Eliminar el virus de Wanacry

Los cazadores de software malicioso han reportado un nuevo ransomware, llamado Wana Decrypt0r 2.0 que cifra los archivos en los equipos infectados. El virus ransomware utiliza la extensión de archivo .WNCRY y se dice básicamente que es una nueva versión de WannaCry también conocida como la familia de los viruses ransomware WCry. La infección deja una nota de rescate, llamada @[email protected] y cambia el fondo de pantalla, agregando un software con instrucciones para pagar el rescate. En caso de que se haya convertido en una víctima de esta infección ransomware, le recomendamos encarecidamente leer el siguiente artículo a fondo.

Resumen de la amenaza

Nombre

Virus de Wanacry

Tipo Ransomware
Descripción corta Nueva versión de mayo de 2017 de los virus de ransomware WannaCry. Cifra los archivos y luego exige que las víctimas paguen una cuota de rescate considerable para restaurar los archivos cifrados.
Síntomas Los archivos se cifran con la extensión de archivo .WNCRY añadida a ellos. Además de esto se agrega una nota de rescate, llamada @Please_Read_Me @.txt. También agrega un lockscreen, llamado “Wana Decrypt0r 2.0”.
Método de distribución A través de un kit Exploit, ataque de archivo Dll, JavaScript malicioso o una descarga de la unidad del software malicioso en sí de una manera ofuscada.
Herramienta de detección Compruebe si su sistema está infectado con el Virus de Wanacry

Descargar

Herramienta para eliminar software malicioso

Experiencia del usuario Unirse a nuestro foro para Discutir acerca de Virus de Wanacry.
Herramienta de recuperación de datos Windows Data Recovery by Stellar Phoenix Nota! Este producto escaneará los sectores del disco duro para recuperar los archivos perdidos. No se puede garantizar una recuperación del 100% de los archivos encriptados, sino sólo de algunos de ellos, dependiendo de la situación y si el disco ha sido reformateado.

ACTUALIZACIÓN DE MAYO 2017 Hemos resumido los métodos potenciales por los cuales teóricamente podría intentar restaurar sus archivos. También hemos incluido nueva información sobre cómo se propaga este virus. Las instrucciones se encuentran en el siguiente artículo.

Virus .WNCRY – ¿Cómo se propaga?

Similar a la variante .wcry anterior, esta iteración de ransomware también puede usar los mismos métodos para propagarse. Están conectados con el uso de diferentes tipos de herramientas utilizadas específicamente para distribuir archivos maliciosos y URL sin ser detectados:

  • Los Exploits ETERNALBLUE y DOUBLEPULSARE filtradas por los ShadowBrokers en una filtración, llamada “Lost in Translation”, que ocurrió en abril de 2017
  • Software de envío de correos de spam (robots de spam, rastreadores, etc.)
  • Lista de direcciones de correo electrónico pre-configuradas de posibles víctimas a los que se puede enviar correo no deseado.
  • Software malicioso intermedio para conducir la infección.
  • Un conjunto de servidores C2 y dominios de distribución para el comando y control y la descarga del payload del virus .WNCRY.

A pesar de que el ransomware de WanaCrypt0r 2.0 puede propagarse a través de sitios web de torrents, actualizaciones falsas u otras configuraciones falsas y ejecutables cargados en puntos sombríos, el método principal de propagación del virus puede ser a través de correos electrónicos convincentemente creados. Estos correos electrónicos tienen como objetivo que las víctimas hagan clic en un archivo adjunto de correo electrónico malicioso y, por lo tanto, se infecten con el virus del archivo .WNCRY.

Los archivos adjuntos suelen ser .js, .exe u otro tipo de archivos ejecutables, pero en algunas situaciones también están relacionados con macros maliciosas. Estas macros maliciosas pueden activarse una vez que el usuario habilite el contenido de un documento.

El Virus de archivo .WNCRY Cómo funciona

La actividad principal del virus de ransomware Wana Decrypt0r 2.0 después de la infección es dejar un archivo incrustado en la carpeta donde se encuentra el archivo de infección. El archivo es un .zip protegido por contraseña, llamado wcry.zip. Tiene el siguiente contenido:

  • b.wnry
  • c.wnry
  • r.wnry
  • s.wnry
  • t.wnry
  • u.wnry
  • taskse.exe
  • taskdl.exe

El archivo de infección del ransomware Wana Decrypt0r 2.0 extraerá los archivos comprimidos en una carpeta y comenzará a conectarse a la página web de descarga del navegador web TOR. A partir de ahí, el virus .Wana Decrypt0r 2.0 puede conectarse a múltiples servidores de comando y control:

  • 57g7spgrzlojinas.onion
  • xxlvbrloxvriy2c5.onion
  • 76jdd2ir2embyv47.onion
  • cwwnhwhlz52maqm7.onion

Además de la actividad de WanaCrypt0r, la infección de .WNCRY puede provocar la eliminación de las copias del volumen sombra y erradicar todas las posibilidades de revertir sus archivos a través de la copia de seguridad en el equipo infectado. Esto se realiza mediante la ejecución de los siguientes comandos administrativos de Windows:

→ vssadmin delete shadows /all /quiet
wmic shadowcopy delete
bcdedit /set boostatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet

Además de esta actividad, WannaCry .WNCRY virus también deja caer un programa, llamado @WanaDecryptor @ .exe que tiene un cronómetro real con instrucciones avanzadas sobre cómo se pagar el rescate. Este programa se llama “Wana Decrypt0r 2.0” y su mensaje se parece al siguiente:

Después de que el cronómetro en este programa se agota el costo de la recompensa de rescate puede duplicar, de acuerdo con los mensajes scareware y la versión anterior, que también utiliza este software.

Otra acción del programa es que también cambia el fondo de pantalla en la computadora de la víctima con el siguiente mensaje:

Ooops, your important files are encrypted.
If you see this text, but don’t see the ”Wana Decrypt0r” window,
then your antivirus removed the decrypt software or you deleted it from your computer.
If you need your files you have to run the decrypt software.
Please find an application file named “@[email protected]” in any folder or restore from the antivirus quarantine.
Run and follow the instructions!

El Virus de archivo .WNCRY – Proceso de cifrado

Dos algoritmos de cifrado se pueden utilizar para esta infección ransomware específica. Uno de ellos se conoce como AES (Advanced Encryption Standard) y puede utilizarse en 128 bits. Es uno de los cifrados más fuertes y no se puede descifrar a menos que los criminales cometan un error en el código de cifrado. Puede generar una clave simétrica, llamada clave FEK después del cifrado. Esta clave puede ser el único método para descifrar los archivos porque con ella el proceso puede ser invertido.

Además de esto, otro cifrado conocido como Rivers-Shamir-Adleman o RSA también se utiliza en combinación con el cifrado AES para generar claves públicas y privadas únicas para cada uno de los archivos. Esto hace que el descifrado de cada archivo sea separado y muy difícil y único.

Para el proceso de cifrado, el virus .WNCRY se dirige a los archivos que se utilizan ampliamente. Estos archivos suelen ser los siguientes:

→ .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, .vbs, .dip, .dch, .sch, .brd, .jsp, .php, .class, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mkv, .flv, .wma, .mid, .djvu, .svg, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .tbk, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .hwp, .snt, .onetoc2, .dwg, .pdf, .wks, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .msg, .ost, .pst, .potm, .potx .eml, .der, .pfx, .key, .crt, .csr, .pem, .odt, .ott, .sxw, .stw, .uot, .max, .ods, .ots, .sxc, .stc, .dif, .slk, .asp, .java, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, .doc, .jar

Eliminar el virus del archivo .Wncry

Para eliminar Virus de Wanacry, es recomendable seguir las siguientes instrucciones que están diseñadas para una máxima eficiencia. En caso de que usted no tiene experiencia en la eliminación manual del software malicioso, le recomendamos también el uso de una herramienta avanzada contra software malicioso para llevar a cabo la eliminación automática.

En cuanto al descifrado de los archivos, la única razón por la cual los investigadores de software maliciosos aún no han descifrado el virus es que el virus utiliza un descodificador personalizado programado que corresponde a una clave única para cada infección. Esto hace el descubrimiento de un descifrador común muy difícil. Sin embargo, puede que desee probar y usar nuestros métodos alternativos indicados en el paso “2. Recuperar archivos encriptados por Virus de Wanacry” a continuación. Ellos no son totalmente eficaces pero pueden ayudar a restaurar al menos algunos de sus archivos ya que puede ser que el software malicioso no los haya borrado totalmente.

Eliminar manualmente Virus de Wanacry de su ordenador

Observación! Notificación importante sobre la amenaza de Virus de Wanacry requiere la interferencia con los archivos y registros del sistema. Por lo tanto, puede causar daños a su PC. Incluso si sus conocimientos de informática no son a nivel profesional, no se preocupe. Usted mismo puede hacer la eliminación en 5 minutos, usando una herramienta de eliminación de software malicioso malware removal tool.

1. Inicie su PC en modo seguro para aislar y eliminar archivos y objetos relacionados con Virus de Wanacry files and objects
2. Haga copias de seguridad de sus datos, para asegurarlos contra ataques e infecciones en el futuro.

Virus de Wanacry eliminar automáticamente mediante la descarga de un programa anti-malware avanzado.

1. Elimine Virus de Wanacry con la herramienta de SpyHunter Anti-Malware
2. Recuperar archivos encriptados por Virus de Wanacry
Opcional: Uso de herramientas Anti-Malware alternativos

Leave a Comment

Your email address will not be published. Required fields are marked *

Time limit is exhausted. Please reload CAPTCHA.

Share on Facebook Share
Loading...
Share on Twitter Tweet
Loading...
Share on Google Plus Share
Loading...
Share on Linkedin Share
Loading...
Share on Digg Share
Share on Reddit Share
Loading...
Share on Stumbleupon Share
Loading...
Please wait...

Subscribe to our newsletter

Want to be notified when our article is published? Enter your email address and name below to be the first to know.