Eliminar los Archivos de Virus .shit (El Nuevo Locky Ransomware)

header-bitcoin-stforum

La última versión de ransomware Locky ya está presente. Ahora los archivos están encriptados con una nueva extensión – .shit, pero también pueden aparecer otras extensiones. El Cryptovirus ahora utiliza archivos HTML (.hta) y hace que el servidor de comando y control (C&C) proporcione su archivo de payload. Para entender cómo eliminar el ransomware y cómo tratar de restaurar los datos, lea el siguiente artículo.

Resumen de la amenaza

Nombre

Locky Ransomware

Tipo Ransomware, Cryptovirus
Breve descripción El ransomware encripta sus datos, y muestra un mensaje con las instrucciones para el pago.
Síntomas Los archivos encriptados tienen la extensión .shit en algunos de ellos.
Método de distribución Correos electrónicos no deseados (spam), servidores C&C, archivos HTML con extensión .hta.
Herramienta para detectar Compruebe si su sistema está infectado con el ransomware Locky Ransomware

Descargar

Herramienta para eliminar software malicioso

Experiencias de los usuarios Unirse a nuestro foro para discutir acerca del Discutir Locky ransomware..

Locky Ransomware – Distribución

La última versión del ransomware Locky utiliza el servidor de comando y control como medio de distribución. Los servidores transmiten el último payload para el Cryptovirus. El archivo de payload se muestra en dos formatos – como un archivo HTML o como un programa de descarga de JScript. Respectivamente, tienen las extensiones – .hta et .wsf / .js. Estos archivos pueden estar en un .zip para una detección más difícil por el software de seguridad. Se puede ver la detección de un tal archivo sin ser ocultado en un archivo en el VirusTotal:

stf-locky-ransomware-virus-shit-extension-virustotal-detections-payload-file-receipt

La mayor parte de los archivos de payload tienen el nombre Receipt con dígitos al azar después, así se parecen una factura o recibo legítimo. El texto del mensaje de correo electrónico puede verse a continuación:

De: Free Haut Debit
Date: Lun, 24 Oct 2016
Sujet: [Espace] Notification de facture Freebox (95854808)
Bonjour,
Vous trouverez ci-jointe votre facture Free Haut Debit.
Le total de votre facture est de 75.09 Euros.
Nous vous remercions de votre confiance.
L’equipe Free
Fichier joint: Facture_Free_201610_6292582_95854808.zip

De: Free Haut Debit
Fecha: Lun, 24 Ott 2016
Objeto: [Espacio] Notificación de la factura freebox (95854808)
Buenos días,,
Se adjunta su factura Free Haut Debit.
La cantidad total de la factura es de 75.09 Euros.
Gracias por su confianza.
Equipo Free
Archivo adjunto: Factura_Free_201610_6292582_95854808.zip

Este correo electrónico es en francés porqué Francia es uno de los países más afectados, junto con el Reino Unido, Alemania, Arabia Saudita, Polonia y Serbia, según los investigadores de malware MalwareHunterTeam. Los correos electrónicos parecen como si contuvieran un mensaje de una factura legítima. El mensaje que se muestra arriba intenta sorprender al usuario haciendole pensar que tiene que pagar 75 euros a una empresa o por un servicio. Centrándose en la «deuda», la mayoría de los usuarios, que no son conscientes del ransomware, abrirán el archivo adjunto para ver de qué se trata.
Otra variación de una carta de correo spam de la nueva campaña en Inglés:

From: “Dee Compton”
Subject: Complaint letter
Date: Mon, 24 Oct 2016
Dear [Your email name],
Client sent a complaint letter regarding the data file you provided.
The letter is attached.
Please review his concerns carefully and reply him as soon as possible.
Best regards,
Dee Compton
Attachment: saved_letter_C10C6A2.js

Locky ransomware también puede dispersarse en los medios de comunicación social ya través de los sitios de intercambio de archivos. Se sugiere evitar enlaces sospechosos o desconocidos, archivos adjuntos y archivos en general. Antes de abrir un archivo, se recomienda escanearlo siempre con una aplicación de seguridad. Se recomienda leer también las sugerencias de prevención ransomware en nuestro foro.

Locky Ransomware – Análisis

Se descubrió una nueva tendencia de Locky ransomware. El Cryptovirus lleva los servidores C2 (de comando y control) de nuevo en su modo de distribución de payload como se ha descrito anteriormente. Esto provoca la entrega extremadamente rápida del script malicioso que libera el virus en el ordenador infectado. Se pueden ver algunos de los servidores C2 aquí:

  • 185.102.13677:80/linuxsucks.php
  • 91.200.14124:80/linuxsucks.php
  • 109.234.35215:80/linuxsucks.php
  • bwcfinntwork:80/linuxsucks.php

Sin embargo, se han observado algunas versiones del ransomware Locky con la extensión .shit, que no utilizan el servidor C2, pero un archivo .DLL en su punto de entrada, convirtiéndose así en una herramienta no en línea para infectar las máquinas, sin llegar a alguna descarga

Lista de algunos de los sitios de descarga de payload

http://alkanshop.com/zrwcx8om
http://bwocc.org/dkttu
http://circolorisveglio.com/dw2hheb
http://cz1321.com/zg4c4m
http://disneyrentalvillas.com/k2ars5j2
http://downtownlaoffice.com/ixmh1
http://duvalitatli.com/umx3btc1
http://executivegolfmanagement.com/qtzsegm6
http://firephonesex.com/bxuobuam
http://fjbszl.com/m4q1pmr5
http://fraildata.net/09rz1jcj
http://fraildata.net/4s1szk77
http://fraildata.net/9b8cba
http://getitsold.info/cndrdsu9
http://girlsoffire.com/d2k0b967
http://gruffcrimp.com/352gr0
http://gruffcrimp.com/5inrze
http://gruffcrimp.com/8vzak
http://gruffcrimp.com/bki56h
http://gunnisonkoa.com/d5cw6
http://gzxyz.net/zznej
http://hetaitop.com/pgq8e
http://iwebmediasavvy.com/eu7mq36w
http://jejui.com/j1ldsf
http://julianhand.com/hollu
http://jzmkj.net/y7tf2
http://kak-vernut-devushku.gq/rwlr9
http://kirijones.net/2b8fnrqm
http://kirijones.net/4v7574mp
http://kirijones.net/66wey
http://kirijones.net/a2r3pme
http://nightpeople.co.il/o8le7
http://onlysalz.com/xjo100
http://pblossom.com/t78u8
http://potchnoun.com/06p2vxua
http://potchnoun.com/38j2xn
http://potchnoun.com/8x2nt
http://privateclubmag.com/wyztr73
http://prodesc.net/x7nlxq
http://relentlesspt.com/faisexor
http://riyuegu.net/o69ecb
http://royallife.co.uk/mx5nck
http://ryanrandom.com/hwv97p8
http://sexybliss.co.uk/en8ds7nt
http://taiyuwanli.com/cpkd9
http://theleadershipdoc.com/wm1bv
http://turservice.xaker007.net/k92b92
http://ukdistributionservices.com/x1397
http://vowedbutea.net/2f1okfif
http://vowedbutea.net/5491o
http://vowedbutea.net/8jtnj8nt
http://vowedbutea.net/apupuyh3
http://xn--b1aajgfxm2a9g.xn--p1ai/dxd3v
http://yourrealestateconnection.us/rlfh0

Después de la ejecución del payload, sus archivos estarán encriptados, y aparecerá una nota de rescate. Una copia de la nota de rescate se creará en los archivos con el nombre _WHAT_is.bmp

La nota de rescate con las instrucciones se establecerá como fondo y es la misma que la de las versiones anteriores (incluyendo los errores gramaticales):

stf-locky-ransomware-virus-shit-extension-ransom-screen-desktop

El texto es el siguiente:

!!!! INFORMACIÓN IMPORTANTE!!!
Todos los archivos están encriptados con RSA-2048 y el cifrado AES-128.
Más información sobre el RSA y AES se pueden encontrar aquí:
https://en.wikipedia.org/wiki/RSA_(cryptosystem)
https://en.wikipedia.org/wiki/Advanced_Encryption_Standard
Descifrar los archivos sólo es posible con una clave privada y un programa de decodificación, que se puede encontrar en nuestro servidor secreto.
Para recibir la clave privada siga uno de los enlaces
1. http://jhomitevd2abj3fk.tor2web.org/5DYGW6MQXIPQSSBB
2. http://jhomitevd2abj3fk.onion.to/5DYGW6MQXIPQSSBB
Si estas direcciones no están disponibles, haga lo siguiente:
1. Descarga e instale el Browser Tor: https://www.torproject.org/download/download-easy.html
2. Después de la instalación, reinicie el navegador y espere la inicialización.
3. Escribe en la barra de direcciones: jhomitevd2abj3fk.onion/5DYGW6MQXIPQSSBB
4. Siga las instrucciones del sitio.
!!! Su Código de identificación personal: 5DYGW6MQXIPQSSBB !!!

El virus Locky les conecta a un dominio de red, ocultado por el servicio TOR (pero no alojado en el mismo). El servicio que carga tiene el mismo aspecto que el de sus predecesores.

stf-locky-ransomware-virus-shit-extension-locky-decryptor-page-payment-instructions

El ransomware Locky aún tiene que ser derrotado porque su cifrado es muy fuerte y los investigadores todavía no han encontrado defectos en el código del virus. Las víctimas de las ediciones anteriores del ransomware informan que eran incapaces de recuperar sus archivos incluso después de haber pagado a los cibercriminales. Por esta razón, no se debe considerar ponerse en contacto con los estafadores o pagarles. Como se ha visto hasta ahora, los delincuentes seguirán haciendo más campañas ransomware.

En la actualidad, no es disponible una lista completa de los tipos de archivo que se encriptan, pero se describen los archivos con las siguientes extensiones como encriptados:

→.txt, .pdf, .html, .rtf, .avi, .mov, .mp3, .mp4, .dwg, .psd, .svg, .indd, .cpp, .pas, .php, .java, .jpg, .jpeg, .bmp, .tiff, .png, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .yuv, .ycbcra, .xis, .wpd, .tex, .sxg, .stx, .srw, .srf, .sqlitedb, .sqlite3, .sqlite, .sdf, .sda, .s3db, .rwz, .rwl, .rdb, .rat, .raf, .qby, .qbx, .qbw, .qbr, .qba, .psafe3, .plc, .plus_muhd, .pdd, .oth, .orf, .odm, .odf, .nyf, .nxl, .nwb, .nrw, .nop, .nef, .ndd, .myd, .mrw, .moneywell, .mny, .mmw, .mfw, .mef, .mdc, .lua, .kpdx, .kdc, .kdbx, .jpe, .incpas, .iiq, .ibz, .ibank, .hbk, .gry, .grey, .gray, .fhd, .ffd, .exf, .erf, .erbsql, .eml, .dxg, .drf, .dng, .dgc, .des, .der, .ddrw, .ddoc, .dcs, .db_journal, .csl, .csh, .crw, .craw, .cib, .cdrw, .cdr6, .cdr5, .cdr4, .cdr3, .bpw, .bgt, .bdb, .bay, .bank, .backupdb, .backup, .back, .awg, .apj, .ait, .agdl, .ads, .adb, .acr, .ach, .accdt, .accdr, .accde, .vmxf, .vmsd, .vhdx, .vhd, .vbox, .stm, .rvt, .qcow, .qed, .pif, .pdb, .pab, .ost, .ogg, .nvram, .ndf, .m2ts, .log, .hpp, .hdd, .groups, .flvv, .edb, .dit, .dat, .cmt, .bin, .aiff, .xlk, .wad, .tlg, .say, .sas7bdat, .qbm, .qbb, .ptx, .pfx, .pef, .pat, .oil, .odc, .nsh, .nsg, .nsf, .nsd, .mos, .indd, .iif, .fpx, .fff, .fdb, .dtd, .design, .ddd, .dcr, .dac, .cdx, .cdf, .blend, .bkp, .adp, .act, .xlr, .xlam, .xla, .wps, .tga, .pspimage, .pct, .pcd, .fxg, .flac, .eps, .dxb, .drw, .dot, .cpi, .cls, .cdr, .arw, .aac, .thm, .srt, .save, .safe, .pwm, .pages, .obj, .mlb, .mbx, .lit, .laccdb, .kwm, .idx, .html, .flf, .dxf, .dwg, .dds, .csv, .css, .config, .cfg, .cer, .asx, .aspx, .aoi, .accdb, .7zip, .xls, .wab, .rtf, .prf, .ppt, .oab, .msg, .mapimail, .jnt, .doc, .dbx, .contact, .mid, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .wallet, .upk, .sav, .ltx, .litesql, .litemod, .lbf, .iwi, .forge, .das, .d3dbsp, .bsa, .bik, .asset, .apk, .gpg, .aes, .arc, .paq, .tar.bz2, .tbk, .bak, .tar, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .nef, .psd, .cmd, .bat, .class, .jar, .java, .asp, .brd, .sch, .dch, .dip, .vbs, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .myi, .myd, .frm, .odb, .dbf, .mdb, .sql, .sqlitedb, .sqlite3, .pst, .onetoc2, .asc, .lay6, .lay, .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti, .sxi, .otp, .odp, .wks, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dotm, .dotx, .docm, .docx, .dot, .max, .xml, .txt, .csv, .uot, .rtf, .pdf, .xls, .ppt, .stw, .sxw, .ott, .odt, .doc, .pem, .csr, .crt, .key

Los archivos encriptados tendrán la extensión .shit añadida al final de su nombre. El algoritmo de encriptación que se cree ser usado por Locky es RSA-2048 con el cifrado AES 128-bit.

Este nuevo tipo de ransomware Locky probablemente borrará los Shadow Volume Copies desde el sistema operativo Windows con el siguiente comando:

→vssadmin.exe delete shadows /all /Quiet

Siga leyendo para averiguar cómo quitar el ransomware y ver cuáles son los métodos que se pueden usar para tratar a descifrar algunos de los datos del archivo.

Eliminar el Locky Virus y Recuperar los archivos .shit

Si su computadora ha sido infectada con el virus Locky ransomware, se debe tener un poco de experiencia en la eliminación de malware. Se deberán deshacer de este ransomware lo más rápido posible antes de que tuviese la oportunidad de propagarse e infectar otros ordenadores. Es necesario quitar el ransomware y seguir las instrucciones de la siguiente guía paso a paso. Para entender cómo se puede intentar a recuperar los datos, se tiene que leer el paso 2. Recuperar los archivos encriptados por el Locky ransomware.

Eliminar manualmente Locky Ransomware de su ordenador

Observación! Notificación importante sobre la amenaza de Locky Ransomware requiere la interferencia con los archivos y registros del sistema. Por lo tanto, puede causar daños a su PC. Incluso si sus conocimientos de informática no son a nivel profesional, no se preocupe. Usted mismo puede hacer la eliminación en 5 minutos, usando una herramienta de eliminación de software malicioso malware removal tool.

1. Inicie su PC en modo seguro para aislar y eliminar archivos y objetos relacionados con Locky Ransomware files and objects

Inicie su PC en modo seguro

Para Windows 7, XP y Vista. 2. Para Windows 8, 8.1 y 10.

Para sistemas operativos WindowsXP, Vista y 7:

1. Retire todos los CD y DVD, y reinicie el ordenador desde el menú “Inicio”.
2. Seleccione una de las dos opciones que aparecen a continuación:

Para PCs con un solo sistema operativo : Pulse la tecla “F8” ” repetidamente después de que la primera pantalla de arranque aparezca durante el reinicio del ordenador. En caso de que aparezca el logotipo de Windows en la pantalla, usted tiene que repetir la misma tarea de nuevo.

donload_now_140

Para PCs con múltiples sistemas operativos: Las teclas de flechas le ayudarán a seleccionar el sistema operativo que prefiere iniciar en modo seguro (Safe Mode). Pulse la tecla “F8” tal como se ha descrito para los ordenadores con un solo sistema operativo.

donload_now_140

3. En cuanto aparezca la pantalla “ Opciones avanzadas de inicio ” seleccione la opción Modo seguro que desea utilizando las teclas de flecha. Al hacer su selección, pulse “Enter”.
4. Inicie sesión en el ordenador utilizando su cuenta de administrador.

donload_now_140

Mientras el ordenador está en modo seguro, las palabras “Modo Seguro” aparecerán en las cuatro esquinas de la pantalla.

Paso 1: Abra el menú Inicio.
donload_now_140

Paso 2: Mientras mantiene pulsado el botón Shift haga clic en el botón Power y luego haga clic en Reiniciar (Restart).
Paso 3: Tras el reinicio, aparecerá el menú mencionado más abajo. Desde allí se debe elegir Solución de problemas Troubleshoot.

donload_now_140

Paso 4: Usted verá el menú Solución de problemas. Desde este menú se puede seleccionar Opciones avanzadas Advanced Options.

donload_now_140

Paso 5: Después de que aparezca el menú ¨Opciones avanzadas (Advanced Options) haga clic en Configuración de inicio (“Startup Settings”).

donload_now_140

Paso 6: Haga clic en Reiniciar Restart.
donload_now_140

Paso 7: Aparecerá un menú para el reinicio. Usted debe elegir el Modo Seguro pulsando el número correspondiente y la máquina se reiniciará.

2. Haga copias de seguridad de sus datos, para asegurarlos contra ataques e infecciones en el futuro.

Haga copias de seguridad de sus datos, para asegurarlos contra ataques e infecciones en el futuro.

¡Importante! Antes de leer las instrucciones para hacer copias de seguridad de Windows, es muy recomendable realizar una copia de seguridad de los datos de forma automática en una nube y asegurarlos contra cualquier tipo de pérdida de datos en el dispositivo, incluso las más graves. Recomendamos leer más sobre el tema al descargar SOS Online Backup .

Locky Ransomware eliminar automáticamente mediante la descarga de un programa anti-malware avanzado.

1. Elimine Locky Ransomware con la herramienta de SpyHunter Anti-Malware

Elimine Locky Ransomware con la herramienta de SpyHunter Anti-Malware

1. Instalar SpyHunter para buscar y eliminar Locky Ransomware.2. Escanear con SpyHunter para detectar y eliminar Locky Ransomware.
Paso 1: Haga clic en el botón “Descargar” para proceder a la página de descarga de SpyHunter.

Se recomienda realizar un análisis antes de comprar la versión completa del software para asegurarse de que la versión actual del software malicioso puede ser detectado por SpyHunter.

Paso 2: Guíese mediante las instrucciones de descarga previstas para cada navegador.
Paso 3: Después de haber instalado SpyHunter, esperar a que se actualice automáticamente..

pets-by-myway-ads-virus

Paso 1: Después de que el proceso de actualización haya terminado, haga clic en “Escanear el equipo ahora” (‘Scan Computer Now’) button.
pets-by-myway-ads-virus
Paso 2: Después de que SpyHunter haya terminado de escanear su PC para cualquier archivo de Locky Ransomware haga clic en el botón ‘Fix Threats’ ( Corregir Amenazas) para eliminarlos de forma automática y permanente.
pets-by-myway-ads-virus
Paso 3: Una vez que las intrusiones en su PC se hayan eliminado, es muy recomendable reiniciarlo.

2. Recuperar archivos encriptados por Locky Ransomware

Recuperar archivos encriptados por Locky Ransomware

Los ingenieros de seguridad aconsejan a los usuarios no pagar el dinero del rescate y que intenten recuperar los archivos utilizando otros métodos. Aquí van varias sugerencias:
Para restaurar los datos, su primera tarea es comprobar de nuevo si hay copias ocultas de Windows utilizando este software:

Otro método para restaurar sus archivos es tratando de traer de vuelta a sus archivos a través de software de recuperación de datos. Estos son algunos ejemplos de los programas de recuperación de datos:

Si este método no funciona, Kaspersky y Emsisoft han proporcionados unos desencriptadores para los archivos encriptados con este y otros algoritmos de encriptado:

También existe la opción técnica de utilizar un rastreador de red (network sniffer):
Otra forma de desencriptar los archivos es mediante el uso de un rastreador de red (Network Sniffer) para obtener la clave de encriptación, mientras que los archivos están encriptados en su sistema. Un rastreador de red es un programa y / o dispositivos de supervisión de datos que viajan a través de una red, tal como su tráfico de Internet y paquetes de Internet. Si usted tiene un conjunto Sniffer antes de que el ataque ocurra, podría obtener información acerca de la clave de descifrado. Para obtener más información haga click en el siguiente artículo

Opcional: Uso de herramientas Anti-Malware alternativos
STOPZilla AntiMalware
1. Descargar e instalar STOPZilla Anti-malware para buscar y eliminar los Locky Ransomware.
Paso 1: Descargue STOPZilla al hacer clic aquí..
Paso 2: Aparecerá una ventana emergente. Haga clic en el botón “Guardar archivo” (‘Save File’) button. Si no se guarda, haga clic en el botón Descargar(Download) y guardarlo después.

pets-by-myway-ads-virus
Paso 3: Tras haber descargado la configuración, basta con abrirla.
Paso 4: El programa de instalación debería aparecer. Haga clic en el botón ‘Siguiente’ (‘Next’).

pets-by-myway-ads-virus
Paso 5: : Compruebe el círculo de verificación “Acepto el acuerdo” (‘I accept the agreement’) si ha revisado y acepta las condiciones. Luego haga clic en el botón ‘Siguiente’ (‘Next’).
pets-by-myway-ads-virus
Paso 6: Revise y haga clic en el botón “Instalar” (‘Install’) button.
pets-by-myway-ads-virus
Paso 7: Cuando el proceso de instalación se haya completado, haga clic en el botón “Finalizar” (‘Finish’).

2. Escanear su PC con STOPZilla AntiMalware, para eliminar por completo todos los archivos asociados con Locky Ransomware.
Paso 1: Iniciar STOPZilla, si no se ha puesto en marcha después de instalar.
Paso 2: Espere a que el software escanee automáticamente y luego haga clic en el botón ¨Reparación Ahora” (Repair Now). Si no se actualiza de forma automática, haga clic en el botón “Escanear ahora¨ (‘Scan Now’).
pets-by-myway-ads-virus
Paso 3: Después de eliminar todas las amenazas y objetos asociados, debería reiniciar su PC.

Latest Stories

*/ ?>

Leave a Comment

Your email address will not be published. Required fields are marked *

Time limit is exhausted. Please reload CAPTCHA.

Share on Facebook Share
Loading...
Share on Twitter Tweet
Loading...
Share on Google Plus Share
Loading...
Share on Linkedin Share
Loading...
Share on Digg Share
Share on Reddit Share
Loading...
Share on Stumbleupon Share
Loading...
Please wait...

Subscribe to our newsletter

Want to be notified when our article is published? Enter your email address and name below to be the first to know.