La gravedad de escala:  
  (91/100)

Eliminar el virus Koti (Instrucciones de eliminación de virus) - Guía gratuita

por Linas Kiguolis - - | Escribe: Ransomware

Koti es el miembro número 226 de la familia de ransomware Djvu, y apareció a mediados de Mayo de 2020

Nota del ransomware Koti

El ransmware Koti es la última versión de la infame familia de crpyto-malware Djvu. Apareció a mediados de Mayo de 2020 y ocupa el lugar 226 en la lista de variantes de virus de STOP/Djvu,, en línea con .mpal.sqpc, covmlalo y .mzlq A diferencia de sus predecesores, el ransomware Koti usa un modelo de encriptación RSApara bloquear los archivos no pertenecientes al sistema y usa una nota de pago estándar en un documento _readme.txt. Además, usa la extensión de archivo .loti para separar los documentos, imágenes, vídeos y fotos, bases de datos, archivos y otros datos encriptados.

Los criminales tras el ransomware Kotio están usando los emails helpmanager@mail.ch y restoremanager@firemail.ch para que contacten con ellos. Aparentemente están usando un esquema de extorsión similar ya que se les pide a las víctimas pagar 980$ en Bitcoin como multa a cambio del descifrador, aunque prometen doblar la cantidad si el pago no se realiza en 72horas.

Nombre Koti
Familia La infame familia del grupo de ransomwares STOP / Djvu
Detección  En Mayo del 2020. El primer caso del ransomware fue subido a la página oficial del soporte de Emsisoft 
Clasificación El virus Koti pertenece a la categoría de los grupos de malware de encriptación de datos o ransomware
Número de versión Este ransomware es actualmente la última versión de Djvu, cuyo número en la lista es el 226.
Marcador de archivos El virus usa la extensión de archivos .koti para marcar los archivos bloqueados
Modelo de encriptación RSA
Distribución Este extorsionista normalmente se distribuye a través de archivos adjuntos maliciosos en emails, redes desprotegidas RDP, redes P2P o a través de programas pirateados
Otras amenazas Una vez que la carga explosiva es ejecutada, el ransomware bloquea los archivos y coloca una nota _readme.txt que contiene una guía detallada sobre cómo pagar la multa
Condiciones del pago Los criminales instan a las víctimas a pagar 490$ si el pago es transferido en 72 horas. Si la víctima se retrasa en el pago, el precio se dobla hasta la cantidad de 980$. La única moneda aceptada es el Bitcoin
Detección No es posible detectar los archivos maliciosos del ransomware manualmente. La detección y eliminación del intruso es posible con un motor antivirus profesional.
Daño La eliminación del ransomware no asegura una recuperación completa de los archivos afectados en el sistema. Para solucionar las entradas del registro de Windows, archivos de arranque y otros componentes esenciales, usa la utilidad Reimage Reimage Cleaner Intego.

El ransomware Koti ha aparecido por primera vez a mediados de Mayo, ya que el ransomware Djvu es infame por sus lanzamientos regulares de versiones renovadas. El primer ejemplo de este virus fue subido al foro de soporte de Emsisoft donde la víctima presentó un archivo _readme.txt acompañado de un archivo bloqueado usando la extensión .koti.

Una investigación más profunda probó la evidencia de Koti de ser raíz de la familia de los ransomwares de Djvu. Usa una base similar para la distribución, infiltración, encriptación y extorsión. De acuerdo con sus investigadores, su carga explosiva es distribuida normalmente a través de archivos adjuntos a emails spam o programas pirateados. Además, puede ser también usado para distribuir el infame troyano AZORult como segunda carga explosiva.

Tras una exitosa infiltración, el ransomware comienza su primera etapa de desarrollo. El malware coloca múltiples procesos de inicio, ejecuta PowerShell para eliminar las Copias de Volumen de los datos y deshabilita los motores antivirus para evadir su inmediata eliminación. El ransomware Koti es también capaz de corromper los archivos de host d eWindows y establecerse automáticamente acceso al Firewall para evitar que el usuario pueda acceder a foros relacionados con la seguridad y a páginas que contengan páginas sobre como eliminar y ransomwares y recuperar archivos dañados.

Esta ciber infección no es una amenaza con la que lidiar, ya que puede costarte la permanente pérdida de archivos. La mejor solución para las víctimas es ejecutar una eliminación completa del ransomware Koti usando un programa como SpyHunter 5Combo Cleaner, Malwarebytes, u otra herramienta anti-virus profesional. Este virus de encriptación de archivos no solo encripta los datos en el ordenador afectado, sino que también coloca múltiples archivos maliciosos, comprometer el sistema severamente y descargar el troyano Azorult como carga explosiva secundaria. En consecuencia, los criminales pueden obtener acceso a tu información personalmente identificable(PII), incluyendo contraseñas guardadas, información bancaria, detalles de acceso, etc.

Los cambios que el ransomware Koti inicia pueden ser difícilmente pasados por alto. Inicialmente, ejecuta procesos maliciosos dentro del propio Administrador de Tareas, los cuales tienen un gran consumo de la CPU, que puede incrementarse significativamente. El signo más obvio que indica la presencia de este ransomware es la extensión .koti adjunta a las imágenes, archivos, documentos de Microsoft Office, vídeos y otros archivos no pertenecientes al sistema.

Ejemplo de nota de pago de Koti
El ransomware Koti es un peligroso virus de bloqueo de archivos que añade la extensión .koti a los archivos encriptados y pide a las víctimas pagar la multa

Como punto final, el virus crea una nota de pago _readme.txt en carpetas aleatorias del sistema y escritorio. La nota contiene instrucciones detalladas sobre cómo contactar con los desarrolladores del ransomware y transferirles el dinero. En resumidas cuentas, se espera que las víctimas contacten con los ladrones a través de los emails helpmanager@mail.ch y restoremanager@firemail.ch y transmitan el pago, el cual varía entre 480$ y 980$.

ATTENTION!

Don’t worry, you can return all your files!
All your files like photos, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
You can get and look video overview decrypt tool:
hxxps://we.tl/t-EEHXgjySek
Price of private key and decrypt software is $980.
Discount 50% available if you contact us first 72 hours, that’s price for you is $490.
Please note that you’ll never restore your data without payment.
Check your e-mail “Spam” or “Junk” folder if you don’t get answer more than 6 hours.

To get this software you need write on our e-mail:
helpmanager@mail.ch

Reserve e-mail address to contact us:
restoremanager@firemail.ch

Your personal ID:

De hecho, los criminales que promueven este virus ransomware extorsionan todo el dinero que sea posible. Sin embargo, nuestro mejor consejo es eliminar el ransomware Koti en primer lugar y luego intentar recuperar los archivos usando programas de terceros. No te dejes asustar por las declaraciones que dicen que perderás tus archivos permanentemente si ejecutas una comprobación con el anti-virus. Los criminales usan este y similares tácticas asustadizas para capturar a las víctimas.

Tras la eliminación del ransomware Koti, puedes empezar a pensar en métodos de recuperación de los datos encriptados. Ya que Djvu es una de las familias más grandes de ransomware, los expertos en ciber seguridad han invertido mucho tiempo en desarrollar un programa gratuito de desencriptación. Por el momento, Dr. Web Rescue Pack es la herramienta de mayor confianza para recuperar archivos. Sin embargo, no todas las variantes de Djvu pueden ser desbloqueadas por esta herramienta. En caso de fallo, intenta métodos de recuperación de datos alternativos que aparecen al final de este artículo.

Métodos que los criminales usan para distribuir ransomware

Los expertos de LosVirus.es nos han proporcionado sus hallazgos sobre los métodos que los criminales normalmente utilizan para difundir sus infecciones ransomware. De acuerdo con ellos, el medio más popular para difundir cargas explosivas maliciosas es el spam. Los hackers trampean mensajes email aparentemente de confianza imitando los estilos de varias compañías (DHL, FedEx, White House, Red Cross, etc.) y disfrazar sus ransomware bajo «confirmaciones de pedidos» infectadas o similares archivos adjuntos.

Sin embargo, los archivos ajduntos en emails spam no son los únicos transmisores de ransomwares. Los ladrones a menudo explotan vulnerabilidades en redes y conexiones de Control de Escritorio Remoto (RDP) y usan ataques de fuerza bruta para infectar los sistemas afectados. El puerto TCP 3389 es uno de los más frecuentemente atacados por los criminales para afectar fácilmente a las víctimas. Las redes P2P, ilegales o sitios hackeados, programas crackeados, keygens y otro contenido online pueden ser fácilmente explotados por hackers.

Emails spam de Koti
El ransomware Koti normalmente se distribuye a través de archivos adjuntos maliciosos en emails spam

Por ello, tener un programa anti-virus instalado no es suficiente para proteger el sistema contra malware. La conciencia del usuario es igualmente importante. Antes de nada, la gente debería preocuparse por tener copias de seguridad de sus datos, al menos de los datos más importantes, como documentos o fotos familiares. En segundo lugar, pensar dos veces si descargar un programa ilícito o visitar dominios potencialmente peligrosos.

Use a professional AV engine to remove Koti ransomware

La eliminación del ransomware Koti requiere el uso de un poderoso programa antivirus. Si nunca antes has tratado con un virus de tipo ransomware, deberías saber que la eliminación manual no es posible bajo ninguna circustancia. Los virus que encriptan archivos están construidos de una manera comprensiva ya que se infiltran en decenas de miles de archivos y se colocan en diversos puntos que conforman el sistema Windows para ejecutar comandos maliciosos.

Antes de intentar eliminar el ransomware Koti,te recomendamos que copies los archivos encriptados en almacenamientos alternativos, como en un USB o en la nube. Esta es una medida de precaución necesaria para prevenir la pérdida permanente de archivos bloqueados por el virus Koti o cualquier otro ransomware.

Para una eliminación completa de Koti, emplea SpyHunter 5Combo Cleaner, Malwarebytes o un motor antivirus alternativo de tu gusto. Tras esto, intenta recuperar los datos usando las soluciones que te proporcionamos a continuación. 

 

Oferta
¡Hazlo ahora!
Descarga
Reimage Felicidad
Garantía
Descarga
Intego Felicidad
Garantía
Compatible con Microsoft Windows Supported versions Compatible con OS X Supported versions
¿Qué hacer si falla?
Si has fallado a la hora de eliminar el daño del virus usando Reimage Intego, envía tu pregunta a nuestro equipo de soporte y proporciona todos los detalles que sea posible.
Reimage Intego tiene un escáner gratuito limitado. Reimage Intego ofrece comprobaciones más profundas cuando compras su versión completa. Cuando el escáner gratuito detecta problemas, puedes solucionarlos usando las reparaciones manuales gratuitas o puedes decidir comprar la versión completa con el fin de arreglar los problemas automáticamente.
Software alternativo
Diferentes programas tienen diferentes propósitos. Si no tienes éxito arreglando los archivos corrompidos con Reimage, intenta ejecutar SpyHunter 5.
Software alternativo
Diferentes programas tienen diferentes propósitos. Si no tienes éxito arreglando los archivos corrompidos con Intego, intenta ejecutar Combo Cleaner.

Guía de eliminación manual del virus Koti:

Eliminar Koti usando Safe Mode with Networking

Ya que los maliciosos archivos ejecutados por el ransomware Koti pueden bloquear los programas antivirus, puedes necesitar reiniciar tu ordenador en Modo Seguro para habilitar el programa de seguridad.

  • Paso 1: Reinicia tu ordenador para Safe Mode with Networking

    Windows 7 / Vista / XP
    1. Click en Start Shutdown Restart OK.
    2. Cuando tu ordenador esté activo, comienza a pulsar F8 múltiples veces hasta que veas la ventana de Advanced Boot Options.
    3. Selecciona Safe Mode with Networking de la lista Selecciona 'Safe Mode with Networking'

    Windows 10 / Windows 8
    1. Pulsa el botón Power en la pantalla de logueo de Windows. Ahora pulsa y mantén Shift, el cual está en tu teclado y haz click en Restart..
    2. Ahora selecciona Troubleshoot Advanced options Startup Settings y finalmente pulsa Restart.
    3. Una vez que tu ordenador esté activo, selecciona Enable Safe Mode with Networking en la ventana Startup Settings. Selecciona 'Enable Safe Mode with Networking'
  • Paso 2: Eliminar Koti

    Loguéate en tu cuenta infectada y comienza a navegar. Descarga Reimage Reimage Cleaner Intego u otro programa anti-spyware legítimo. Actualízalo antes de ejecutar un escaneo completo del sistema y elimina los archivos maliciosos que pertenezcan al ransomware y completa la eliminación de Koti.

Si el ransomware está bloqueando Safe Mode with Networking, intenta el método adicional.

Eliminar Koti usando System Restore

Usa estos pasos para activar un punto de Restauración del sistema y prevenir que todas las actividades maliciosas continúen.

  • Paso 1: Reinicia tu ordenador para Safe Mode with Command Prompt

    Windows 7 / Vista / XP
    1. Click en Start Shutdown Restart OK.
    2. Cuando tu ordenador esté activo, comienza a pulsar F8 múltiples veces hasta que veas la ventana de Advanced Boot Options.
    3. Selecciona Command Prompt de la lista Selecciona 'Safe Mode with Command Prompt'

    Windows 10 / Windows 8
    1. Pulsa el botón Power en la pantalla de logueo de Windows. Ahora pulsa y mantén Shift, el cual está en tu teclado y haz click en Restart..
    2. Ahora selecciona Troubleshoot Advanced options Startup Settings y finalmente pulsa Restart.
    3. Una vez que tu ordenador esté activo, selecciona Enable Safe Mode with Command Prompt en la ventana Startup Settings. Selecciona 'Enable Safe Mode with Command Prompt'
  • Paso 2: Restaura tus archivos del sistema y configuraciones
    1. Una vez aparezca la ventana Command Prompt, inserta cd restore y haz click en Enter. Inserta 'cd restore' sin comilla y pulsa 'Enter'
    2. Ahora escribe rstrui.exe y pulsa de nuevo en Enter.. Inserta 'rstrui.exe' sin comilla y pulsa 'Enter'
    3. Cuando una nueva ventana aparezca, haz click en Next y selecciona tu punto de restauración que sea anterior a la infiltración de Koti. Tras hacer esto, haz click en Next. Cuando aparezca la ventana 'System Restore', selecciona 'Next' Selecciona tu punto de restauración y haz click en 'Next'
    4. Ahora haz click en Yes para comenzar la restauración del sistema. Haz click en 'Yes' y comienza la restauración del sistema
    Una vez que restaures tu sistema a su fecha anterior, descarga y escanea tu ordenador con Reimage Reimage Cleaner Intego y asegúrate de que la eliminación de Koti se ha realizado correctamente.

Bonus: Recuperar tus datos

La guía que se presenta a continuación te intentará ayudar a eliminar Koti de tu ordenador. Para recuperar tus archivos encriptados, te recomendamos que uses una guía detallada por los expertos de seguridad de losvirus.es.

Desafortunadamente, el desencriptador oficial para Koti aún no se ha desarrollado. Sin embargo, hay opciones útiles que puedes intentar seguir para recuperar los datos comprometidos por este virus malicioso.

Si tus archivos han sido encriptados por Koti, puedes usar varios métodos para restaurarlos:

Ejecutar una comprobación con Data Recovery Pro

Data Recovery Pro es un programa que puede ayudarte a recuperar al menos una parte de los documentos dañados por el ransomware. Sin embargo, antes de ejecutarlo, asegúrate de que inicias una exitosa eliminación de Koti.

  • Descargar Data Recovery Pro;
  • Sigue los pasos establecidos en Data Recovery e instala el programa en tu ordenador;
  • Ejecútalo y escanea tu ordenador en busca de los archivos encriptados por el ransomware Koti;
  • Restauralos.

Intentar la función de Versiones Previas de Windows

Si tenías habilitada la función de Versiones Previas de Windows en tu PC, puedes intentar recuperar tus archivos usando esta función.

  • Encuentra un archivo encriptado que desees recuperar y haz click derecho en él;
  • Selecciona “Properties” y ve a la pestaña “Previous versions”;
  • Aquí, comprueba cada copia disponible del archivo “Folder versions”. Deberías seleccionar la versión que quieres recuperar y hacer click en “Restore”.

Recuperar los Archivos usando las Copias de Volumen de los Datos

Es conocido que la mayoría de variantes del ransomware Djvu están programadas para eliminar las Copias de Volumen de los datos. Sin embargo, no está claro si el virus ransomware elimina estas copias, por lo que si ninguno de los métodos anteriores te ha ayudado, intenta usar éste.

  • Descarga Shadow Explorer (http://shadowexplorer.com/);
  • Sigue el Asistente de Configuración de Shadow Explorer e instala esta aplicación en tu ordenador.
  • Ejecuta el programa y ve hacia el menú desplegable en la esquina superior izquierda para seleccionar el disco con tus datos encriptados. Comprueba qué carpetas son ahí;
  • Click derecho en la carpeta que quieres restaurar y selecciona “Export”. Puedes también seleccionar dónde quieres que sea almacenada.

No hay ningún desencriptador oficial para Koti

Ya que Koti es una ciber infección nueva, los investigadores no han logrado hacerse con una desencriptación para este virus aún. Sin embargo, es recomendable intentar usar DrWeb Rescue Pack

Además, un miembro de los cazadores de ransomwares llamado DemonSlay365 lanzó un desencriptador para STOP gratuito que puede ayudar a la gente a desencriptar algunas de las variantes de Djvu que tengan un número de ID personal 6se9RaIxXF9m70zWmx7nL3bVRp691w4SNY8UCir0. Si ese número te ha sido generado por el ransomware Koti, puedes descargar un desencriptador desde aquí

Finalmente, deberías pensar en la protección contra crypto-ransomwares. Para poder proteger tu ordenador de Koti u otros ransomwares, usa un anti-spyware legítimo, como Reimage Reimage Cleaner Intego, SpyHunter 5Combo Cleaner o Malwarebytes

Sobre el autor

Linas Kiguolis
Linas Kiguolis

Si esta guía de eliminación gratuita te ha ayudado y te sientes satisfecho con nuestro servicio, por favor, considera hacer una donación para mantener nuestro servicio funcionando. ¡Incluso las cantidades más pequeñas son bien recibidas!

Contactar con Linas Kiguolis
Sobre la empresa Esolutions

Fuente: https://www.2-spyware.com/remove-koti-ransomware.html

Guías de eliminación en otros idiomas


Tu opinión con respecto a Koti ransomware