, etc.), ya que las transacciones con estas son difíciles/imposibles de rastrear. Los únicos casos en los que es posible descifrar sin la participación de los delincuentes es cuando el ransomware todavía está en desarrollo y/o tiene fallas/errores. Para proteger los datos de ataques de cifrado/daños, se recomienda mantener copias de seguridad en servidores remotos y/o dispositivos de almacenamiento desconectados. Debido a que ambos pueden sufrir daños, es preferible almacenar varias copias de seguridad en diferentes ubicaciones.

¿Cómo infectó el ransomware mi computadora?

Los ransomware y otro software malicioso se propagan principalmente a través de troyanos, campañas de spam, canales de descarga no confiables, actualizaciones de software falsas y herramientas de "cracking". Los troyanos son programas maliciosos, diseñados para causar infecciones en cadena (es decir, descargan/instalan malware adicional). Las campañas de spam se implementan para enviar miles de correos electrónicos engañosos que contienen archivos adjuntos infecciosos (o enlaces web que conducen a ellos). Estos correos electrónicos generalmente están marcados como "oficiales", "importantes", "urgentes" o resaltados como correo prioritario. Los archivos adjuntos que causan la infección, pueden estar en varios formatos de archivo (por ejemplo, documentos de Microsoft Office y PDF, archivos ejecutables y de archivado, JavaScript, etc.). Las redes P2P (BitTorrent, eMule, Gnutella, etc.), sitios web de alojamiento de archivos no oficiales y gratuitos, descargadores de terceros y canales similares se consideran poco confiables. Es probable que estas fuentes de descarga no confiables ofrezcan software malicioso y/o contenido incluido en ellos. Los actualizadores de programas falsos abusan de los defectos/debilidades presentes en el software obsoleto y/o instalan malware en lugar de las actualizaciones. Las herramientas de activación ilegal ("cracks") infectan los sistemas de manera similar, descargan/instalan malware en lugar de activar productos con licencia.

Threat Summary:
Nombre Virus Wiki
Tipo de Amenaza Ransomware, Crypto Virus, Files locker
Extensión de Archivos Cifrados .wiki (este ransomware también agrega nombres de archivo con la identificación única de la víctima y la dirección de correo electrónico de los desarrolladores)
Mensaje de Demanda de Rescate Ventana emergente (Aplicación HTML), FILES ENCRYPTED.txt
Contacto de Cibercriminales bitlocker@foxmail.com
Nombres de Detección Avast (FileRepMalware), BitDefender (Trojan.Ransomware.GenericKDS.32600106), DrWeb (Trojan.Inject3.29015), ESET-NOD32 (Una variante de Generik.FYASUBF), Lista completa de detecciones (VirusTotal)
Síntomas No se pueden abrir archivos almacenados en su computadora, los archivos previamente funcionales ahora tienen una extensión diferente (por ejemplo, my.docx.locked). Se muestra un mensaje de solicitud de rescate en su escritorio. Los ciberdelincuentes exigen el pago de un rescate (generalmente en bitcoins) para desbloquear sus archivos.
Métodos de Distribución Archivos adjuntos de correo electrónico infectados (macros), sitios web de torrents, anuncios maliciosos.
Daño Todos los archivos están encriptados y no se pueden abrir sin pagar un rescate. Se pueden instalar troyanos adicionales que roban contraseñas e infecciones de malware junto con una infección de ransomware.
Eliminación

Para eliminar Virus Wiki, nuestros investigadores de software malicioso recomiendan analizar el equipo con Spyhunter.
▼ Descargar Spyhunter
Su detector gratuito verifica si su equipo está infectado. Para eliminar el software malicioso, tendrá que comprar la versión completa de Spyhunter.

¿Cómo protegerse de las infecciones de ransomware?

No se deben abrir correos electrónicos sospechosos e irrelevantes, especialmente los recibidos de remitentes desconocidos (direcciones). Los archivos adjuntos encontrados en este tipo de correo nunca deben ejecutarse, o abrirse de cualquier otra manera, ya que eso causará la infección (desencadena la descarga/instalación de malware). Se recomienda encarecidamente utilizar solo fuentes de descarga oficiales y verificadas. El software instalado debe mantenerse actualizado utilizando funciones/herramientas proporcionadas por los desarrolladores legítimos. Los programas también deben activarse utilizando medios genuinos, a diferencia de las herramientas ilegales de "craqueo". Se recomienda encarecidamente a los usuarios que tengan una suite de antivirus/antispyware reconocidos instalado y actualizado. Dicho software se utilizará para análisis regulares del sistema y eliminación de amenazas detectadas. Si su computadora ya está infectada con Wiki, recomendamos ejecutar un análisis con Spyhunter para eliminar automáticamente este ransomware.

Texto presentado en la ventana emergente del ransomware Wiki ransomware:

All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail bitlocker@foxmail.com
Write this ID in the title of your message 1E857D00
In case of no answer in 24 hours write us to theese e-mails:bitlocker@foxmail.com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 1 file for free decryption. The total size of files must be less than 1Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Captura de pantalla del archivo de texto de Wiki ("FILES ENCRYPTED.txt"):

archivo de texto de wiki

Texto presentado en este archivo:

all your data has been locked us
You want to return?
Write email bitlocker@foxmail.com

Captura de pantalla de los archivos encriptados por Wiki (extensión ".wiki"):

archivos encriptados por wiki

Eliminación del ransomware Wiki:

Eliminar automáticamente de forma instantánea Virus Wiki: Eliminar las amenazas de forma manual puede acabar siendo un proceso largo y tedioso que precisa de conocimientos informáticos avanzados. Spyhunter es una herramienta profesional para eliminar software malicioso de forma automática y está recomendada para acabar con Virus Wiki. La descarga se iniciará al hacer clic en el siguiente botón:
▼ DESCARGAR Spyhunter Su detector gratuito verifica si su equipo está infectado. Para eliminar el software malicioso, tendrá que comprar la versión completa de Spyhunter. Si decide descargar este programa, quiere decir que usted está conforme con nuestra Política de privacidad y Condiciones de uso.

Menú Rápido:

Paso 1

Usuarios de Windows XP and Windows 7: Inicia tu computadora en Modo Seguro. Haz click en Inicio, click en Apagar, click en Reiniciar, click en OK. Durante el proceso de inicio de tu computadora, presiona la tecla F8 en tu teclado múltiples veces gasta que veas el menú de Opciones Avanzadas de Windows, y luego selecciona Modo Seguro con Red en la lista.

modo seguro con red

Video mostrando cómo iniciar Windows 7 en "Modo Seguro con Red":

Usuarios de Windows 8: Inicia Windows 8 en Modo Seguro con Red - Ve a la Pantalla de Inicio Windows 8, escribe Avanzado, en los resultados de la búsqueda selecciona Configuración. Click en Opciones de Inicio Avanzadas, en la ventana abierta "Configuración General de la PC", seleccion Inicio Avanzado. Haz click en el botón "Reiniciar ahora". Tu computadora ahora reiniciará en el "Menú de Opciones de Inicio Avanzadas". Haz click en el botón "Resolver problemas", y entonces haz click en el botón "Opciones avanzadas". En la pantalla de opciones avanzadas, click "Startup settings". Haz click en el botón "Reiniciar". Tu PC reiniciará en la pantalla de Configuraciones de Inicio. Presiona F5 para arrancar en Modo Seguro con Red.

modo seguro con red en windows 8

Video mostrando cómo iniciar Windows 8 en "Modo Seguro con Red":

Usuarios de Windows 10: Haz click en el logo de Windows y seleccione el ícono de Apagado. En el menú abierto, haz click en "Reiniciar" mientras presionas el botón "Shift" en tú teclado. En la ventana "Elige una opción", haz click on the "Resolver problemas", después selecciona "Opciones Avanzadas". En el menú de opciones avanzadas, selecciona "Configuración de Inicio" y click en el botón "Reiniciar". En la siguiente ventana, debes gacer click en la tecla "F5" de tu teclado. Esto reiniciará tu sistema operativo en Modo Seguro con Red.

modo seguro con red en windows 10

Video mostrando cómo iniciar Windows 10 en "Modo Seguro con Red":

Paso 2

Inicia sesión en la cuenta infectada con el virus Wiki. Inicia tu navegador de Internet y descarga un programa anti-spyware legítimo. Actualiza el software anti-spyware e inicia un análisis completo del sistema. Eliminar todas las entradas detectadas.

Si no puedes iniciar tu computadora en Modo Seguro con Red, intenta realizar una Restauración de Sistema.

Video mostrando cómo remover el virus ransomware usando "Modo Seguro con Símbolo de Sistema" and "Restauración de Sistema":

1. Durante el proceso de inicio de tu computadora, presiona la tecla F8 en tu teclado varias veces hasta que aparezca el menú de Opciones avanzadas de Windows, y luego selecciona Modo Seguro con Símbolo de Sistema de la lista y presiona ENTER.

inicia tu computador en modo seguro con símbolo de sistema

2. Cuando se carga el modo de símbolo del sistema, ingresa la siguiente línea: cd restore y presiona ENTER.

restauración de sistema usando símbolo de sistema - escribe cd restore

3. A continuación, escribe esta línea: rstrui.exe y presiona ENTER.

restauración de sistema usando símbolo de sistema rstrui.exe

4. En la ventana abierta, haz click en "Siguiente".

restaurar sistema - archivos y configuración

5. Selecciona uno de los Puntos de Restauración disponibles y haz click en "Siguiente" (esto restaurará tu computadora a una fecha y hora anterior, antes de que el virus ransomware Wiki se hubiera infiltrado en tu PC).

select a restore point

6. En la ventana abierta, haz click en "Sí".

run system restore

7. Después de restaurar su computadora a una fecha anterior, descarga y escanea tu PC con un software de eliminación de malware recomendado para eliminar los archivos restantes del ransomware Wiki.

Para restaurar archivos individuales encriptados por este ransomware, intenta usar la función de Versiones Anteriores de Windows. Este método solo es efectivo si la función Restaurar Sistema estaba habilitada en un sistema operativo infectado. Ten en cuenta que algunas variantes de Wiki son conocidas por eliminar Shadow Volume Copies de los archivos, por lo que este método puede no funcionar en todas las computadoras.

Para restaurar un archivo, haz click derecho sobre él, ve a Propiedades y selecciona la pestaña Versiones Anteriores. Si el archivo seleccionado tiene un punto de restauración, selecciónalo y haz click en el botón "Restaurar".

restaurando archivos encriptados por cryptodefense

Si no puedes iniciar tu computadora en Modo Seguro con Funciones de Red (o con símbolo del sistema), inicia tu computadora con un disco de rescate. Algunas variantes de ransomware deshabilitan el Modo Seguro, lo que complica su eliminación. Para este paso, necesita acceso a otra computadora.

Para recuperar el control de los archivos encriptados por Wiki, también puedes intentar usar un programa llamado Shadow Explorer. Más información sobre cómo usar este programa está disponible aquí.

captura de pantalla de shadow explorer

Para proteger tu computadora del ransomware de cifrado de archivos como este, usa programas antivirus y antispyware de buena reputación. Como método de protección adicional, puede usar programas llamados HitmanPro.Alert y EasySync CryptoMonitor, que implantan artificialmente objetos de políticas grupales en el registro para bloquear programas no autorizados como el ransomware Wiki.

Ten en cuenta que Windows 10 Fall Creators Update incluyes una función de "Acceso Controlado a la Carpeta" que bloquea los intentos de ransomware para cifrar tus archivos. De manera predeterminada, esta función protege automáticamente los archivos almacenados en las carpetas Documentos, Imágenes, Videos, Música, Favoritos y Escritorio.

acceso a carpetas controladas

Los usuarios de Windows 10 deben instalar esta actualización para proteger sus datos de los ataques de ransomware. Aquí hay más información sobre cómo obtener esta actualización y agregar una capa de protección adicional contra las infecciones de ransomware.

HitmanPro.Alert CryptoGuard - detecta el cifrado de archivos y neutraliza cualquier intento sin necesidad de intervención del usuario:

aplicación preventiva contra ransomwares hitmanproalert

Malwarebytes Anti-Ransomware Beta utiliza tecnología proactiva avanzada que monitorea la actividad del ransomware y la termina de inmediato, antes de llegar a los archivos de los usuarios:

anti-ransomware malwarebytes

  • La mejor manera de evitar daños por infecciones de ransomware es mantener copias de seguridad actualizadas regularmente. Más información sobre soluciones de respaldo en línea y software de recuperación de datos Aquí.

Otras herramientas conocidas para eliminar el ransomware Wiki:

Fuente: https://www.pcrisk.com/removal-guides/16158-wiki-ransomware

Acerca del autor:

Tomas Meskauskas

Me apasiona todo lo relacionado con seguridad informática y tecnología. Me avala una experiencia de más de 10 años trabajando para varias empresas de reparación de problemas técnicos y seguridad on-line. Como editor y autor de PCrisk, llevo trabajando desde 2010. Sígueme en Twitter y LinkedIn para no perderte nada sobre las últimas amenazas de seguridad en internet. Leer más sobre el autor.

El portal de seguridad PCrisk ha sido creado conjuntamente por varios investigadores de seguridad con el propósito de formar e informar a los usuarios sobre las últimas amenazas detectadas en internet. Podrá leer más información sobre los autores e investigadores que trabajan en PCrisk en nuestra página de Contacto.

Nuestras guías de desinfección de software malicioso son gratuitas. No obstante, si desea colaborar, puede realizar una donación.

Guías de desinfección en otros idiomas
Código QR
Virus Wiki Código QR
Un código QR (código de respuesta rápida) es un código que puede ser escaneado usando dispositivos y que almacena direcciones web y otra información. Este código puede ser escaneado usando una cámara en un smartphone o tablet. Escanee este código QR para acceder fácilmente a la guía de desinfección de Virus Wiki desde su dispositivo móvil.
Nuestra recomendación:

Despídase ya de Virus Wiki:

▼ ELIMINAR AHORA con Spyhunter

Plataforma: Windows

Valoración de Spyhunter por parte del editor:
¡Excelente!

[Volver al principio]

Su detector gratuito verifica si su equipo está infectado. Para eliminar el software malicioso, tendrá que comprar la versión completa de Spyhunter.