¿Cómo desinstalar el Devil ransomware?

Conocido también como: Virus Devil
Propagación: Media
Nivel de peligrosidad: Extremo

Instrucciones de eliminación del ransomware Devil

¿Qué es Devil?

Devil es parte de Dharma, una familia de programas de tipo ransomware. Cambia el nombre de los archivos cifrados agregando la identificación de la víctima, la dirección de correo electrónico del desarrollador y la extensión ".devil" a sus nombres de archivo. Por ejemplo, cambia el nombre de un archivo llamado "1.jpg" a "1.jpg.id[1E857D00-2574].[decrypt4data@protonmail.com].devil", y así sucesivamente. Como la mayoría de los programas de este tipo, Devil proporciona a las víctimas instrucciones sobre cómo contactar a sus desarrolladores/descifrar archivos también. En este caso, crea el archivo "info.txt" y muestra una ventana emergente (info.hta).

Como se indica en la ventana emergente, Devil cifra todos los archivos y no se pueden descifrar sin una herramienta o clave de descifrado que se pueda comprar a sus desarrolladores. Las instrucciones sobre cómo comprarlo se pueden recibir escribiendo un correo electrónico a decrypt4data@protonmail.com, se menciona que el precio de un descifrado depende de qué tan rápido las víctimas se contacten con estos ciberdelincuentes. Los desarrolladores de Devil prometen enviar una herramienta de descifrado después de un pago. Además, ofrecen un descifrado gratuito de 5 archivos que se les pueden enviar a través de la dirección de correo electrónico proporcionada. Sin embargo, esos archivos no deben tener más de 4 MB y contener información valiosa. También se afirma que al cambiar el nombre o al intentar descifrar archivos con algún otro software, las víctimas pueden causar la pérdida permanente de datos y/o aumentar el precio de un descifrado. Desafortunadamente, no hay otras herramientas (ni gratuitas) que puedan descifrar archivos cifrados por Devil, al menos no por el momento. Sin embargo, no recomendamos confiar en estos u otros ciberdelincuentes (desarrolladores de ransomware), con frecuencia no envían herramientas y/o claves de descifrado incluso si las víctimas cumplen con todas sus demandas (paguen un rescate). Significa que la única forma de recuperar archivos sin tener que pagar un rescate (y arriesgándose a ser estafado) es restaurarlos desde una copia de seguridad. Vale la pena mencionar que los archivos permanecen cifrados incluso si el ransomware se desinstala/elimina del sistema operativo. Sin embargo, vale la pena hacerlo porque la eliminación del ransomware evita que cause una mayor pérdida de datos (encriptaciones).

Captura de pantalla de un mensaje que alienta a los usuarios a pagar un rescate para descifrar sus datos comprometidos:

Instrucciones de desencriptación de Devil (info.hta)

Más ejemplos de programas maliciosos que se clasifican como ransomware son NEMTY 2.5 REVENGE, Helpforyoupc y Zeoticus. Lo que la mayoría de ellos tienen en común es que están diseñados para evitar que las víctimas accedan a sus archivos y creen notas de rescate. Por lo general, dos diferencias principales son el algoritmo criptográfico (simétrico o asimétrico) que el ransomware usa para cifrar los datos y el tamaño de un rescate que sus desarrolladores exigen que se pague. La mayoría de las veces los ciberdelincuentes detrás de un ransomware en particular son los únicos que pueden ayudar a las víctimas a descifrar archivos/tienen herramientas que pueden descifrar datos cifrados. Es posible evitar la pérdida de datos (y financieros) solo cuando el ransomware contiene errores, fallas u otras vulnerabilidades, y/o cuando las víctimas tienen una copia de seguridad de datos. Es por eso que siempre es una buena idea tener una copia de seguridad de los datos creada y guardarla en algún servidor remoto o dispositivo de almacenamiento desconectado.

¿Cómo infectó el ransomware mi computadora?

Muy a menudo, los ciberdelincuentes intentan engañar a las personas para que instalen diversos programas maliciosos enviando correos electrónicos que se disfrazan de importantes, oficiales y que contienen archivos adjuntos maliciosos y/o enlaces web diseñados para descargar archivos maliciosos. Si se abren, esos archivos/archivos adjuntos infectan los sistemas operativos con malware. Algunos ejemplos de archivos que se adjuntan a dichos correos electrónicos son Microsoft Office, documentos PDF, archivos JavaScript, archivos ejecutables como .exe y archivos en ZIP, RAR y otros formatos. Otra forma de instalar involuntariamente software malicioso es abrir un archivo descargado a través de una fuente no confiable. Por ejemplo, sitio web no oficial, alojamiento de archivos gratuito o sitio web de descarga de software gratuito, red punto a punto como cliente de torrent, eMule, descargador de terceros y otra fuente de este tipo. Además, el software malicioso se puede distribuir a través de otro software de este tipo llamado troyano. Trojan es un tipo de programa malicioso que a menudo está diseñado para causar infecciones en cadena/instalar otro malware. Sin embargo, solo puede ocurrir si un troyano ya está instalado en el sistema operativo. Muy a menudo, varias herramientas no oficiales de activación y actualización de software conducen a la instalación de software malicioso también. Instalan malware en lugar de activar o actualizar software. Además, las herramientas de actualización falsas/no oficiales pueden infectar los sistemas al explotar errores, fallas de software obsoleto que está instalado en el sistema operativo.

Resumen de la amenaza:
Nombre Virus Devil
Tipo de Amenaza Ransomware, Crypto Virus, Files locker
Extensión de Archivos Encriptados .devil
Mensaje Demandante de Rescate info.txt y pop-up window.
Contacto del Cibercriminal decrypt4data@protonmail.com
Nombres de Detección Avast (Win32:Malware-gen), BitDefender (Trojan.Ransom.Phobos.F), ESET-NOD32 (Win32/Filecoder.Phobos.C), Kaspersky (HEUR:Trojan.Win32.Generic), Lista Completa de Detecciones (VirusTotal)
Síntomas No se pueden abrir archivos almacenados en su computadora, los archivos previamente funcionales ahora tienen una extensión diferente (por ejemplo, my.docx.locked). Se muestra un mensaje de solicitud de rescate en su escritorio. Los ciberdelincuentes exigen el pago de un rescate (generalmente en bitcoins) para desbloquear sus archivos.
Métodos de Distribución Archivos adjuntos de correo electrónico infectados (macros), sitios web de torrents, anuncios maliciosos.
Daño Todos los archivos están encriptados y no se pueden abrir sin pagar un rescate. Se pueden instalar troyanos adicionales que roban contraseñas e infecciones de malware junto con una infección de ransomware.
Eliminación

Para eliminar Virus Devil, nuestros investigadores de software malicioso recomiendan analizar el equipo con Spyhunter.
▼ Descargar Spyhunter
Su detector gratuito verifica si su equipo está infectado. Para eliminar el software malicioso, tendrá que comprar la versión completa de Spyhunter.

¿Cómo protegerse de las infecciones de ransomware?

Si un correo electrónico recibido es irrelevante, se envía desde una dirección desconocida y contiene algún archivo adjunto (o enlace al sitio web) que debe ignorarse. Recomendamos encarecidamente no abrir archivos (o enlaces web) que se presentan en correos electrónicos de este tipo sin estar seguros de que es seguro hacerlo. El software debe descargarse de sitios web oficiales y enlaces de descarga directa. Se podrían utilizar otras fuentes (como redes punto a punto, descargadores de terceros, páginas no oficiales, etc.) para proliferar el malware. Los programas instalados deben actualizarse a través de funciones implementadas o herramientas proporcionadas por desarrolladores de software oficiales. Lo mismo se aplica a su activación. Es ilegal usar herramientas de terceros para activar programas con licencia y puede conducir a tener un sistema infectado con malware. Y, por último, es importante analizar periódicamente el sistema operativo en busca de amenazas con un conjunto antivirus o antispyware de buena reputación y mantenerlo siempre actualizado. Si su computadora ya está infectada con Devil, le recomendamos ejecutar un análisis con Spyhunter para eliminar automáticamente este ransomware.

Texto presentado en una ventana emergente mostrada por el ransomware Devil:

All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail decrypt4data@protonmail.com
Write this ID in the title of your message 1E857D00-2574
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
https://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Captura de pantalla del archivo de texto de Devil:

Archivo de texto Devil ransomware (info.txt)

Texto en este archivo:

!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: decrypt4data@protonmail.com.

Captura de pantalla de archivos cifrados por Devil (extensión ".devil"):

Archivos cifrados por el ransomware Devil (extensión .devil)

Eliminar el ransomware Devil:

Eliminar automáticamente de forma instantánea Virus Devil: Eliminar las amenazas de forma manual puede acabar siendo un proceso largo y tedioso que precisa de conocimientos informáticos avanzados. Spyhunter es una herramienta profesional para eliminar software malicioso de forma automática y está recomendada para acabar con Virus Devil. La descarga se iniciará al hacer clic en el siguiente botón:
▼ DESCARGAR Spyhunter Su detector gratuito verifica si su equipo está infectado. Para eliminar el software malicioso, tendrá que comprar la versión completa de Spyhunter. Si decide descargar este programa, quiere decir que usted está conforme con nuestra Política de privacidad y Condiciones de uso.

Menú rápido:

Paso 1

Usuarios de Windows XP y Windows 7: Inicie su computador en modo seguro. Haga clic en Inicio, clic en Apagar, clic en Reiniciar, clic en Aceptar. Durante el proceso de inicio de su computador, presione la tecla F8 en su teclado varias veces hasta que vea el menú Opciones Avanzadas de Windows, y luego seleccione Modo Seguro con Funciones de Red de la lista.

Modo Seguro con Red

Video que muestra cómo iniciar Windows 7 en "Modo Seguro con Funciones de Red":

Usuarios de Windows 8: Iniciar Windows 8 en Modo Seguro con Funciones de Red: ve a la pantalla de inicio de Windows 8, escribe Avanzado, en los resultados de búsqueda, selecciona Configuración. Haz clic en Opciones de inicio avanzadas, en la ventana abierta "Configuración General de PC", seleccione Inicio Avanzado. Haz clic en el botón "Reiniciar Ahora". Tu computadora ahora se reiniciará en el "Menú de opciones de inicio avanzado". Haz clic en el botón "Solucionar problemas" y luego haz clic en el botón "Opciones avanzadas". En la pantalla de opciones avanzadas, haz clic en "Configuración de inicio". Haz clic en el botón "Reiniciar". Tu PC se reiniciará en la pantalla de Configuración de inicio. Presiona F5 para iniciar en Modo Seguro con Funciones de Red.

Modo Seguro con Red en Windows 8

Video que muestra cómo iniciar Windows 8 en "Modo Seguro con Funciones de Red":

Usuarios de Windows 10: Haz clic en el logotipo de Windows y selecciona el icono de Encendido. En el menú abierto, haz clic en "Reiniciar" mientras mantienes presionado el botón "Shift" en tu teclado. En la ventana "Elija una opción", haz clic en "Solucionar Problemas", luego selecciona "Opciones Avanzadas". En el menú de opciones avanzadas, selecciona "Configuración de Inicio" y haz clic en el botón "Reiniciar". En la siguiente ventana, debes hacer clic en la tecla "F5" en tu teclado. Esto reiniciará su sistema operativo en modo seguro con funciones de red.

Modo Seguro con Red en Windows 10

Video que muestra cómo iniciar Windows 10 en "Modo Seguro con Funciones de Red":

Paso 2

Inicie sesión en la cuenta infectada con el virus Devil. Inicie su navegador de Internet y descargue un programa anti-spyware legítimo. Actualiza el software anti-spyware e inicie un análisis completo del sistema. Elimine todas las entradas detectadas.

Si no puede iniciar su computador en Modo Seguro con Funciones de Red, intente realizar una Restauración del Sistema.

Video que muestra cómo eliminar el virus ransomware usando "Modo Seguro con Símbolo del Sistema" y "Restaurar Sistema":

1. Durante el proceso de inicio de su computador, presione la tecla F8 en su teclado varias veces hasta que aparezca el menú de Opciones Avanzadas de Windows, y luego seleccione Modo Seguro con Símbolo de Sistema de la lista y presiona ENTER.

Iniciar su computador en Modo Seguro con Símbolo de Sistema

2. Cuando cargue el Modo de Símbolo del Sistema, ingrese la siguiente línea: cd restore y presione ENTER.

Restauración de Sistema usando Símbolo de Sistema escriba cd restore

3. Luego, escriba la siguiente línea: rstrui.exe y presona ENTER.

Restauración de Sistema usando Símbolo de Sistema rstrui.exe

4. En la ventana abierta, clic en "Siguiente".

Restaurar Sistema - Archivos y Configuración

5. Seleccione uno de los Puntos de Restauración disponibles y haga clic en "Siguiente" (esto restaurará su sistema a una fecha y hora anterior, antes de que el virus ransomware Devil se infiltrara en su PC).

Seleccione un Punto de Restauración

6. En la ventana abierta, clic "Si".

Ejecutar Restauración de Sistema

7. Después de restaurar su computador a una fecha anterior, descargue y escanee su PC con el software de eliminación de malware recomendado para eliminar los archivos restantes del ransomware Devil.

Para restaurar archivos individuales encriptados por este ransomware, intente usar la función de Versiones Anteriores de Windows. Este método solo es efectivo si la función Restaurar Sistema estaba habilitada en un sistema operativo infectado. Tenga en cuenta que se sabe que algunas variantes de Devil eliminan las instantáneas de volumen (Shadow Copies) de los archivos, por lo que este método puede no funcionar en todas las computadoras.

Para restaurar un archivo, haga clic derecho sobre él, vaya a Propiedades y seleccione la pestaña Versiones anteriores. Si el archivo relevante tiene un punto de restauración, selecciónelo y clic en el botón "Restaurar".

Restaurando archivos encriptados con CryptoDefense

Si no puede iniciar su computador en Modo Seguro con Funciones de Red (o con Símbolo del Sistema), inicie su computador con un disco de rescate. Algunas variantes de ransomware deshabilitan el Modo seguro, lo que complica su eliminación. Para este paso, necesita acceso a otro computador.

Para recuperar el control de los archivos cifrados por Devil, también puede intentar usar un programa llamado Shadow Explorer. Más información sobre cómo usar este programa disponible aquí.

Captura de pantalla de Shadow Explorer

Para proteger su computador de ransomwares de cifrado de archivos como este, use programas antivirus y anti-spyware confiables. Como método de protección adicional, puede usar programas llamados HitmanPro.Alert y EasySync CryptoMonitor, que implantan artificialmente objetos de política de grupo en el registro para bloquear programas no autorizados como el ransomware Devil.

Tenga en cuenta que Windows 10 Fall Creators Update incluye una caracterísitica de "Acceso Controlado a Carpetas" que bloquea los intentos de ransomware para cifrar tus archivos. De manera predeterminada, esta función protege automáticamente los archivos almacenados en las carpetas Documentos, Imágenes, Videos, Música, Favoritos y Escritorio.

Acceso Controlado a Carpetas

Los usuarios de Windows 10 deben instalar esta actualización para proteger sus datos de los ataques de ransomware. Aquí hay más información sobre cómo obtener esta actualización y agregar una capa de protección adicional contra las infecciones de ransomware.

HitmanPro.Alert CryptoGuard - detecta el cifrado de archivos y neutraliza cualquier intento sin necesidad de intervención del usuario:

Aplicación de prevención de ransomware hitmanproalert

Malwarebytes Anti-Ransomware Beta usa tecnología proactiva avanzada que monitorea la actividad ransomware y la termina de inmediato, antes de llegar a los archivos de los usuarios:

Anti-ransomware Malwarebytes

  • La mejor manera de evitar daños por infecciones de ransomware es mantener copias de seguridad actualizadas regularmente. Más información sobre soluciones de respaldo en línea y software de recuperación de datos Aquí.

Otras herramientas conocidas para eliminar el ransomware Devil:

Fuente: https://www.pcrisk.com/removal-guides/16699-devil-ransomware

Acerca del autor:

Tomas Meskauskas

Me apasiona todo lo relacionado con seguridad informática y tecnología. Me avala una experiencia de más de 10 años trabajando para varias empresas de reparación de problemas técnicos y seguridad on-line. Como editor y autor de PCrisk, llevo trabajando desde 2010. Sígueme en Twitter y LinkedIn para no perderte nada sobre las últimas amenazas de seguridad en internet. Leer más sobre el autor.

El portal de seguridad PCrisk ha sido creado conjuntamente por varios investigadores de seguridad con el propósito de formar e informar a los usuarios sobre las últimas amenazas detectadas en internet. Podrá leer más información sobre los autores e investigadores que trabajan en PCrisk en nuestra página de Contacto.

Nuestras guías de desinfección de software malicioso son gratuitas. No obstante, si desea colaborar, puede realizar una donación.

Guías de desinfección en otros idiomas
Código QR
Virus Devil Código QR
Un código QR (código de respuesta rápida) es un código que puede ser escaneado usando dispositivos y que almacena direcciones web y otra información. Este código puede ser escaneado usando una cámara en un smartphone o tablet. Escanee este código QR para acceder fácilmente a la guía de desinfección de Virus Devil desde su dispositivo móvil.
Nuestra recomendación:

Despídase ya de Virus Devil:

▼ ELIMINAR AHORA con Spyhunter

Plataforma: Windows

Valoración de Spyhunter por parte del editor:
¡Excelente!

[Volver al principio]

Su detector gratuito verifica si su equipo está infectado. Para eliminar el software malicioso, tendrá que comprar la versión completa de Spyhunter.