Un nuevo ransomware ha aparecido. Su nombre es Crysis, y establece la extensión .CrySiS a los archivos encriptados. El algoritmo RSA y sistemas de cifrado AES se combinan para el proceso de encriptado. La nota de rescate se establece como una imagen de fondo del escritorio de su ordenador. Para eliminar este ransomware y ver cómo se pueden tratar de recuperar los archivos, usted debe leer el artículo con cuidado.
Resumen de la amenaza
| Nombre |
Crysis Ransomware |
| Tipo | Ransomware |
| Breve descripción | El ransomware encripta los archivos con el algoritmo RSA y códigos AES-128 y pide a cambio un rescate para el descifrado. |
| Síntomas | Los archivos se encriptan y se vuelven inaccesibles. Una nota de rescate con las instrucciones para pagar el rescate aparece como un archivo .txt. |
| Método de distribución | Comprobar si su sistema ha sido afectado por Crysis Ransomware. |
| Herramienta para detectar |
Compruebe si su sistema ha sido afectado por Crysis Ransomware
Descargar
Herramienta para eliminar malware
|
| Experiencias de los usuarios | Unase a nuestro foro para Discutir Crysis Ransomware. |
Crysis Ransomware – Distribución
El ransomware Crysis se puede enviar de varias maneras. Una de ellas es a través de correos electrónicos no deseados que contienen un archivo adjunto malicioso. Si se abre el archivo adjunto, se inyecta automáticamente el malware dentro de su ordenador. El código malicioso también podría esconderse en el cuerpo del correo electrónico. Eso significa que usted puede infectarse con sólo abrir un correo electrónico por ejemplo, no importa que usted manipule el archivo adjunto.
Otras maneras de distribuir este ransomware son con la ayuda de las redes sociales y servicios de intercambio de archivos, que podrían contener archivos adjuntos o archivos maliciosos con la carga útil del ransomware Crysis en su interior. Los archivos le podrían ser presentados como algo útil o cosas que necesita, como una actualización importante por ejemplo. Navegar por paginas web desconocidas y haciendo clic en los enlaces de redirección también puede conducir a una infección de este malware.
Crysis Ransomware – Información técnica
El ransomware Crysis se clasifica por los investigadores como un ransomware. Cuando un equipo está infectado con el ransomware, se crea un archivo ejecutable, y también se podrían establecer nuevos valores del Registro de Windows como una medida de persistencia:
%LOCALAPPDATA%\_Skanda.exe
Las modificaciones en el Registro de Windows se crean generalmente en estas entradas de registro:
HKLM/Software/Microsoft/WindowsNT/CurrentVersion/Winlogon/Shell
y
HKLM/Software/Microsoft/Windows/CurrentVersion/Run/
Esto también incluye que el ransomware se configure a sí mismo para iniciarse automáticamente con cada reinicio del sistema operativo Windows.
A continuación, el ransomware creará un archivo con un nombre generado aleatoriamente, que contiene el mensaje de rescate. Las instrucciones en él, que describen cómo el rescate puede ser pagado siempre son los siguientes:
¡Atención! Su equipo fue atacado por un virus codificador.
Todos los archivos están fuertemente cifrados criptográficamente, sin la llave original recuperarlos es imposible! Para obtener el decodificador y la llave original, es necesario que nos escriba al correo electrónico: [email protected] con el asunto “encryption” (“cifrado”) indicando su ID.
Escriba sobre el caso, no pierda su tiempo y el nuestro con amenazas vacías.
Se responderá a las cartas de las personas correctas, las que no son adecuadas se ignoraran.
P.S. Sólo en caso de que usted no recibe una respuesta de la primera dirección de correo electrónico dentro de las 48 horas siguientes, por favor utilice este correo electrónico alternativo: [email protected].
El archivo es una foto que se establece como fondo de pantalla del escritorio después de que el proceso de encriptación se haya completado.
Dos correos electrónicos diferentes se proporcionan para ponerse en contacto con los desarrolladores del ransomware Crysis. Uno registrado como un dominio en la República Checa y el otro en la India, pero se desconoce el origen del ransomware. Los ciberdelincuentes afirman en su nota de rescate que se les debería escribir en ellos si desea que sus archivos sean descifrados.
No se aconseja ponerse en contacto con los creadores del ransomware con la intención de pagar el rescate. No existe ninguna garantía de que los archivos van a ser desbloqueados y recuperados. Además, el pago de los fabricantes del ransomware es casi lo mismo que apoyarlos en sus acciones y animarlos a hacer una variante aún más difícil de los programas maliciosos.
El ransomware Crysis busca para encriptar varios tipos de archivos. Los archivos que podrían ser cifrados tienen las siguientes extensiones:
→.odc, .odm, .odp, .ods, .odt, .docm, .docx, .doc, .odb, .mp4, sql, .7z, .m4a, .rar, .wma, .gdb, .tax, .pkpass, .bc6, .bc7, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps
Después de que el encriptado esté totalmente terminado, los archivos cifrados tienen la extensión .CrySiS. El método de encriptado usado se sospecha que es un algoritmo RSA mezclado con sistemas de cifrado AES, al igual que muchos otros ransomware, ya que se considera irrompible.
El ransomware Crysis es conocido por encriptar las siguientes ubicaciones de archivos:
- %UserProfile%\Local Settings\Application Data
- %localappdata%
- %WINDIR%\System32
- %TEMP%
- %userprofile%\downloads
Por el momento, se desconoce si las Shadow Volume Copies (copias ocultas) se eliminan del sistema operativo de Windows, pero probablemente sea el caso. Después de eliminar el ransomware, debería revisar la cuarta parte de las instrucciones proporcionadas.
Eliminar el ransomware Crysis y recuperar los archivos encriptados .Crysis
Si usted fue infectado por el ransomware Crysis, debe tener un poco de experiencia en la eliminación de malware. El ransomware puede bloquear sus archivos de forma irreparable, y por lo tanto, es muy recomendable que sea rápido y siga paso a paso las instrucciones escritas a continuación.
Eliminar manualmente Crysis Ransomware de su ordenador
Observación! Notificación importante sobre la amenaza de Crysis Ransomware requiere la interferencia con los archivos y registros del sistema. Por lo tanto, puede causar daños a su PC. Incluso si sus conocimientos de informática no son a nivel profesional, no se preocupe. Usted mismo puede hacer la eliminación en 5 minutos, usando una herramienta de eliminación de software malicioso malware removal tool.
Inicie su PC en modo seguro
Para Windows 7, XP y Vista.
2. Para Windows 8, 8.1 y 10.Para sistemas operativos WindowsXP, Vista y 7:
1. Retire todos los CD y DVD, y reinicie el ordenador desde el menú “Inicio”.
2. Seleccione una de las dos opciones que aparecen a continuación:
– Para PCs con un solo sistema operativo : Pulse la tecla “F8” ” repetidamente después de que la primera pantalla de arranque aparezca durante el reinicio del ordenador. En caso de que aparezca el logotipo de Windows en la pantalla, usted tiene que repetir la misma tarea de nuevo.
Para PCs con múltiples sistemas operativos: Las teclas de flechas le ayudarán a seleccionar el sistema operativo que prefiere iniciar en modo seguro (Safe Mode). Pulse la tecla “F8” tal como se ha descrito para los ordenadores con un solo sistema operativo.
3. En cuanto aparezca la pantalla “ Opciones avanzadas de inicio ” seleccione la opción Modo seguro que desea utilizando las teclas de flecha. Al hacer su selección, pulse “Enter”.
4. Inicie sesión en el ordenador utilizando su cuenta de administrador.
Mientras el ordenador está en modo seguro, las palabras “Modo Seguro” aparecerán en las cuatro esquinas de la pantalla.
Paso 1: Abra el menú Inicio.
Paso 2: Mientras mantiene pulsado el botón Shift haga clic en el botón Power y luego haga clic en Reiniciar (Restart).
Paso 3: Tras el reinicio, aparecerá el menú mencionado más abajo. Desde allí se debe elegir Solución de problemas Troubleshoot.
Paso 4: Usted verá el menú Solución de problemas. Desde este menú se puede seleccionar Opciones avanzadas Advanced Options.
Paso 5: Después de que aparezca el menú ¨Opciones avanzadas (Advanced Options) haga clic en Configuración de inicio (“Startup Settings”).
Paso 6: Haga clic en Reiniciar Restart.
Paso 7: Aparecerá un menú para el reinicio. Usted debe elegir el Modo Seguro pulsando el número correspondiente y la máquina se reiniciará.
Crysis Ransomware eliminar automáticamente mediante la descarga de un programa anti-malware avanzado.
Elimine Crysis Ransomware con la herramienta de SpyHunter Anti-Malware
1. Instalar SpyHunter para buscar y eliminar Crysis Ransomware.2. Escanear con SpyHunter para detectar y eliminar Crysis Ransomware.Se recomienda realizar un análisis antes de comprar la versión completa del software para asegurarse de que la versión actual del software malicioso puede ser detectado por SpyHunter.
Paso 2: Guíese mediante las instrucciones de descarga previstas para cada navegador.
Paso 3: Después de haber instalado SpyHunter, esperar a que se actualice automáticamente..
Paso 1: Después de que el proceso de actualización haya terminado, haga clic en “Escanear el equipo ahora” (‘Scan Computer Now’) button.
Paso 2: Después de que SpyHunter haya terminado de escanear su PC para cualquier archivo de Crysis Ransomware haga clic en el botón ‘Fix Threats’ ( Corregir Amenazas) para eliminarlos de forma automática y permanente.
Paso 3: Una vez que las intrusiones en su PC se hayan eliminado, es muy recomendable reiniciarlo.
STOPZilla AntiMalwarePaso 1: Descargue STOPZilla al hacer clic aquí..
Paso 2: Aparecerá una ventana emergente. Haga clic en el botón “Guardar archivo” (‘Save File’) button. Si no se guarda, haga clic en el botón Descargar(Download) y guardarlo después.
Paso 3: Tras haber descargado la configuración, basta con abrirla.
Paso 4: El programa de instalación debería aparecer. Haga clic en el botón ‘Siguiente’ (‘Next’).
Paso 5: : Compruebe el círculo de verificación “Acepto el acuerdo” (‘I accept the agreement’) si ha revisado y acepta las condiciones. Luego haga clic en el botón ‘Siguiente’ (‘Next’).
Paso 6: Revise y haga clic en el botón “Instalar” (‘Install’) button.
Paso 7: Cuando el proceso de instalación se haya completado, haga clic en el botón “Finalizar” (‘Finish’).
2. Escanear su PC con STOPZilla AntiMalware, para eliminar por completo todos los archivos asociados con Crysis Ransomware.
Paso 1: Iniciar STOPZilla, si no se ha puesto en marcha después de instalar.
Paso 2: Espere a que el software escanee automáticamente y luego haga clic en el botón ¨Reparación Ahora” (Repair Now). Si no se actualiza de forma automática, haga clic en el botón “Escanear ahora¨ (‘Scan Now’).
Paso 3: Después de eliminar todas las amenazas y objetos asociados, debería reiniciar su PC.
