Eliminar el virus Koti (Instrucciones de eliminación de virus) - Guía gratuita

Guía de eliminación del virus Koti

¿Qué es Ransomware Koti?

Koti es el miembro número 226 de la familia de ransomware Djvu, y apareció a mediados de Mayo de 2020

Nota del ransomware KotiEl ransomware Koti es una versión del infame ransomware STOP/Djvu

El ransmware Koti es la última versión de la infame familia de crpyto-malware Djvu. Apareció a mediados de Mayo de 2020 y ocupa el lugar 226 en la lista de variantes de virus de STOP/Djvu,, en línea con .mpal, .sqpc, covm, lalo y .mzlq A diferencia de sus predecesores, el ransomware Koti usa un modelo de encriptación RSApara bloquear los archivos no pertenecientes al sistema y usa una nota de pago estándar en un documento _readme.txt. Además, usa la extensión de archivo .loti para separar los documentos, imágenes, vídeos y fotos, bases de datos, archivos y otros datos encriptados.

Los criminales tras el ransomware Kotio están usando los emails helpmanager@mail.ch y restoremanager@firemail.ch para que contacten con ellos. Aparentemente están usando un esquema de extorsión similar ya que se les pide a las víctimas pagar 980$ en Bitcoin como multa a cambio del descifrador, aunque prometen doblar la cantidad si el pago no se realiza en 72horas.

Nombre Koti
Familia La infame familia del grupo de ransomwares STOP / Djvu
Detección En Mayo del 2020. El primer caso del ransomware fue subido a la página oficial del soporte de Emsisoft
Clasificación El virus Koti pertenece a la categoría de los grupos de malware de encriptación de datos o ransomware
Número de versión Este ransomware es actualmente la última versión de Djvu, cuyo número en la lista es el 226.
Marcador de archivos El virus usa la extensión de archivos .koti para marcar los archivos bloqueados
Modelo de encriptación RSA
Distribución Este extorsionista normalmente se distribuye a través de archivos adjuntos maliciosos en emails, redes desprotegidas RDP, redes P2P o a través de programas pirateados
Otras amenazas Una vez que la carga explosiva es ejecutada, el ransomware bloquea los archivos y coloca una nota _readme.txt que contiene una guía detallada sobre cómo pagar la multa
Condiciones del pago Los criminales instan a las víctimas a pagar 490$ si el pago es transferido en 72 horas. Si la víctima se retrasa en el pago, el precio se dobla hasta la cantidad de 980$. La única moneda aceptada es el Bitcoin
Detección No es posible detectar los archivos maliciosos del ransomware manualmente. La detección y eliminación del intruso es posible con un motor antivirus profesional.
Daño La eliminación del ransomware no asegura una recuperación completa de los archivos afectados en el sistema. Para solucionar las entradas del registro de Windows, archivos de arranque y otros componentes esenciales, usa la utilidad FortectIntego.

El ransomware Koti ha aparecido por primera vez a mediados de Mayo, ya que el ransomware Djvu es infame por sus lanzamientos regulares de versiones renovadas. El primer ejemplo de este virus fue subido al foro de soporte de Emsisoft donde la víctima presentó un archivo _readme.txt acompañado de un archivo bloqueado usando la extensión .koti.

Una investigación más profunda probó la evidencia de Koti de ser raíz de la familia de los ransomwares de Djvu. Usa una base similar para la distribución, infiltración, encriptación y extorsión. De acuerdo con sus investigadores, su carga explosiva es distribuida normalmente a través de archivos adjuntos a emails spam o programas pirateados. Además, puede ser también usado para distribuir el infame troyano AZORult como segunda carga explosiva.

Tras una exitosa infiltración, el ransomware comienza su primera etapa de desarrollo. El malware coloca múltiples procesos de inicio, ejecuta PowerShell para eliminar las Copias de Volumen de los datos y deshabilita los motores antivirus para evadir su inmediata eliminación. El ransomware Koti es también capaz de corromper los archivos de host d eWindows y establecerse automáticamente acceso al Firewall para evitar que el usuario pueda acceder a foros relacionados con la seguridad y a páginas que contengan páginas sobre como eliminar y ransomwares y recuperar archivos dañados.

Esta ciber infección no es una amenaza con la que lidiar, ya que puede costarte la permanente pérdida de archivos. La mejor solución para las víctimas es ejecutar una eliminación completa del ransomware Koti usando un programa como SpyHunter 5Combo Cleaner, Malwarebytes, u otra herramienta anti-virus profesional. Este virus de encriptación de archivos no solo encripta los datos en el ordenador afectado, sino que también coloca múltiples archivos maliciosos, comprometer el sistema severamente y descargar el troyano Azorult como carga explosiva secundaria. En consecuencia, los criminales pueden obtener acceso a tu información personalmente identificable(PII), incluyendo contraseñas guardadas, información bancaria, detalles de acceso, etc.

Los cambios que el ransomware Koti inicia pueden ser difícilmente pasados por alto. Inicialmente, ejecuta procesos maliciosos dentro del propio Administrador de Tareas, los cuales tienen un gran consumo de la CPU, que puede incrementarse significativamente. El signo más obvio que indica la presencia de este ransomware es la extensión .koti adjunta a las imágenes, archivos, documentos de Microsoft Office, vídeos y otros archivos no pertenecientes al sistema.

Ejemplo de nota de pago de KotiEl ransomware Koti es un peligroso virus de bloqueo de archivos que añade la extensión .koti a los archivos encriptados y pide a las víctimas pagar la multa

Como punto final, el virus crea una nota de pago _readme.txt en carpetas aleatorias del sistema y escritorio. La nota contiene instrucciones detalladas sobre cómo contactar con los desarrolladores del ransomware y transferirles el dinero. En resumidas cuentas, se espera que las víctimas contacten con los ladrones a través de los emails helpmanager@mail.ch y restoremanager@firemail.ch y transmitan el pago, el cual varía entre 480$ y 980$.

ATTENTION!

Don’t worry, you can return all your files!
All your files like photos, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
You can get and look video overview decrypt tool:
hxxps://we.tl/t-EEHXgjySek
Price of private key and decrypt software is $980.
Discount 50% available if you contact us first 72 hours, that’s price for you is $490.
Please note that you’ll never restore your data without payment.
Check your e-mail “Spam” or “Junk” folder if you don’t get answer more than 6 hours.

To get this software you need write on our e-mail:
helpmanager@mail.ch

Reserve e-mail address to contact us:
restoremanager@firemail.ch

Your personal ID:

De hecho, los criminales que promueven este virus ransomware extorsionan todo el dinero que sea posible. Sin embargo, nuestro mejor consejo es eliminar el ransomware Koti en primer lugar y luego intentar recuperar los archivos usando programas de terceros. No te dejes asustar por las declaraciones que dicen que perderás tus archivos permanentemente si ejecutas una comprobación con el anti-virus. Los criminales usan este y similares tácticas asustadizas para capturar a las víctimas.

Tras la eliminación del ransomware Koti, puedes empezar a pensar en métodos de recuperación de los datos encriptados. Ya que Djvu es una de las familias más grandes de ransomware, los expertos en ciber seguridad han invertido mucho tiempo en desarrollar un programa gratuito de desencriptación. Por el momento, Dr. Web Rescue Pack es la herramienta de mayor confianza para recuperar archivos. Sin embargo, no todas las variantes de Djvu pueden ser desbloqueadas por esta herramienta. En caso de fallo, intenta métodos de recuperación de datos alternativos que aparecen al final de este artículo.

Métodos que los criminales usan para distribuir ransomware

Los expertos de LosVirus.es nos han proporcionado sus hallazgos sobre los métodos que los criminales normalmente utilizan para difundir sus infecciones ransomware. De acuerdo con ellos, el medio más popular para difundir cargas explosivas maliciosas es el spam. Los hackers trampean mensajes email aparentemente de confianza imitando los estilos de varias compañías (DHL, FedEx, White House, Red Cross, etc.) y disfrazar sus ransomware bajo «confirmaciones de pedidos» infectadas o similares archivos adjuntos.

Sin embargo, los archivos ajduntos en emails spam no son los únicos transmisores de ransomwares. Los ladrones a menudo explotan vulnerabilidades en redes y conexiones de Control de Escritorio Remoto (RDP) y usan ataques de fuerza bruta para infectar los sistemas afectados. El puerto TCP 3389 es uno de los más frecuentemente atacados por los criminales para afectar fácilmente a las víctimas. Las redes P2P, ilegales o sitios hackeados, programas crackeados, keygens y otro contenido online pueden ser fácilmente explotados por hackers.

Emails spam de KotiEl ransomware Koti normalmente se distribuye a través de archivos adjuntos maliciosos en emails spam

Por ello, tener un programa anti-virus instalado no es suficiente para proteger el sistema contra malware. La conciencia del usuario es igualmente importante. Antes de nada, la gente debería preocuparse por tener copias de seguridad de sus datos, al menos de los datos más importantes, como documentos o fotos familiares. En segundo lugar, pensar dos veces si descargar un programa ilícito o visitar dominios potencialmente peligrosos.

Use a professional AV engine to remove Koti ransomware

La eliminación del ransomware Koti requiere el uso de un poderoso programa antivirus. Si nunca antes has tratado con un virus de tipo ransomware, deberías saber que la eliminación manual no es posible bajo ninguna circustancia. Los virus que encriptan archivos están construidos de una manera comprensiva ya que se infiltran en decenas de miles de archivos y se colocan en diversos puntos que conforman el sistema Windows para ejecutar comandos maliciosos.

Antes de intentar eliminar el ransomware Koti,te recomendamos que copies los archivos encriptados en almacenamientos alternativos, como en un USB o en la nube. Esta es una medida de precaución necesaria para prevenir la pérdida permanente de archivos bloqueados por el virus Koti o cualquier otro ransomware.

Para una eliminación completa de Koti, emplea SpyHunter 5Combo Cleaner, Malwarebytes o un motor antivirus alternativo de tu gusto. Tras esto, intenta recuperar los datos usando las soluciones que te proporcionamos a continuación.

Oferta
¡Hazlo ahora!
Descarga
Fortect Felicidad
Garantía
Descarga
Intego Felicidad
Garantía
Compatible con Microsoft Windows Compatible con macOS
¿Qué hacer si falla?
Si has fallado a la hora de eliminar el daño del virus usando Fortect Intego, envía tu pregunta a nuestro equipo de soporte y proporciona todos los detalles que sea posible.
Fortect Intego tiene un escáner gratuito limitado. Fortect Intego ofrece comprobaciones más profundas cuando compras su versión completa. Cuando el escáner gratuito detecta problemas, puedes solucionarlos usando las reparaciones manuales gratuitas o puedes decidir comprar la versión completa con el fin de arreglar los problemas automáticamente.
Software alternativo
Diferentes programas tienen diferentes propósitos. Si no tienes éxito arreglando los archivos corrompidos con Fortect, intenta ejecutar SpyHunter 5.
Software alternativo
Diferentes programas tienen diferentes propósitos. Si no tienes éxito arreglando los archivos corrompidos con Intego, intenta ejecutar Combo Cleaner.

Guía de eliminación manual del virus Koti

Ransomware: Eliminación manual de ransomware en Modo Seguro

Ya que los maliciosos archivos ejecutados por el ransomware Koti pueden bloquear los programas antivirus, puedes necesitar reiniciar tu ordenador en Modo Seguro para habilitar el programa de seguridad.

¡Importante! →
La guía de eliminación manual puede ser demasiado complicada para usuarios normales de ordenador. Requiere conocimiento técnico avanzado para ser seguida correctamente (si archivos vitales del sistema son eliminados o dañados, puede resultar en un compromiso completo de Windows), y también puede llevar horas completar. Por ello, te recomendamos encarecidamente que uses el método automático provisto provisto arriba.

Paso 1. Acceder en Modo Seguro con Funciones de Red

La eliminación manual de malware es mejor que sea eliminada en el ambiente de Modo Seguro.

Windows 7 / vista / XP

  1. Click en Inicio > Apagar > Reiniciar > Aceptar
  2. Cuando tu ordenador se active, empieza a pulsar el botón F8 (si esto no funciona, intenta con F2, F12, Supr etc. – todo depende del modelo de tu placa base) múltiples veces hasta que veas la ventana de Opciones de Inicio Avanzadas.
  3. Selecciona Modo Seguro con Funciones de Red desde la lista. Ransomware: Eliminación manual de ransomware en Modo Seguro

Windows 10 / Windows 8

  1. Click derecho en el botón Inicio y selecciona Configuración.
    Ransomware: Eliminación manual de ransomware en Modo Seguro
  2. Desliza hasta abajo y selecciona Actualizaciones y Seguridad.
    Ransomware: Eliminación manual de ransomware en Modo Seguro
  3. En el panel izquierdo de la ventana, elige Recuperación.
  4. Ahora desliza hasta encontrar la sección Inicio Avanzado.
  5. Click en Reiniciar ahora. Ransomware: Eliminación manual de ransomware en Modo Seguro
  6. Selecciona Solucionador de Problemas. Ransomware: Eliminación manual de ransomware en Modo Seguro
  7. Ve a opciones Avanzadas. Ransomware: Eliminación manual de ransomware en Modo Seguro
  8. Selecciona Ajustes de Inicio.  Ransomware: Eliminación manual de ransomware en Modo Seguro
  9. Pulsa Reiniciar.
  10. Ahora pulsa 5 o haz click en 5) Habilitar Modo Seguro con Funciones de Red. Ransomware: Eliminación manual de ransomware en Modo Seguro

Paso 2. Acabar con los procesos sospechosos

El Administrador de Tareas de Windows es una útil herramienta que muestra todos los procesos en segundo plano. Si el malware está ejecutando un proceso, necesitas acabar con él:

  1. Pulsa Ctrl + Shift + Esc en tu teclado para abrir el Administrador de Tareas de Windows.
  2. Click en Más detalles.
    Ransomware: Eliminación manual de ransomware en Modo Seguro
  3. Desliza hasta la sección de procesos en segundo plano y busca cualquier cosa sospechoso.
  4. Click derecho y selecciona Abrir localización del archivo.
    Ransomware: Eliminación manual de ransomware en Modo Seguro
  5. Vuelve a procesos, click derecho y selecciona Finalizar Tarea.
    Ransomware: Eliminación manual de ransomware en Modo Seguro
  6. Elimina los contenidos de la carpeta maliciosa.

Paso 3. Comprobar los programas de Inicio

  1. Pulsa Ctrl + Shift + Esc en tu teclado para abrir el Administrador de Tareas de Windows.
  2. Ve a la pestaña Inicio.
  3. Click derecho en el programa sospechoso y elige Deshabilitar. Ransomware: Eliminación manual de ransomware en Modo Seguro

Paso 4. Eliminar los archivos del virus

Los archivos relacionados con malware pueden encontrarse en varios sitios dentro de tu ordenador. Aquí están las instrucciones que pueden ayudarte a encontrarlos:

  1. Escribe Limpieza de Discos en la búsqueda de Windows y pulsa Enter.
    Ransomware: Eliminación manual de ransomware en Modo Seguro
  2. Selecciona el disco que quieras limpiar (C: es tu disco principal por defecto por lo que es probable que sea el que contenga los archivos maliciosos).
  3. Desliza por la lista de los Archivos a eliminar y selecciona lo siguiente:

    Temporary Internet Files
    Downloads
    Recycle Bin
    Temporary files

  4. Selecciona Limpiar archivos del sistema.
    Ransomware: Eliminación manual de ransomware en Modo Seguro
  5. Puedes también buscar otros archivos maliciosos ocultos en las siguientes carpetas (escribe esas entradas en la Búsqueda de Windows y pulsa Enter):

    %AppData%
    %LocalAppData%
    %ProgramData%
    %WinDir%

Una vez hayas finalizado, reinicia el PC en modo normal.

Eliminar Koti usando System Restore

Usa estos pasos para activar un punto de Restauración del sistema y prevenir que todas las actividades maliciosas continúen.

  • Paso 1: Reinicia tu ordenador para Safe Mode with Command Prompt
    Windows 7 / Vista / XP
    1. Click en Start Shutdown Restart OK.
    2. Cuando tu ordenador esté activo, comienza a pulsar F8 múltiples veces hasta que veas la ventana de Advanced Boot Options.
    3. Selecciona Command Prompt de la lista Selecciona 'Safe Mode with Command Prompt'

    Windows 10 / Windows 8
    1. Pulsa el botón Power en la pantalla de logueo de Windows. Ahora pulsa y mantén Shift, el cual está en tu teclado y haz click en Restart..
    2. Ahora selecciona Troubleshoot Advanced options Startup Settings y finalmente pulsa Restart.
    3. Una vez que tu ordenador esté activo, selecciona Enable Safe Mode with Command Prompt en la ventana Startup Settings. Selecciona 'Enable Safe Mode with Command Prompt'
  • Paso 2: Restaura tus archivos del sistema y configuraciones
    1. Una vez aparezca la ventana Command Prompt, inserta cd restore y haz click en Enter. Inserta 'cd restore' sin comilla y pulsa 'Enter'
    2. Ahora escribe rstrui.exe y pulsa de nuevo en Enter.. Inserta 'rstrui.exe' sin comilla y pulsa 'Enter'
    3. Cuando una nueva ventana aparezca, haz click en Next y selecciona tu punto de restauración que sea anterior a la infiltración de Koti. Tras hacer esto, haz click en Next. Cuando aparezca la ventana 'System Restore', selecciona 'Next' Selecciona tu punto de restauración y haz click en 'Next'
    4. Ahora haz click en Yes para comenzar la restauración del sistema. Haz click en 'Yes' y comienza la restauración del sistema
    Una vez que restaures tu sistema a su fecha anterior, descarga y escanea tu ordenador con FortectIntego y asegúrate de que la eliminación de Koti se ha realizado correctamente.

Bonus: Recuperar tus datos

La guía que se presenta a continuación te intentará ayudar a eliminar Koti de tu ordenador. Para recuperar tus archivos encriptados, te recomendamos que uses una guía detallada por los expertos de seguridad de losvirus.es.

Desafortunadamente, el desencriptador oficial para Koti aún no se ha desarrollado. Sin embargo, hay opciones útiles que puedes intentar seguir para recuperar los datos comprometidos por este virus malicioso.

Si tus archivos han sido encriptados por Koti, puedes usar varios métodos para restaurarlos:

Ejecutar una comprobación con Data Recovery Pro

Data Recovery Pro es un programa que puede ayudarte a recuperar al menos una parte de los documentos dañados por el ransomware. Sin embargo, antes de ejecutarlo, asegúrate de que inicias una exitosa eliminación de Koti.

  • Descargar Data Recovery Pro;
  • Sigue los pasos establecidos en Data Recovery e instala el programa en tu ordenador;
  • Ejecútalo y escanea tu ordenador en busca de los archivos encriptados por el ransomware Koti;
  • Restauralos.

Intentar la función de Versiones Previas de Windows

Si tenías habilitada la función de Versiones Previas de Windows en tu PC, puedes intentar recuperar tus archivos usando esta función.

  • Encuentra un archivo encriptado que desees recuperar y haz click derecho en él;
  • Selecciona “Properties” y ve a la pestaña “Previous versions”;
  • Aquí, comprueba cada copia disponible del archivo “Folder versions”. Deberías seleccionar la versión que quieres recuperar y hacer click en “Restore”.

Recuperar los Archivos usando las Copias de Volumen de los Datos

Es conocido que la mayoría de variantes del ransomware Djvu están programadas para eliminar las Copias de Volumen de los datos. Sin embargo, no está claro si el virus ransomware elimina estas copias, por lo que si ninguno de los métodos anteriores te ha ayudado, intenta usar éste.

  • Descarga Shadow Explorer (http://shadowexplorer.com/);
  • Sigue el Asistente de Configuración de Shadow Explorer e instala esta aplicación en tu ordenador.
  • Ejecuta el programa y ve hacia el menú desplegable en la esquina superior izquierda para seleccionar el disco con tus datos encriptados. Comprueba qué carpetas son ahí;
  • Click derecho en la carpeta que quieres restaurar y selecciona “Export”. Puedes también seleccionar dónde quieres que sea almacenada.

No hay ningún desencriptador oficial para Koti

Ya que Koti es una ciber infección nueva, los investigadores no han logrado hacerse con una desencriptación para este virus aún. Sin embargo, es recomendable intentar usar DrWeb Rescue Pack

Además, un miembro de los cazadores de ransomwares llamado DemonSlay365 lanzó un desencriptador para STOP gratuito que puede ayudar a la gente a desencriptar algunas de las variantes de Djvu que tengan un número de ID personal 6se9RaIxXF9m70zWmx7nL3bVRp691w4SNY8UCir0. Si ese número te ha sido generado por el ransomware Koti, puedes descargar un desencriptador desde aquí

Finalmente, deberías pensar en la protección contra crypto-ransomwares. Para poder proteger tu ordenador de Koti u otros ransomwares, usa un anti-spyware legítimo, como FortectIntego, SpyHunter 5Combo Cleaner o Malwarebytes

Recomendado para ti

Elige un apropiado navegador web y mejora tu seguridad con una herramienta VPN

El espionaje online ha tenido un gran impulso en los últimos años y la gente cada vez está más interesada en cómo proteger su privacidad online. Uno de los básicos se basa en añadir una capa más de seguridad – elegir el navegador web más privado y seguro.

No obstante, hay un modo de añadir una capa extra de protección y crear una práctica de navegación web completamente anónima con la ayuda de la VPN Private Internet Access. Este software redirige el tráfico a través de diferentes servidores, dejando tu dirección IP y geolocalización ocultas. La combinación de un navegador seguro y la VPN Private Internet Access te permitirá navegar sin sentir que estás siendo espiado o afectado por criminales.

 

Copia de seguridad de los archivos para uso posterior, en caso de ataque de malware

Los problemas de software creados por malwares o pérdidas directas de datos debido a una encriptación puede conducir a problemas con tu dispositivo o daño permanente. Cuando tienes copias de seguridad actualizadas, puedes fácilmente recuperarte tras un incidente y volver a la normalidad.

Es crucial crear actualizaciones de tus copias de seguridad sobre cualquier cambio en tus dispositivos, por lo que puedes volver al punto donde estabas trabajando antes de que el malware modificase cualquier cosa o tuvieses problemas en tu dispositivo a causa de pérdida de datos o corrupción del rendimiento.

Cuando tienes una versión previa de cada documento importante o proyecto, puedes evitar frustración y pérdidas. Es bastante útil cuando aparecen malwares de la nada. Usa Data Recovery Pro para llevar a cabo la restauración del sistema.

Sobre el autor
Linas Kiguolis
Linas Kiguolis

Si esta guía de eliminación gratuita te ha ayudado y te sientes satisfecho con nuestro servicio, por favor, considera hacer una donación para mantener nuestro servicio funcionando. ¡Incluso las cantidades más pequeñas son bien recibidas!

Contactar con Linas Kiguolis
Sobre la empresa Esolutions

Guías de eliminación en otros idiomas