Hades Locker sobrepasa al ransomware Wildfire y sorprende a los analistas de malware
La aparición del virus Hades Locker muestra que los autores del ransomware Wildfire han decidido no cometer más errores y construir un firme ransomware – el virus Hades Locker. En el pasado, los analistas de malware lograron poner este virus bajo control tras derribar los servidores de Comando y Control. Sin embargo, el ransomware Hades Locker es un nuevo tipo de ransomware, de la misma gente que estaba detrás de WildFire, y parece que esta vez los ladrones han logrado desarrollar el programa cuidadosamente – esta vez, puede no ser posible desencriptar Hades Locker. Una vez instalado, este software malicioso carga el sitio http://ip-ap.com/xml, el cual determina dónde irá la víctima, incluyendo la información como código nacional, nombre de la región, código postal, proveedor de Internet, dirección IP e incluso coordina el lugar donde está situado el ordenador comprometido. Luego envía esta información al servidor de C&C. El servidor responde entonces al inmundo virus y muestra una única clave de desencriptación, la cual puede ser usada para bloquear los archivos de la víctima. Durante la encriptación, el malware Hades Locker añade específicas extensiones de archivo que consisten en .~HL y los primeros cinco símbolos de la contraseña de encriptación. Debe puntualizarse que el programa está configurado para atacar a un gran rango de tipos de archivos, por lo que una vez que encuentra un archivo particular con una determinada extensión de archivo incluida en la lista, lo encripta. Por supuesto, el virus se salta algunas carpetas para mantener el ordenador ejecutándose y estos directorios son:
- Papelera de Reciclaje;
- Windows;
- Archivos de Programa
- Archivos de Programa (x86);
- Información de Volumen del Sistema

Luego el virus coloca una nota de pago en cada carpeta que contenga al menos, un archivo encriptado. La nota de pago normalmente llega en tres formatos diferentes:
- README_RECOVER_FILES_[victim’s ID].html;
- README_RECOVER_FILES_[victim’s ID].png;
- README_RECOVER_FILES_[victim’s ID].txt.
La nota también abre un Notepad, un visualizador de media o un navegador, dependiendo del formato del archivo. Estas notas contiene la misma información que cualquier otro virus ransomware – las instrucciones sobre cómo desencriptar los datos encriptados. A la víctima se le pide descargar el navegador TOR, acceder a un sitio web particular y pagar para obtener la clave de desencriptación. Hade Locker pide aproximadamente una cantidad de 600$, 500€ o 400 Libras, y de acuerdo con los ciber criminales, esta suma de dinero se debe pagar en moneda Bitcoin (sobre 1 Bitcoin) y debe transferirse a una dirección Bitcoin proporcionada. Además, el sitio de pago Hade Locker proporciona varias páginas adicionales, incluyendo FAQ, Test Decrypt, Decryption Tutorial y Helpdest. Esto es lo que hemos aprendido sobre esas páginas:
- Mientras que los proyectos típicos de ransomware permiten a la víctima probar la herramienta de desencriptación, fue imposible subir algún archivo a la página de Test Decryption, lo cual nos genera sospechas sobre que no pueda existir ninguna herramienta de desencriptación.
- La página Help Desk permite insertar y enviar un mensaje a los autores del ransomware.
- La sección de Decryption Tutorial proporciona un breve tutorial con imágenes explicando cómo desencriptar tus archivos con el desencriptador Hade Locker.
- La página FAQ proporciona respuestas a preguntas populares que realizan las víctimas. Lo que es interesante es que los criminales explican por qué las víctimas deberían confiar en ellos y pagar – de acuerdo con ellos, si no proporcionaran una herramienta de desencriptación que funcionase, la palabra se extendería rápido y nadie pagaría.
Si tus archivos han quedado encriptados por el ransomware Hade Locker, por favor, échale un ojo a cualquier copia de seguridad en la que tengas grabados tus datos – no te recomendamos que pagues nada. Antes de tomar cualquier medida con respecto a la desencriptación de datos, por favor, elimina el virus Hade Locker primero usando FortectIntego, SpyHunterCombo Cleaner o cualquier otro programa anti-malware poderoso. ¡Debes finalizar la eliminación de Hade Locker antes de desencriptar tus archivos!
¿Cómo prolifera este virus?
Desafortunadamente, el virus es muy nuevo y no se sabe qué métodos usa este ransomware para difundir archivos ejecutables maliciosos. Por ello, motivamos a los usuarios a tomar medidas mandatorias de seguridad tales como:
No abrir emails sospechosos enviados por individuos desconocidos – los ransomware proliferan principalmente a través de campañas de email de spam. Estos emails infecciosos están suplementados con archivos adjuntos maliciosos o links incluidos en el mensaje, los cuales, al ser abiertos, colocan la carga del ransomware en el sistema. Evita también hacer click en anuncios sospechosos que aparezcan de forma agresiva en tu pantalla cada vez que navegas. Te recomendamos encarecidamente que evites hacer click en anuncios que tengan contenido adulto o de sitios de juegos y apuestas. Nunca aceptes instalar ningún tipo de programa o actualización de sitios que no tengan nada que ver con el desarrollador de tal programa. Estas descargas engañosas están normalmente repletas de archivos ejecutables maliciosos. Instala un programa anti-malware que pueda protegerte de los sitios de Internet de alto riesgo y que bloquee las descargas maliciosas.
¿Cómo eliminar el ransomware Hades Locker?
Los virus ransomware, como el virus Hades Locker, tienden a ser obstinados y evitan irse del sistema; además, no proporcionan desinstaladores, por lo que toma mucho tiempo y esfuerzo eliminarlos del sistema. No obstante, con una herramienta anti-malware actualizada, puedes eliminar Hades Locker y sus archivos bastante rápidamente. Para ejecutar el programa anti-malware o descargarlo de Internet, necesitarás ejecutar el sistema en Modo Seguro con funciones de red. Para ello, sigue la guía de eliminación de Hades Locker:
¿Te ha resultado útil esta guía?
Sé el primero en comentar