Вы находитесь на странице: 1из 7

Virus CryptoWall

Conocido tambin como: CryptoWall ransomware


Tipo: Ransomware
Propagacin: Alto
Nivel de peligrosidad:
Domingo 11 de Mayo de 2014 14:12
55

Instrucciones para eliminar el virus CryptoWall


Qu es CryptoWall?
CryptoWall es un virus tipo ransomware (bloqueador de sistemas) que se infiltra en
el sistema operativo del usuario a travs de un mensaje de email infectado o una
descarga fraudulenta, por ejemplo supuestos reproductores de vdeo o
actualizaciones de flash. Tras entrar en el sistema con xito, este programa
malicioso encripta los archivos almacenados en el PC del usuario (*.doc, *.docx,
*.xls, *.ppt, *.psd, *.pdf, *.eps, *.ai, *.cdr, *.jpg, etc.) y exige el pago de un rescate
de 500 dlares (en Bitcoins) para desencriptar los archivos. Los ciberdelincuentes
responsables de lanzar este fraudulento programa se aseguraron de que se
ejecuta en todas las versiones de Windows (Windows XP, Windows Vista,
Windows 7 y Windows 8). El virus ransomware crea los archivos:
DECRYPT_INSTRUCTION.txt,
DECRYPT_INSTRUCTION.html
y
DECRYPT_INSTRUCTION.url en todas las carpetas donde haya archivos
encriptados.
Esos archivos incluyen instrucciones para que los usuarios puedan desencriptar
los archivos, entre ellas, la utilizacin del navegador Tor (navegador web
annimo). Los ciberdelincuentes ocultan su identidad tras el navegador Tor. Los
usuarios deben ser conscientes de que, aunque no es complicado eliminar la
infeccin, la desencriptacin de los archivos afectados (encriptados con el
sistema criptogrfico RSA 2048) por este programa malicioso no es posible
si no se abona la suma del rescate. En la fecha de nuestro anlisis, no se
encontraron herramientas o soluciones capaces de desencriptar los archivos
encriptados por CryptoWall. Tenga en cuenta que la clave privada que puede
usarse para desencriptar los archivos se encuentra en los servidores de mando y
control de CryptoWall, gestionados por los ciberdelincuentes. La solucin ideal
sera eliminar este virus ransomware y luego restaurar los archivos a partir de una
copia de seguridad.
Captura de pantalla del mensaje que se muestra en los archivos
DECRYPT_INSTRUCTION.txt,
DECRYPT_INSTRUCTION.html
y
DECRYPT_INSTRUCTION.url:

Las
infecciones
ransomware
como
CryptoWall
(por
ejemplo:
CryptoDefense, CryptorBit y Cryptolocker) deberan ser motivo suficiente para tener
siempre copias de seguridad de todos los archivos guardados en el equipo. Tenga
en cuenta que el hecho de pagar la suma del rescate exigida por este ransomware
equivale a enviar un pago (su dinero) a ciberdelincuentes; estara apoyando el
modelo de negocio fraudulento y adems no tiene garantas de que los archivos
se desencriptarn en algn momento. Para evitar que nuestros sistemas se
infecten con un virus ransomware, debemos tener especial cuidado a la hora de
abrir mensajes de email. Los ciberdelincuentes usan varios ttulos atrayentes para
engaar a los usuarios y que as abran los adjuntos infectados, por ejemplo "UPS
- Notificacin de excepciones". Segn investigaciones recientes, los
ciberdelincuentes tambin utilizan redes P2P y descargas fraudulentas con este
virus empaquetado para propagar CryptoWall.
Mensaje mostrado en los archivos DECRYPT_INSTRUCTION.txt,
DECRYPT_INSTRUCTION.html y DECRYPT_INSTRUCTION.url:

Qu

pas

con

sus

archivos?

Todos sus archivos han sido protegidos usando un potente cifrado RSA-2048
con CryptoWall. Encontrar ms informacin acerca de las claves de cifrado

con

RSA-2048

en

Qu

el

siguiente

enlace:

quiere

http://es.wikipedia.org/wiki/RSA
decir

esto?

Quiere decir que la estructura y datos de sus ficheros han sido cambiados de
forma irrevocable; no podr trabajar con ellos, leer o verlos, es como si los
hubiera perdido para siempre, pero con nuestra ayuda puede recuperarlos.
Cmo

ha

podido

ocurrir

esto?

Expresamente para usted, hemos generado en nuestro servidor un par de


claves secretas RSA-2048 (pblica y privada). Todos sus archivos han sido
cifrados con la clave pblica, que se ha enviado por internet a su ordenador. La
nica opcin para descifrar sus archivos es con ayuda de la clave privada y el
programa de descifrado, que se encuentran en nuestro servidor secreto.
Qu

es

lo

que

tengo

que

hacer?

Si no sigue las instrucciones necesarias a tiempo, cambiarn las condiciones


para conseguir la clave privada. Si le importan sus datos verdaderamente, le
aconsejamos que no pierda su tiempo valioso en buscar otras soluciones
porque
no
existen.
Para leer instrucciones ms detalladas, por favor visite su pgina web personal.
Abajo
hay
varios
enlaces
que
le
llevarn
hasta
all.
1.
2.
3.

hxxps://kpai7ycr7jxqkilp.torexplorer.com/3koe
hxxps://kpai7ycr7jxqkilp.tor2web.org/3koe
hxxps://kpai7ycr7jxqkilp.onion.to/3koe

Si por cualquier motivo los enlaces no funcionan, siga los siguientes pasos:
1.
Descargue
e
instale
el
navegador
Tor:
hxxp://www.torproject.org/projects/torbrowser.html.en
2. Cuando finalice la instalacin, abra el navegador y espere a que se cargue.
3. Escriba en la barra de direcciones: kpai7ycr7jxqkilp.onion/3koe
4. Siga las instrucciones de la pgina.
Captura de pantalla de un mensaje de email infectado que se usa en la
distribucin de CryptoWall:

Texto que se muestra en los mensajes de correo electrnico infectados:

De:
UPS
Quantum
View
[auto-notify
(at)
ups.com]
Asunto: UPS Exception Notification, Tracking Number 1Z522A9A6892487822
Discover
more
about
UPS:
Visit
ups.com
At the request of the shipper, please be advised that delivery of the following
shipment
has
been
rescheduled.
Important
Delivery
Information
Tracking
Number:
1Z522A9A6892487822
Rescheduled
Delivery
Date:
14-April-2014
Exception Reason: THE CUSTOMER WAS NOT AVAILABLE ON THE 1ST
ATTEMPT. A 2ND ATTEMPT WILL BE MADE PACKAGE WILL BE DELIVERED
NEXT
BUSINESS
DAY.
Shipment Detail: 1Z522A9A6892487822
Captura de pantalla de la pasarela de pago del rescate en CryptoWall:

Mensaje que se muestra en la pgina de pago del rescate en CryptoWall:

Servicio
de
descifrado
Sus
archivos
han
sido
cifrados.
Para conseguir la clave de descifrado, tiene que pagar 500 USD/EUR. Si el
pago no se realiza antes de la fecha X, el coste de descifrado de los archivos
se duplicar hasta los 1000 USD/EUR. Tiempo que queda antes de que se
duplique
la
cuanta:
[temporizador]

Le facilitaremos un programa especial, CryptoWall Decrypter, para desencriptar


y devolverle el control de todos sus archivos cifrados. Cmo puedo comprar
CryptoWall
decrypter?
1.
Debe
registrarse
en
Bitcoin
Wallet.
2. Compre Bitcoins: Aunque no es tan fcil comprar bitcoins, cada da se
simplifica
an
ms.
3.
Enve
1,22
BTC
a
la
direccin
de
Bitcoin:
1BhLzCZGY6dwQYgX4B6NR5sjDebBPNapvv
4. Introduzca el ID de transaccin y seleccione el importe.
5. Por favor, verifique la informacin del pago y haga clic en "PAGAR".
Tenga en cuenta que en la fecha de publicacin del artculo todava no haba
ninguna herramienta conocida que pudiera desencriptar los archivos
cifrados por CryptoWall sin pagar el rescate. Con esta gua, podr eliminar este
virus ransomware de su sistema, aunque los archivos afectados seguirn
encriptados. Actualizaremos el artculo en cuanto haya ms informacin sobre la
desencriptacin de los archivos infectados.

Eliminar el virus CryptoWall:


Men rpido: Solucin rpida para eliminar CryptoWall ransomware
Qu es CryptoWall?
PASO 1. Eliminar el virus CryptoWall usando Modo seguro con
funciones de red.
PASO 2. Eliminar el virus CryptoWall mediante Restaurar sistema.
Paso 1
Usuarios de Windows XP y Windows 7: Durante el proceso de arranque de su
ordenador, pulse la tecla F8 en su teclado varias veces hasta que aparezca el
men de Opciones avanzadas de Windows, luego seleccione Modo seguro con
funciones de red de la lista y pulse ENTER.

Este vdeo muestra cmo iniciar Windows 7 en "Modo seguro con funciones de
red":
Usuarios de Windows 8: Dirjase a la pantalla de inicio de Windows 8, escriba
Avanzado, en los resultados de bsqueda, seleccione Configuracin. Haga clic en
las opciones de inicio avanzadas; tras abrir la ventana de "Configuracin general
del PC", seleccione "Arranque avanzado". Haga clic en el botn de "Reiniciar
ahora". Su PC se reiniciar ahora con el "Men de opciones de arranque
avanzadas". Haga clic en el botn de "Solucionar", luego haga clic en el botn de
"Opciones avanzadas". En la pantalla de opciones avanzadas, haga clic en
"Configuracin de arranque". Haga clic en el botn "Reiniciar". Su PC se reiniciar
con la pantalla de Configuracin de arranque. Pulse "5" para arrancar en Modo
seguro con smbolo de sistema

Вам также может понравиться