Doce Versiones De CryptoLocker Y Herramientas Para Su Eliminación

Lee la lista actualizada 2022 de HelpRansomware: conoce las doce versiones de cryptoLocker y las herramientas para su eliminación.

¿Qué es CryptoLocker?

CryptoLocker es un ransomware activo desde septiembre de 2013.

Tan pronto como se cifran los datos, los piratas informáticos exigen un rescate para recuperar el descifrador de los archivos inutilizables.

La nota de rescate se muestra en un programa «CryptoLocker» que se extiende hasta 72 horas para recuperar los archivos.

Si el rescate no se paga a través de MoneyPak o Bitcoin Transfer dentro del plazo del préstamo, la clave se destruye y los datos se pierden, de forma permanente.

El virus CryptoLocker terminó el 2 de junio de 2014, cuando la Operación Tovar bloqueó la botnet Gameover Zeus.

El departamento de seguridad otorgó acceso a la base de datos utilizada por el pirata informático para almacenar la información.

Desde entonces han surgido muchas otras versiones del virus, pero no están relacionadas con la original.

El malware utiliza el correo electrónico como un medio, aparentemente inofensivo: estos mensajes generalmente generan contenido con archivos adjuntos maliciosos que llevan el ransomware.

El virus se infiltra en el sistema, encripta y muestra una nota de rescate.

Tipos

CryptoLocker luego usa la clave de encriptación pública RSA para bloquear los siguientes tipos de archivos en el PC de la víctima:

3fr, accdb, ai, arw, bay, cdr, cer, cr2, crt, crw, dbf, dcr, der, dng, doc, docm, docx, dwg, dxf, dxg, eps, erf, indd, jpe, jpg, kdc, mdb, mdf, mef, mrw, nef, nrw, odb, odm, odp, ods, odt, orf, p12, p7b, p7c, pdd, pef, pem, pfx, ppt, pptm, pptx, psd, pst, ptx, r3d, raf, raw, rtf, rw2, rwl, srf, srw, wb2, wpd, wps, xlk, xls, xlsb, xlsm, xlsx.

Esta lista está llena de nombres de archivos muy utilizados, como doc, xls y similares.

Para restaurarlos, el ransomware CryptoLocker pide que pagues un rescate a través de Moneypak, Ukash, cashU o Bitcoin.

A veces, el malware utiliza mensajes que se refieren a un delito cometido, enmascarando archivos adjuntos peligrosos como multas a pagar a la policía.

En cualquier caso, lo que hace el malware es intentar convencer a sus víctimas de que tienen que pagar un rescate a cambio de sus archivos personales ahora cifrados.

Desde HelpRansomware, recomendamos encarecidamente que no se pague el rescate.

Pagar no garantiza que los archivos sean descifrados.

Según Data Center Knowledge, el 42% de las organizaciones que han pagado un rescate no han obtenido la desencriptación de los datos.

En estos casos, lo mejor que puede hacer es recurrir a expertos: HelpRansomware descifra los archivos y los vuelve utilizables, probados y verificados.

Cómo se propaga el ransomware

CryptoLocker está considerado como uno de los virus cripto-ransomware más eficientemente distribuidos.

Los autores de este virus combinan varias técnicas para difundirlo.

Según los expertos, el virus CryptoLocker se propaga utilizando correos electrónicos de aspecto oficial, ventanas emergentes falsas y técnicas similares.

Anteriormente, el ransomware se distribuía a través de cartas de correo electrónico que contenían archivos adjuntos maliciosos, anuncios cargados de malware, programas publicitarios o actualizaciones que realmente contienen el archivo ejecutivo del virus o kits de explotación.

Ten en cuenta que esta amenaza puede infiltrarse en tu computadora a través de ventanas emergentes falsas que afirman que necesita actualizar Java, Flash Player o programas similares.

Asegúrate de instalar estos programas desde sus sitios de desarrollador verificados, no de terceros sospechosos.

En septiembre de 2016, se identificaron técnicas nuevas de distribución de ransomware y, durante 2020, se perfeccionaron otros métodos.

A medida que el virus intenta explotar las debilidades humanas, los desarrolladores siguen de cerca los acontecimientos actuales.

Por eso, especialmente este año, se ha puesto mucho énfasis en enmascarar el malware en los correos electrónicos de las empresas sanitarias.

Fake

El contenido puede referirse a resultados de análisis falsos que comunican a la víctima una enfermedad o un positivo por Covid-19.

El mensaje pide imprimir los resultados de los análisis de sangre que se encuentran en un documento adjunto y que se los lleve al médico de cabecera lo antes posible.

Como dijimos, al aprovechar el pánico de las víctimas, los delincuentes pueden ingresar fácilmente a sus dispositivos.

Cuando la víctima abre el archivo adjunto, el ransomware toma el control del sistema y encripta todos los archivos sin ningún remordimiento.

Un interesante informe escrito por Bitdefender muestra las terribles conexiones entre la pandemia y el aumento de los ataques de ransomware.

Por otro lado, son delincuentes, cuyo único propósito es ganar dinero.

Versiones del virus ransomware CryptoLocker

Estas son algunas de las versiones conocidas de este ransomware.

Virus Crypt0L0cker

El virus Crypt0L0cker es uno de los virus de cifrado de archivos que pueden infiltrarse en las computadoras a través de actualizaciones falsas de Java o mediante archivos adjuntos de correo electrónico infectados.

Después de cifrar los archivos de la víctima, este virus agrega la extensión de archivo .encrypted o .enc a cada uno de ellos y comienza a mostrar un mensaje de advertencia pidiendo a la víctima que pague el rescate.

Este virus se detectó por primera vez en 2015.

Sin embargo, varios años después, sigue infectando activamente a los usuarios de computadoras.

CryptoLocker-v3

Es posible descargarlo haciendo clic en la ventana emergente falsa que dice que necesita actualizar Java o Flash Player.

Para cifrar archivos, esta amenaza utiliza RSA-2048 (una clave pública única) y exige un rescate.

Este malware utiliza la extensión de archivo .crypted que se adjunta a cada archivo que cifra.

Cryptographic Locker

Cryptographic Locker es muy similar al ransomware CryptoLocker.

Le permite a la víctima saber qué archivos ha cifrado agregando la extensión .clf a cada archivo.

Inmediatamente después de aparecer en Internet, este ransomware exigió un rescate de 0,2 BTC a cambio de la clave necesaria para restaurar los archivos cifrados.

Si estás infectado con este malware, no pagues el rescate, ya que no hay garantía de que el pago te ayude a restaurar la conexión a tus archivos.

Ransomware PCLock

PCLock es otro ransomware que intenta asustar a sus víctimas cifrando sus archivos.

Este procedimiento generalmente se inicia con la ayuda del cifrado XOR.

No es tan agresivo como la versión original de CryptoLocker, por lo que podrías deshacerte de él eliminando su archivo principal WinCL.exe y otros archivos con la ayuda de un software de seguridad.

La nota de rescate se llama last_chance.txt; no la pagues para desbloquear los archivos cifrados.

CryptoTorLocker2015

CryptoTorLocker2015 es capaz de infectar el sistema operativo Windows y Android.

Una vez hecho esto, utiliza el cifrado XOR para bloquear los archivos de la víctima.

Si tu sistema está lleno de valiosas fotografías o documentos comerciales, ten en cuenta que puedes perderlos.

Los archivos infectados generalmente están marcados con la extensión .CryptoTorLocker2015 y debes encontrar la nota de rescate, llamada AS DECRYPT FILES.txt, en tu escritorio.

Para eliminar este virus, los usuarios de Android solo necesitan desinstalar la aplicación afectada, que se utilizó para descargar el virus CryptoTorLocker en sus computadoras.

Se recomienda a los usuarios del sistema operativo Windows que utilicen un software antivirus o antispyware de buena reputación para la eliminación de CryptoTorLocker2015.

Crypt0 ransomware

El ransomware Crypt0 se descubrió en septiembre de 2016.

Este ransomware deja una nota de rescate HELP_DECRYPT.TXT, que informa a la víctima del ataque y solicita usar contactfndimaf@gmail.com para obtener instrucciones de descifrado de datos.

¡Tu computadora está infectada con CryptoLocker! ransomware

¡Tu computadora está infectada con CryptoLocker! ransomware es otra versión de CryptoLocker que se dirige a los usuarios de habla italiana.

Al igual que su predecesor, este ransomware modifica las extensiones de archivo (usa la extensión .locked) y le ofrece a la víctima una cantidad de tiempo para pagar.

Actualmente, los investigadores de malware desconocen la existencia de una herramienta de descifrado gratuita.

Virus ransomware CryptoLocker 5.1

El virus ransomware CryptoLocker 5.1 se lanzó en 2016.

Desde su primera aparición, ha trabajado para infectar a los usuarios italianos.

Alternativamente, también se conoce como «¡Su computadora está infectada con CryptoLocker!».

Aunque intenta disfrazarse como una ciberamenaza notoria, los expertos en TI sospechan que no es tan potente como la versión original.

Virus ransomware CryptoLocker3

El virus ransomware CryptoLocker3 es un malware que también se puede llamar ransomware de pantalla de bloqueo.

Dicho virus en realidad no cifra los archivos de la computadora, pero impide que sus víctimas accedan a ellos y utilicen las funciones normales.

Sin embargo, después de varios meses de funcionalidad, CryptoLocker3 ha entrado en otra subsección donde el malware se comporta como el virus ransomware original.

Este parásito utiliza el algoritmo de cifrado XOR y agrega la extensión de archivo .cryptoLocker.

CryptoLocker MNS

MNS CryptoLocker es otro virus ransomware que usa el nombre de CryptoLocker.

Después de cifrar los archivos personales de la víctima, el ransomware publica su nota de rescate pidiéndole a la víctima que envíe 0.2 BTC a través de Tor u otras redes anónimas.

El virus no agrega nuevas extensiones a los archivos de destino, por lo que solo nota la infección cuando intenta abrir uno.

Virus ransomware CryptoLockerEU

El virus ransomware CryptoLockerEU se detectó en enero de 2017.

Parece ser una copia modificada del virus CryptoLocker inicial.

El virus se llama CryptoLockerEU 2016 Rusia, lo que indica que fue desarrollado en 2016 por piratas informáticos rusos.

Durante el procedimiento de encriptación de datos, el virus encripta archivos usando un algoritmo RSA-2048.

El nombre de la nota de rescate debería verse así: РАСШИФРОВАТЬ ФАЙЛЫ.txt.

Sin embargo, debido a un error en el código fuente del virus, aparece como ĐŔŃŘČÔĐÎ ŔŇÜ ÔŔÉËŰ.txt.

CryptON

El ransomware portugués CryptoLocker o CryptON es la última variante del ransomware relacionado con CryptoLocker.

Algunos creen que puede haber sido lanzado por el mismo grupo de piratas informáticos porque utiliza un código fuente similar y muestra la naturaleza típica de CyptoLocker en la computadora infectada.

Lo más interesante es que este virus está dirigido a usuarios de habla portuguesa ya que la nota de rescate y la interfaz de pago de rescate se presentan en este idioma.

Los archivos cifrados se renombran de la siguiente manera: [nombre de archivo] .id- [ID de víctima] _steaveiwalker@india.com_.

Para recuperar el acceso a los archivos, las víctimas deben pagar el rescate habitual.

Consejos sobre cómo proteger sus archivos del virus criptográfico

A continuación, te proponemos varios consejos para prevenir el ataque de un ransomware:

• Nunca confies en los anuncios engañosos que pretenden propagar virus;
• Asegúrate de eliminar el correo no deseado y verificar los correos electrónicos que te envíen remitentes desconocidos;
• Recuerda desactivar las extensiones ocultas (si utilizas el sistema operativo Windows);
• Descarga un antivirus fiable en tu computadora;
• Realiza copias de seguridad con la mayor frecuencia posible, ya que esto puede ayudarte a recuperar los archivos encriptados;
• Utilizar Google Drive, Dropbox, Flickr, etc.

Sin embargo, tenga en cuenta que este virus puede acceder a estas ubicaciones de almacenamiento online a través de su conexión a Internet y también cifrar estos archivos.

Por lo tanto, te recomiendo que almacenes copias de seguridad de datos en dispositivos de almacenamiento extraíbles como discos duros o USB.

Cómo eliminar CryptoLocker

A continuación, proponemos dos métodos para eliminar CryptoLocker de tu sistema infectado y recuperar los datos de forma independiente.

Sin embargo, recuerda que la mejor idea es contactar con una empresa especializada, como HelpRansomware.

Método 1: usar el modo seguro con funciones de red

Para eliminar este ransomware con el modo seguro con funciones de red, sigue los siguientes pasos.

Ten en cuenta que, como hemos visto antes, este ransomware tiene diferentes versiones.

Es probable que algunas intenten evitar que ejecute el software de seguridad y eliminarlo de su computadora.

Si te encuentras en tal situación, pasa al siguiente párrafo para averiguar cómo hacerlo.

El primer paso es reiniciar tu ordenador, en modo seguro, con funciones de red. Para Windows 7 / Vista / XP:

• Clica en Inicio;
• Pulsa Apagar;
• Pincha en Reiniciar;
• Clica en Aceptar;
• Cuando la computadora esté activa, presiona F8 varias veces hasta que aparezca la ventana Opciones de arranque avanzadas;
• En la lista, selecciona Modo seguro con funciones de red.

Para eliminar ransomware de Windows 10 / Windows 8:

• Presiona el botón de encendido de Windows en la pantalla de inicio de sesión;
• Mantén presionada la tecla Shift en tu teclado y haz clic en Reiniciar;
• Selecciona Solucionar problemas;
• Clica Opciones avanzadas;
• Pulsa Configuración de inicio;
• Presiona Reiniciar;
• Una vez que la computadora está en funcionamiento, selecciona Habilitar el modo seguro con funciones de red, en la ventana Configuración de inicio;
• Selecciona Habilitar el modo seguro con redes.

El segundo paso es eliminar CryptoLocker:

• Inicia sesión en tu cuenta infectada e inicia tu navegador;
• Descarga un programa antivirus y actualizarlo antes de un escaneo completo del sistema;
• Elimina los archivos maliciosos, que pertenecen a tu ransomware.

Método 2: restaurar sistema

Si el ransomware bloquea el modo seguro con funciones de red, prueba este otro método.

El primer paso es reiniciar tu ordenador, en modo seguro, como hemos visto anteriormente, en el método 1.

El paso 2 es restablecer los archivos y la configuración del sistema:

•  Una vez que aparezca el símbolo del sistema, ingresar CD de restauración y clicar Enter;
• Escribir rstrui.exe y presionar Enter, nuevamente;
• En la siguiente ventana, clicar en Siguiente y seleccionar el punto de restauración antes de la infiltración de CryptoLocker;
• Clicar en Siguiente;
• Cuando aparezca la ventana Restaurar sistema, selecciona Siguiente;
• Hacer clic en Sí para iniciar la restauración del sistema;
• Restaurar el sistema a una fecha anterior;
• Descargar un antivirus y escanear el ordenador para asegurarte de que la eliminación de CryptoLocker se ha realizado correctamente.

Cómo recuperar tus datos

La guía presentada anteriormente debería ayudarte a eliminar CryptoLocker de tu computadora.

Abrir archivos cifrados y hacerlos utilizables de nuevo es más complicado.

Lo importante es que no pagues el rescate porque no tienes garantía de recibir la clave de descifrado.

Si crees que has sido infectado con CryptoLocker, existe una gran posibilidad de que este no sea el caso.

El virus original fue derrotado hace varios años y ya no se distribuye.

Si la nota de rescate dice que está infectado con este virus específico, puede que no sea cierto.

Algunos virus fingen ser este temible ransomware solo para asustar a la víctima.

Y algunas versiones falsas de este malware se pueden descifrar.

Te recomendamos que ejecutes un análisis del sistema para averiguar cuál es el nombre real del virus.

También, puedes contactar con HelpRansomware, proporcionando el nombre de la nota de rescate, las extensiones de los archivos, la imagen que aparece en el escritorio y resto de información.

Conclusiones

A través de esta guía, hemos descubierto las doce versiones de CryptoLocker y las herramientas para su eliminación.

De este artículo, podemos extraer las siguientes conclusiones:

• CryptoLocker es un virus activo, desde septiembre de 2013;
• El virus terminó el 2 de junio de 2014;
• Han surgido nuevas versiones, aunque no relacionadas con la original;
• Los autores combinan diferentes técnicas para difundir este tipo de ransomware.

Desde HelpRansomware se aconseja no pagar nunca el rescate y ponerse en contacto con los expertos para solucionar el cifrado de datos.