Una nueva cepa del ransomware Locky se detectó de un día para el otro por los investigadores de software maliciosos después del descubrimiento de la variante con la extensión .shit. Los autores del virus han decidido llevar el tema de la mitología nórdica en sus proyectos de ransomware y podemos ver la extensión .thor añadida a los archivos cifrados. Para ver cómo eliminar el virus y cómo tratar de restaurar los archivos, lean el artículo completo.
Resumen de Virus
| Nome | .thor files |
| Tipo | Ransomware, Cryptovirus |
| Descripción corta | El ransomware encripta sus datos, y muestra un mensaje con las instrucciones para el pago. |
| Síntomas | Los archivos encriptados tienen la extensión .thor en algunos de ellos. |
| Método de distribución | Los correos electrónicos no deseados (spam), Archivos adjuntos de correos electrónicos (.wsf, .js, .hta, .zip, .vbs, .bin), Documentos Google |
| Herramienta de detección |
Compruebe si su sistema está infectado con el ransomware Locky .thor files Download
Malware Removal Tool
|
| Herramienta de recuperación de datos | Windows Data Recovery by Stellar Phoenix Nota! Este producto escaneará los sectores del disco duro para recuperar los archivos perdidos. No se puede garantizar una recuperación del 100% de los archivos encriptados, sino sólo de algunos de ellos, dependiendo de la situación y si el disco ha sido reformateado. |
LockyRansomware – Distribución
La última versión del ransomware Locky utiliza los servidores de comando y control como medio de distribución. Los correos electrónicos no deseados con un cuerpo de texto vacío contienen archivos adjuntos que ponen un programa de descarga en su PC. De allí, el programa de descarga ensambla el ransomware y encripta sus datos. Los documentos adjuntos de correo electrónico se parecen legítimos, ya que el nombre, la dirección y el correo electrónico del remitente pueden ser falsificados y parecer enviados por compañías reales y con los datos de sus empleados. Los archivos adjuntos contienen secuencias de comandos o programas de descarga y los tipos de archivos utilizados son
.wsf, .js, .hta, .zip, .vbs et .bin.
A continuación un ejemplo de un archivo de este tipo detectado por Payload Security:
Locky ransomware también se puede difundir a través de las redes sociales y los sitios de intercambio de archivos. Una de las plataformas señaladas para la entrega de archivos maliciosos es Google Docs. No abran los enlaces, archivos adjuntos y archivos que son sospechosos o cuyo origen se desconoce. Antes de abrir los archivos, asegúrense de que no presenten los tipos mencionados anteriormente, incluidos los archivos .exe. Además, se aconseja hacer siempre un escaneo con una herramienta de seguridad y comprobar los archivos por sus firmas y tamaño. Pueden consultar el tema en los consejos de prevención de ransomware escritos en nuestro foro.
LockyRansomware – Descripción
Locky ransomware utiliza una nueva extensión en los archivos cifrados y esta es la extensión .thor . Podemos decir que los autores del cryptovirus vuelven a sus raíces – es decir que los criminales informáticos tenían en mente la mitología nórdica. La mayoría de las extensiones utilizadas por el ransomware llevaban los nombres Thor, Odin, y Loki, que son todos Dioses de la mitología nórdica. Sin embargo, los estafadores podrían haber tenido en mente los cómics de Marvel y las películas retrato de los Dioses. Lo que es aún más interesante – Heimdallr es también un Dios nórdico (hijo de Odin) y Heimdal Security lleva su nombre. Se burlarán los creadores de software maliciosos de Heimdal Security? O de los programas contra los software maliciosos en general?
El virus utiliza servidores C2 (de Comando y Control) para entregar sus archivos de payload como se describe en la sección anterior. Los archivos contienen un script malicioso que descarga un archivo .dll en su computadora. Una vez ejecutado, el sistema del ordenador se infecta. Se pueden ver algunos de los servidores C2 aquí:
- 185.102.136.77:80/linuxsucks.php
- 91.200.14.124:80/linuxsucks.php
- 91.226.92.225:80/linuxsucks.php
- 77.123.14.137:221/linuxsucks.php
- yptehqhsgdvwsxc.biz/linuxsucks.php
- fvhnnhggmck.ru/linuxsucks.php
- krtwpukq.su/linuxsucks.php
- tdlqkewyjwakpru.ru/linuxsucks.php
Lockyransomware se puede descargar desde muchos sitios de descarga, algunos de los cuales se enumeran a continuación.
Una vez ejecutado el archivo .DLL, el mismo cifrará sus archivos y mostrará una nota de rescate. Copias de esta nota aparecerán en directorios con archivos cifrados con el nombre _WHAT_is. Uno de ellos es un archivo .bmp y el otro es un archivo .html, en el que el archivo de imagen se establece como fondo de escritorio.
La nota de rescate del virus es la misma que la de la extensión .shit:
Cuando se carga el archivo _WHAT_is.html, se verá en la forma siguiente:
El texto es el siguiente:
!!! INFORMACIÓN IMPORTANTE!!!
Todos los archivos están encriptados con RSA-2048 y el cifrado AES-128.
Más información sobre el RSA y AES se pueden encontrar aquí:
https://en.wikipedia.org/wiki/RSA_(cryptosystem)
https://en.wikipedia.org/wiki/Advanced_Encryption_Standard
Descifrar los archivos sólo es posible con una clave privada y un programa de decodificación, que se puede encontrar en nuestro servidor secreto.
Para recibir la clave privada siga uno de los enlaces
1. http://jhomitevd2abj3fk.tor2web.org/5DYGW6MQXIPQSSBB
2. http://jhomitevd2abj3fk.onion.to/5DYGW6MQXIPQSSBB
Si estas direcciones no están disponibles, haga lo siguiente:
1. Descarga e instale el Browser Tor: https://www.torproject.org/download/download-easy.html
2. Después de la instalación, reinicie el navegador y espere la inicialización.
3. Escribe en la barra de direcciones: jhomitevd2abj3fk.onion/5DYGW6MQXIPQSSBB
4. Siga las instrucciones del sitio.
!!! Su Código de identificación personal: 5DYGW6MQXIPQSSBB !!!
El virus Locky lleva al servicio con las instrucciones de pago que hemos visto en las versiones anteriores. Se hace acceso al servicio si se introduce el nombre de un archivo cifrado (esto se hace para limitar el acceso al servicio). Se puede ver el sitio escondido en la red TOR en la imagen de abajo:
El Lockyransomware no tiene variantes que han sido descifrados, y el código del mismo se expide por los mismos autores. Los usuarios previamente infectados con una variante más antigua de este virus informaron que fueron incapaces de recuperar sus datos, incluso después haber pagado el rescate. Por esta razón, no se debe considerar ponerse en contacto con los estafadores o pagarles. Obviamente, los estafadores simplementa continuarán a hacer otros viruses ransomware.
Los tipos de archivos cifrados actualmente por Locky son más de 400 y tienen las siguientes extensiones:
→txt, .pdf, .html, .rtf, .avi, .mov, .mp3, .mp4, .dwg, .psd, .svg, .indd, .cpp, .pas, .php, .java, .jpg, .jpeg, .bmp, .tiff, .png, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .yuv, .ycbcra, .xis, .wpd, .tex, .sxg, .stx, .srw, .srf, .sqlitedb, .sqlite3, .sqlite, .sdf, .sda, .s3db, .rwz, .rwl, .rdb, .rat, .raf, .qby, .qbx, .qbw, .qbr, .qba, .psafe3, .plc, .plus_muhd, .pdd, .oth, .orf, .odm, .odf, .nyf, .nxl, .nwb, .nrw, .nop, .nef, .ndd, .myd, .mrw, .moneywell, .mny, .mmw, .mfw, .mef, .mdc, .lua, .kpdx, .kdc, .kdbx, .jpe, .incpas, .iiq, .ibz, .ibank, .hbk, .gry, .grey, .gray, .fhd, .ffd, .exf, .erf, .erbsql, .eml, .dxg, .drf, .dng, .dgc, .des, .der, .ddrw, .ddoc, .dcs, .db_journal, .csl, .csh, .crw, .craw, .cib, .cdrw, .cdr6, .cdr5, .cdr4, .cdr3, .bpw, .bgt, .bdb, .bay, .bank, .backupdb, .backup, .back, .awg, .apj, .ait, .agdl, .ads, .adb, .acr, .ach, .accdt, .accdr, .accde, .vmxf, .vmsd, .vhdx, .vhd, .vbox, .stm, .rvt, .qcow, .qed, .pif, .pdb, .pab, .ost, .ogg, .nvram, .ndf, .m2ts, .log, .hpp, .hdd, .groups, .flvv, .edb, .dit, .dat, .cmt, .bin, .aiff, .xlk, .wad, .tlg, .say, .sas7bdat, .qbm, .qbb, .ptx, .pfx, .pef, .pat, .oil, .odc, .nsh, .nsg, .nsf, .nsd, .mos, .indd, .iif, .fpx, .fff, .fdb, .dtd, .design, .ddd, .dcr, .dac, .cdx, .cdf, .blend, .bkp, .adp, .act, .xlr, .xlam, .xla, .wps, .tga, .pspimage, .pct, .pcd, .fxg, .flac, .eps, .dxb, .drw, .dot, .cpi, .cls, .cdr, .arw, .aac, .thm, .srt, .save, .safe, .pwm, .pages, .obj, .mlb, .mbx, .lit, .laccdb, .kwm, .idx, m11, .html, .flf, .dxf, .dwg, .dds, .csv, .css, .config, .cfg, .cer, .asx, .aspx, .aoi, .accdb, .7zip, .xls, .wab, .rtf, .prf, .ppt, .oab, .msg, .mapimail, .jnt, .doc, .dbx, .contact, .mid, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .wallet, .upk, .sav, .ltx, .litesql, .litemod, .lbf, .iwi, .forge, .das, .d3dbsp, .bsa, .bik, .asset, .apk, .gpg, .aes, .arc, .paq, .tar.bz2, .tbk, .bak, .tar, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .nef, .psd, .cmd, .bat, .class, .jar, .java, .asp, .brd, .sch, .dch, .dip, .vbs, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .myi, .myd, .frm, .odb, .dbf, .mdb, .sql, .sqlitedb, .sqlite3, .pst, .onetoc2, .asc, .lay6, .lay, .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti, .sxi, .otp, .odp, .wks, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dotm, .dotx, .docm, .docx, .dot, .max, .xml, .txt, .csv, .uot, .rtf, .pdf, .xls, .ppt, .stw, .sxw, .ott, .odt, .doc, .pem, .csr, .crt, .key
Todos los archivos cifrados tendrán la extensión .thor añadida a ellos y sus nombres se transformarán en símbolos aleatorios. El algoritmo de cifrado que Locky pretende utilizar según su nota de rescate es RSA-2048 con cifras 128-bit AES y esto parece ser cierto.
El cryptovirus Locky eliminará casi seguro los Shadow Volume Copies del sistema operativo Windows con la siguiente línea de comandos:
→vssadmin.exe delete shadows /all /Quiet
Pueden seguir leyendo para ver cómo eliminar este ransomware y comprobar cuáles son los métodos que pueden utilizar para intentar descifrar algunos de sus archivos.
Eliminar el LockyRansomware y Recuperar los archivos .thor
Si su computadora ha sido infectada con el virus Locky ransomware, se debe tener un poco de experiencia en la eliminación de malware. Se deberán deshacer de este ransomware lo más rápido posible antes de que tuviese la oportunidad de propagarse e infectar otros ordenadores. Es necesario quitar el ransomware y seguir las instrucciones de la siguiente guía paso a paso. Para entender cómo se puede intentar a recuperar los datos, se tiene que leer el paso 2. Recuperar los archivos encriptados por el Locky.
Observación! Notificación importante sobre la amenaza de .thor files requiere la interferencia con los archivos y registros del sistema. Por lo tanto, puede causar daños a su PC. Incluso si sus conocimientos de informática no son a nivel profesional, no se preocupe. Usted mismo puede hacer la eliminación en 5 minutos, usando una herramienta de eliminación de software malicioso malware removal tool.
Inicie su PC en modo seguro
Para Windows 7, XP y Vista.
2. Para Windows 8, 8.1 y 10.Para sistemas operativos WindowsXP, Vista y 7:
1. Retire todos los CD y DVD, y reinicie el ordenador desde el menú “Inicio”.
2. Seleccione una de las dos opciones que aparecen a continuación:
– Para PCs con un solo sistema operativo : Pulse la tecla “F8” ” repetidamente después de que la primera pantalla de arranque aparezca durante el reinicio del ordenador. En caso de que aparezca el logotipo de Windows en la pantalla, usted tiene que repetir la misma tarea de nuevo.
Para PCs con múltiples sistemas operativos: Las teclas de flechas le ayudarán a seleccionar el sistema operativo que prefiere iniciar en modo seguro (Safe Mode). Pulse la tecla “F8” tal como se ha descrito para los ordenadores con un solo sistema operativo.
3. En cuanto aparezca la pantalla “ Opciones avanzadas de inicio ” seleccione la opción Modo seguro que desea utilizando las teclas de flecha. Al hacer su selección, pulse “Enter”.
4. Inicie sesión en el ordenador utilizando su cuenta de administrador.
Mientras el ordenador está en modo seguro, las palabras “Modo Seguro” aparecerán en las cuatro esquinas de la pantalla.
Paso 1: Abra el menú Inicio.
Paso 2: Mientras mantiene pulsado el botón Shift haga clic en el botón Power y luego haga clic en Reiniciar (Restart).
Paso 3: Tras el reinicio, aparecerá el menú mencionado más abajo. Desde allí se debe elegir Solución de problemas Troubleshoot.
Paso 4: Usted verá el menú Solución de problemas. Desde este menú se puede seleccionar Opciones avanzadas Advanced Options.
Paso 5: Después de que aparezca el menú ¨Opciones avanzadas (Advanced Options) haga clic en Configuración de inicio (“Startup Settings”).
Paso 6: Haga clic en Reiniciar Restart.
Paso 7: Aparecerá un menú para el reinicio. Usted debe elegir el Modo Seguro pulsando el número correspondiente y la máquina se reiniciará.
.thor files eliminar automáticamente mediante la descarga de un programa anti-malware avanzado.
Elimine .thor files con la herramienta de SpyHunter Anti-Malware
1. Instalar SpyHunter para buscar y eliminar .thor files.2. Escanear con SpyHunter para detectar y eliminar .thor files.Se recomienda realizar un análisis antes de comprar la versión completa del software para asegurarse de que la versión actual del software malicioso puede ser detectado por SpyHunter.
Paso 2: Guíese mediante las instrucciones de descarga previstas para cada navegador.
Paso 3: Después de haber instalado SpyHunter, esperar a que se actualice automáticamente..
Paso 1: Después de que el proceso de actualización haya terminado, haga clic en “Escanear el equipo ahora” (‘Scan Computer Now’) button.
Paso 2: Después de que SpyHunter haya terminado de escanear su PC para cualquier archivo de .thor files haga clic en el botón ‘Fix Threats’ ( Corregir Amenazas) para eliminarlos de forma automática y permanente.
Paso 3: Una vez que las intrusiones en su PC se hayan eliminado, es muy recomendable reiniciarlo.
STOPZilla AntiMalwarePaso 1: Descargue STOPZilla al hacer clic aquí..
Paso 2: Aparecerá una ventana emergente. Haga clic en el botón “Guardar archivo” (‘Save File’) button. Si no se guarda, haga clic en el botón Descargar(Download) y guardarlo después.
Paso 3: Tras haber descargado la configuración, basta con abrirla.
Paso 4: El programa de instalación debería aparecer. Haga clic en el botón ‘Siguiente’ (‘Next’).
Paso 5: : Compruebe el círculo de verificación “Acepto el acuerdo” (‘I accept the agreement’) si ha revisado y acepta las condiciones. Luego haga clic en el botón ‘Siguiente’ (‘Next’).
Paso 6: Revise y haga clic en el botón “Instalar” (‘Install’) button.
Paso 7: Cuando el proceso de instalación se haya completado, haga clic en el botón “Finalizar” (‘Finish’).
2. Escanear su PC con STOPZilla AntiMalware, para eliminar por completo todos los archivos asociados con .thor files.
Paso 1: Iniciar STOPZilla, si no se ha puesto en marcha después de instalar.
Paso 2: Espere a que el software escanee automáticamente y luego haga clic en el botón ¨Reparación Ahora” (Repair Now). Si no se actualiza de forma automática, haga clic en el botón “Escanear ahora¨ (‘Scan Now’).
Paso 3: Después de eliminar todas las amenazas y objetos asociados, debería reiniciar su PC.
