Virus ransomware CryptoMix. ¿Cómo eliminar? (Guía de desinstalación de)

por Jake Doevan - - | Escribe: Ransomware
12

Una nueva variante de CryptoMix ha sido lanzada en Julio de 2017An image of CryptoMix virus

CryptoMix es un virus de encriptación de archivos que ha sido descubierto en la primavera del 2016 y se ha actualizado varias veces desde entonces. Los expertos en seguridad han logrado romper el código de varias variantes y crear un programa de desencriptación. No obstante, los ciber criminales han lanzado nuevas versiones del ransomware.

Un Julio del 2017, los analistas han descubierto una nueva variante difundiéndose por Internet. Justo igual que las versiones anteriores de CryptoMix Wallet y el ransomware Azer, recientemente ha aparecido el virus ransomware Exte, que tampoco es desencriptable por el momento. Por ello, es mejor tomar precauciones para evitar estos virus.

Este crypto-malware se infiltra silenciosamente en los ordenadores de las víctimas con la ayuda del spam. Una vez que hace esto, encuentra los archivos predeterminados y los encripta con un sofisticado algoritmo de encriptación RSA-2048. Originalmente, el malware añadía las extensiones de archivo email[supl0@post.com]id[\[[a-z0-9]{16}\]].lesli o .lesli a los archivos.

Otras variantes pueden marcar los archivos encriptados con las extensiones .CRYPTOSHIELD.code.revenge.scl.rscl.rdmk, .rmd, .wallet.azer, .Mole02, .EXTE, etc.

Cuando los archivos quedan encriptados, el ransomware coloca una nota de pago llamada INSTRUCTION RESTORE FILES.TXT donde se pide a las víctimas contactar con los ciber criminales a través de la dirección email provista (xoomx[@]dr.com y xoomx[@]usa.com) con el fin de obtener una clave de desencriptación especial que está normalmente almacenada en una carpeta remota.

Las versiones actualizadas usan diferentes notas de pago, como _HELP_INSTRUCTION.TXT, !!!HELP_FILE!!! #, # RESTORING FILES #.HTML o # RESTORING FILES #.TXT.

Para acceder a la clave de desencriptación, la víctima tiene que pagar una considerable cantidad de dinero en forma de multa. No obstante, tienes que preocuparte antes de la eliminación de CryptoMix, ya que puede fácilmente encriptar otros archivos. La eliminación del ransomware requiere la instalación de un poderoso programa de eliminación de malware, como Reimage, y ejecutar una comprobación completa del sistema con ella.

Este crypto-malware es similar a los virus CryptoWall 3.0, CryptoWall 4.0 o CryptXXX. Sin embargo, a diferencia de estos programas maliciosos, CryptoMix declara que el beneficio reunido es usado para una buena causa – la caridad.

Los desarrolladores del ransomware, se denominan así mismos el “Cham Team”, y también han estado ofreciendo un “Soporte técnico gratuito” para aquellas personas que deciden pagar. Dejando a un lado todas estas extrañas promesas, deberías recordar que estás tratando con ciber criminales reales, por lo que no hay necesidad de seguir sus órdenes y apoyar este sucio negocio.

Incluso si decides pagar a cambio de recuperar tus archivos debes tener en cuenta que esto puede no darte acceso a la clave de desencriptación que necesitas para poder obtener tus archivos de vuelta.

Por ello, nosotros no te recomendamos que sigas las órdenes de los hackers provistas en el archivo INSTRUCTION RESTORE FILE.TXT. Este mensaje que pide dinero aparece en cada carpeta que contiene datos encriptados. El virus CryptoMix encripta una increíble cantidad de 862 tipos de archivos diferentes. Con esto, es imposible pasarlo por alto.

Con respecto al contenido de la nota de pago, los ciber criminales informan a la víctima de dos diferentes emails, oomx[@]dr.com y xoomx[@]usa.com, y que deben ser usados para contactar con los desarrolladores del ransomware CryptoMix y recuperar los archivos afectados.

Tras contactar con los hackers, se le envía a la víctima una enlace y una contraseña a un servicio de web One Time Secret que puede ser usado para intercambiar mensajes anónimos con los hackers. Primero, los hackers pueden intentar convencer a la víctima para que pague por el bien de la caridad. Por supuesto, nosotros no encontramos a nadie que vaya a pagar 1900$ a cambio de sus archvios.

Además, los ciber criminales pueden empezar a amenazar con que la multa se doblará si la víctima no paga en un plazo de 24 horas. La cosa más interesante es que puedes recibir un descuento tras contactar con estos hackers. En cualquier caso, no te recomendamos que lo hagas.

Deberías eliminar el virus CryptoMix en cuanto te des cuenta de que no puedes acceder a tus archivos. No obstante, deberías recordar que la eliminación del virus no recuperará tus archivos. Para ello, necesitas usar los pasos de desencriptación de datos provistos al final de este artículo. Si no estás infectado aún, asegúrate de que tus datos están en lugar seguro antes de que el ransomware alcance tu ordenador.

An illustration of the CryptoMix ransomware virus

Versiones del virus CryptoMix

Virus ransomware CryptoShield 1.0Este nuevo virus se ha detectado en páginas webs pobremente protegidas y en infectadas. Los visitantes regulares de dominios de torrents o de compartición de archivos se arriesgan a acabar siendo víctima de este virus. Empleando la cadena de ataques ElTest y el exploit kit RIG es todo el contenido necesario para el hackeo del virus CryptoShield.

Una vez las prepraciones de infección son completadas, la amenaza inicia mensajes falsos para engañar a los usuarios de que estas notificaciones son el resultado de procesos normales de Windows. Sin embargo, no es difícil darse cuenta de que esto es una estafa, ya que las notificaciones contienen evidentes errores gramaticales.

Interesantemente, esos cabezales de engranaje combinan las técnicas de encriptación AES-256 y ROT-13 para bloquear los datos del usuario. Mientras que el último es muy simple, el primero aún causa un gran quebradero de cabeza para los especialistas informáticos. Desafortunadamente, la amenaza puede eliminar las copias de volumen de lo datos que son un medio para las víctimas de recuperar sus datos. En cualquier caso, no es recomendable pagar.

Virus .codeEste malware se distribuye a través de emails spam que tienen un archivo adjunto malicioso. Una vez que el usuario abre el archivo adjunto, la carga explosiva del malware entra en el sistema y comienza con el procedimiento de encriptación de datos. El virus usa el algoritmo de encriptación RSA-2048 y añade la extensión de archivo .code.

Cuando todos los archivos son bloqueados, el ransomware coloca una nota de pago llamada “help recover files.txt” donde se pide a las víctimas contactar con los desarrolladores a través de las direcciones email xoomx_@_dr.com o xoomx_@_usa.com. Sin embargo, hacer esto no es recomendable, ya que los ciber criminales pedirán transferir 5 Bitcoins por la clave de desencriptación. Ésta es una gran cantidad de dinero, y no deberías arriesgarte a perderla. Es mejor eliminar primero el virus .code.

Virus ransomware CryptoShield 2.0.  Esta versión difiere de las variantes más tempranas de CryptoShield. Tras la infiltración, comienza el procedimiento de encriptación usando el algoritmo RSA-2048 y añadiendo la extensión .CRYPTOSHIELD a cada archivo afectado.

Luego el malware crea dos nuevos archivos en el escritorio llamados # RESTORING FILES #.txt y # RESTORING FILES #.html. Estos archivos incluyen instrucciones sobre cómo recuperar los datos codificados. En la nota de pago, los ciber criminales proporcionan varias direcciones emails (res_sup@india.com, res_sup@computer4u.com o res_reserve@india.com) para aquellas víctimas que quieran pagar.

No obstante, hacer esto no es para nada recomendable. Si quedas infectado con esta versión de CryptoMix, elimina el virus del ordenador y usa copias de seguridad o métodos de recuperación alternativos para restaurar tus archivos.

Virus ransomware Revenge. Este virus de encriptación de archivos se distribuye como troyano a través de exploit kits RIG. Tras la infiltración, comprueba el sistema buscando archivos específicos y los encripta usando un algoritmo AES-256. Tal y como su nombre sugiere, el malware añade la extensión de archivo .revenge a cada archivo corrompido y los hace imposible de abrir o usar.

Aún así, los ciber criminales dan instrucciones sobre cómo recuperar el acceso a los datos encriptados en la nota de pago llamada !!!HELP_FILE!!! #.txt. Aquí se pide a las víctimas contactar con los ciber criminales a través de las direcciones email provistas: restoring_sup@india.com, restoring_sup@computer4u.com, restoring_reserve@india.com, rev00@india.com, revenge00@witeme.com, and rev_reserv@india.com.

Si la gente decide hacer esto (para nada recomendado), les piden transferir una cantidad particular de moneda Bitcoin con el fin de obtener el Desencriptador Revenge. Queremos anotar que este trato puede acabar con una pérdida de dinero o con otros ataques de malware. Además, los archivos encriptados seguirán siendo inaccesibles.

Virus ransomware Mole. Esta versión de CryptoMix viaja a través de emails desleales que informan sobre problemas de envíos USPS. Una vez que la gente hace click en un enlace o archivo adjunto provisto en el email, instalan un archivo ejecutable de Mole en el sistema. En el ordenador afectado, el malware inmediatamente comienza el procedimiento de encriptación y bloquea los archivos usando una clave de bloqueo RSA-1024.

Con el fin de hacer que el ataque sea incluso más dañino, el malware también elimina las Copias de Volumen. Por ello, la recuperación de datos sin un programa específico de desencriptación es casi imposible si la víctima no tiene copias de seguridad. Siguiendo la encriptación de los datos, el ransomware Mole coloca una nota de pago “INSTRUCTION_FOR_HELPING_FILE_RECOVERY.TXT” donde se dice a las víctimas que deben contactar con los ciber criminales en 78 horas.

Las víctimas deben enviar su único número ID a las direcciones email oceanm@engineer.com o oceanm@india.com. Sin embargo, hacer esto no es recomendable ya que se pedirá transferir una gran cantidad de dinero para supuestamente obtener un cuestionable programa de desencriptación. Tras el ataque del ransomware, las víctimas deberían centrarse primero en la eliminación del malware.

Virus ransomware CryptoMix Wallet. Esta variante del ransomware usa la encriptación AES y añade la extensión .wallet a los archivos afectados por el virus ransomware Wallet. Aún así, el malware también renombra a los archivos. El nombre de los archivos encriptados incluye un dirección email de los ciber criminales, un número ID de la víctima y una extensión de archivo: .[email@address.com].ID[16 unique characters].WALLET.

Una vez que los archivos son encriptados, las víctimas reciben un falso mensaje explorer.exe Application Error que se genera para engañar a las víctimas y hagan click en el botón OK. Hacer click en este botón lleva a una ventana de Control de Cuenta del Usuario. Estas alteraciones no se irán hasta que el usuario no haga click en la opción “Sí”. Es entonces cuando el malware comienza a eliminar las copias de volumen de los datos.

Por último, el malware coloca una nota de pago “#_RESTORING_FILES_#.txt” donde se pide a las víctimas enviar un único número de ID a una de estas direcciones email: hield0@usa.com, admin@hoist.desi, y crysis@life.com. Luego, los ciber criminales proporcionarán el coste del programa de desencriptación. No obstante, confiar en los criminales no es recomendable. Aún así, el ransomware es aún indescifrable; nosotros no te recomendamos que asumas el riesgo de perder tu dinero o quedar infectado con otro malware. Tras el ataque, emplea un programa de seguridad profesional y elimínalo del dispositivo.

Virus ransomware Mole02. Mole02 es otra versión de la descrita familia de ransomware, y añade la extensión de archivo .mole02 a los datos encriptados. Utiliza los cifradores de encriptación RSA y AES para bloquear los archivos de la víctima. El virus apareció por primera vez en Junio del 2017 y ha infectado con éxito miles de ordenadores por todo el mundo.

El virus usa _HELP_INSTRUCTION.TXT como nota de pago. Guarda este documento en el escritorio para informar a la víctima sobre el ciber ataque y demanda dinero. Aún así, las víctimas no tienen que pagar si tienen copias de seguridad – los expertos en malware han lanzado un desencriptador para Mole02 que restaura los archivos corruptos de manera totalmente gratuita.

Virus ransomware Azer. El virus AZER CryptoMix es la última versión de este grupo de ransomware que apareció justo tras lanzarse el desencriptador para Mole02. La nueva versión usa las extensiones .-email-[webmafia@asia.com].AZER o .-email-[donald@trampo.info.AZER para marcar los datos encriptados. El virus corrompe el nombre original del archivo también.

La nota de pago colocada por este virus se llama _INTERESTING_INFORMACION_FOR_DECRYPT.TXT. Es muy breve y simplemente sugiere que se escriba a una de las direcciones emails que aparecen para obtener instrucciones de recuperación de datos. Por supuesto, los criminales no planean desencriptar tus archivos gratuitamente. Normalmente demandan un pago, sin embargo, en este momento la cantidad se desconoce. Desafortunadamente, actualmente, no hay herramientas capaces de desencriptar los archivos .azer.

Virus ransomware Exte. Este versión del ransomware apareción en Julio del 2017. El nombre del virus revela que añade la extensión .EXTE a los archivos encriptados. Una vez que todos los archivos quedan bloqueados, el malware descarga una nota de pago llamada _HELP_INSTRUCTION.TXT. Aquí se pide a las víctimas enviar su único número ID a las direcciones email exte1@msgden.net, exte2@protonmail.com o exte3@reddithub.com y esperar respuesta con las instrucciones de recuperación.

Actualmente, la cantidad a pagar se desconoce. Parece que los autores del ransomware han deciden la cantidad del pago dependiendo de la cantidad de datos a descifrar. A pesar del hecho de que no se ha lanzado un desencriptador para Exte aún, no te recomendamos que pagues.

Estrategias de distribución del virus ransomware

No hay una técnica exclusiva según la cual el virus CryptoMix pueda entrar en tu ordenador. Puedes quedar infectado haciendo click en notificaciones sospechosas, en botones de descarga, lo puedes obtener a través del P2P (redes de compartición de archivos).

Aún así, lo más común es descargar un archivo adjunto en un email desconocido, como una factura, un informe de negocios o similares documentos. Algunas versiones del malware son conocidas por ser distribuidas como falsas notificaciones de envíos de paquetería. Debes tener mucho cuidado con estos emails y siempre comprobar doblemente la información antes de abrir los archivos adjuntos, enlaces o botones.

Por ello, es importante no solo obtener un poderoso antivirus en el sistema y esperar los mejores resultados, sino también poner todos los esfuerzos para prevenir el virus CryptoMix en tu ordenador. Varias versiones del malware usan exploit kits y troyanos para infiltrarse en el sistema. Para protegerte o proteger tu negocio, asegúrate de:

  • Analizar los emails recibidos de remitentes desconocidos;
  • Dedicar algo de tiempo extra en investigar cuando instalas nuevos programas descargados;
  • Comprobar la confiabilidad de los sitios que decides visitar para prevenir la infiltración del ransomware CryptoMix;
  • Tomarse algo de tiempo para instalar los nuevos programas es también un factor importante que puede ayudarte a evitar la infiltración de troyanos usados para cargar el virus.

Guía para eliminar el virus CryptoMix

No es solo posible, sino un deber eliminar CryptoMix del equipo infectado. De otro modo, tus futuros archivos estarán también en peligro. Debemos avisarte, sin embargo, de que desinstalar virus ransomware puede ser problemático.

Estos programas maliciosos pueden intentar bloquear tus programas antivirus e impedir que escanees el sistema. En este caso, puede que tengas que tratar con este virus manualmente para que pueda funcionar tu antivirus. Una vez lo hagas, puedes instalar Reimage, Plumbytes Anti-MalwareWebroot SecureAnywhere AntiVirus o Malwarebytes Anti Malware para limpiar tu PC.

Encontrarás las instrucciones para eliminar manualmente CryptoMix, preparadas por nuestro equipo de expertos al final de este artículo. No dudes en enviarnos un mensaje si encuentras cualquier problema relacionado con la eliminación de este virus.

 

 

Podemos estar afiliados con cualquier producto que recomendamos en nuestro sitio. Publicación completa en nuestros Acuerdos de Uso. Al descargar cualquier proporcionado software anti-spyware para eliminar Virus ransomware CryptoMix está de acuerdo con nuestra política de privacidad y Acuerdo de Uso.
¡Hazlo ahora!
Descarga
Reimage (eliminador) Felicidad
Garantía
Descarga
Reimage (eliminador) Felicidad
Garantía
Compatible con Microsoft Windows Compatible con OS X
¿Qué hacer si falla?
Si fallas a la hora de eliminar la infección usando Reimage, envía una pregunta a nuestro equipo de asistencia y proporciona toda la información que puedas.
Reimage es recomendado para desinstalar Virus ransomware CryptoMix. Los escaneos gratuitos te permiten comprobar si tu PC está infectado o no. Si necesitas eliminar malware, debes comprar la licencia de versión de la herramienta de eliminación de malware Reimage.

Más información sobre este programa puede ser encontrada en el análisis Reimage.

Más información sobre este programa puede ser encontrada en el análisis Reimage.
Menciones en prensa de Reimage
Menciones en prensa de Reimage

Guía de eliminación manual del virus CryptoMix:

Eliminar CryptoMix usando Safe Mode with Networking

Reimage es una herramienta para detectar malware.
Puedes necesitar comprar la versión completa para eliminar infecciones.
Más información sobre Reimage.

Algunas veces los virus ransomware bloquean programas de seguridad legítimos para protegerse de ser eliminados. En este caso, intenta reiniciar tu ordenador en Modo Seguro con Funciones de Red.

  • Paso 1: Reinicia tu ordenador para Safe Mode with Networking

    Windows 7 / Vista / XP
    1. Click en Start Shutdown Restart OK.
    2. Cuando tu ordenador esté activo, comienza a pulsar F8 múltiples veces hasta que veas la ventana de Advanced Boot Options.
    3. Selecciona Safe Mode with Networking de la lista Selecciona 'Safe Mode with Networking'

    Windows 10 / Windows 8
    1. Pulsa el botón Power en la pantalla de logueo de Windows. Ahora pulsa y mantén Shift, el cual está en tu teclado y haz click en Restart..
    2. Ahora selecciona Troubleshoot Advanced options Startup Settings y finalmente pulsa Restart.
    3. Una vez que tu ordenador esté activo, selecciona Enable Safe Mode with Networking en la ventana Startup Settings. Selecciona 'Enable Safe Mode with Networking'
  • Paso 2: Eliminar CryptoMix

    Loguéate en tu cuenta infectada y comienza a navegar. Descarga Reimage u otro programa anti-spyware legítimo. Actualízalo antes de ejecutar un escaneo completo del sistema y elimina los archivos maliciosos que pertenezcan al ransomware y completa la eliminación de CryptoMix.

Si el ransomware está bloqueando Safe Mode with Networking, intenta el método adicional.

Eliminar CryptoMix usando System Restore

Reimage es una herramienta para detectar malware.
Puedes necesitar comprar la versión completa para eliminar infecciones.
Más información sobre Reimage.

Si el Modo Seguro con Funciones de Red no te ha funcionado a deshabilitar el ransomware, intenta la Restauración del Sistema. Aún así, necesitas comprobar tu ordenador dos veces para asegurarte de que el ransomware haya sido eliminado del sistema.

  • Paso 1: Reinicia tu ordenador para Safe Mode with Command Prompt

    Windows 7 / Vista / XP
    1. Click en Start Shutdown Restart OK.
    2. Cuando tu ordenador esté activo, comienza a pulsar F8 múltiples veces hasta que veas la ventana de Advanced Boot Options.
    3. Selecciona Command Prompt de la lista Selecciona 'Safe Mode with Command Prompt'

    Windows 10 / Windows 8
    1. Pulsa el botón Power en la pantalla de logueo de Windows. Ahora pulsa y mantén Shift, el cual está en tu teclado y haz click en Restart..
    2. Ahora selecciona Troubleshoot Advanced options Startup Settings y finalmente pulsa Restart.
    3. Una vez que tu ordenador esté activo, selecciona Enable Safe Mode with Command Prompt en la ventana Startup Settings. Selecciona 'Enable Safe Mode with Command Prompt'
  • Paso 2: Restaura tus archivos del sistema y configuraciones
    1. Una vez aparezca la ventana Command Prompt, inserta cd restore y haz click en Enter. Inserta 'cd restore' sin comilla y pulsa 'Enter'
    2. Ahora escribe rstrui.exe y pulsa de nuevo en Enter.. Inserta 'rstrui.exe' sin comilla y pulsa 'Enter'
    3. Cuando una nueva ventana aparezca, haz click en Next y selecciona tu punto de restauración que sea anterior a la infiltración de CryptoMix. Tras hacer esto, haz click en Next. Cuando aparezca la ventana 'System Restore', selecciona 'Next' Selecciona tu punto de restauración y haz click en 'Next'
    4. Ahora haz click en Yes para comenzar la restauración del sistema. Haz click en 'Yes' y comienza la restauración del sistema
    Una vez que restaures tu sistema a su fecha anterior, descarga y escanea tu ordenador con Reimage y asegúrate de que la eliminación de CryptoMix se ha realizado correctamente.

Bonus: Recuperar tus datos

La guía que se presenta a continuación te intentará ayudar a eliminar CryptoMix de tu ordenador. Para recuperar tus archivos encriptados, te recomendamos que uses una guía detallada por los expertos de seguridad de losvirus.es.

Si tus archivos han sido encriptados por CryptoMix, puedes usar varios métodos para restaurarlos:

Recuperar los archivos encriptados por CryptoMix con la ayuda de Data Recovery Pro

Data Recovery Pro es una herramienta ampliamente conocida que puede ser usada para recuperar archivos que hayan sido accidentalmente eliminados. Para usarla para recuperar archivos tras la infiltración de un ransomware, sigue estos pasos:

  • Descarga Data Recovery Pro (https://losvirus.es/download/data-recovery-pro-setup.exe);
  • Sigue los pasos establecidos en Data Recovery e instala el programa en tu ordenador;
  • Ejecútalo y escanea tu ordenador en busca de los archivos encriptados por el ransomware CryptoMix;
  • Restauralos.

Usar la función Versiones Previas de Windows para obtener tus archivos tras la infiltración del ransomware CryptoMix

El método de Versiones Previas de Windows es efectivo solo si la función Restaurar Sistema estaba habilitada antes de la infiltración de este ransomware en el sistema. Ten en cuenta que puede ayudarte a recuperar solo archivos individuales en tu ordenador.

  • Encuentra un archivo encriptado que desees recuperar y haz click derecho en él;
  • Selecciona “Properties” y ve a la pestaña “Previous versions”;
  • Aquí, comprueba cada copia disponible del archivo “Folder versions”. Deberías seleccionar la versión que quieres recuperar y hacer click en “Restore”.

Usar el desencriptador de CryptoMix de AVAST Software para recuperar tus archivos

Puedes usar esta herramienta para recuperar tus archivos encriptados. Sin embargo, recuerda que puede ser usada para recuperar solo aquellos archivos que hayan sido encriptados usando una “clave offline”. Si tu versión de CryptoMix usó una clave única de un servidor remoto, este desencriptador no te ayudará.

Finalmente, deberías pensar en la protección contra crypto-ransomwares. Para poder proteger tu ordenador de CryptoMix u otros ransomwares, usa un anti-spyware legítimo, como Reimage, Plumbytes Anti-MalwareWebroot SecureAnywhere AntiVirus o Malwarebytes Anti Malware

Sobre el autor

Jake Doevan
Jake Doevan - La vida es muy corta como para perder tu tiempo con virus

Si esta guía de eliminación gratuita te ha ayudado y te sientes satisfecho con nuestro servicio, por favor, considera hacer una donación para mantener nuestro servicio funcionando. ¡Incluso las cantidades más pequeñas son bien recibidas!

Más información sobre el autor

Fuente: http://www.2-spyware.com/remove-cryptomix-ransomware-virus.html

Guías de eliminación en otros idiomas