Saltar al contenido
  • Activa
  • Gravedad: Alta
  • Ransomware
  • Windows
  • Verificado · Mar 2019

Ransomware Thanatos¿Cómo eliminar?

Una guía de eliminación paso a paso para los dispositivos afectados. Sigue el procedimiento verificado a continuación: la mayoría de los lectores la completa en menos de 10 minutos.

Olivia Morelli · Editor sénior de seguridad

Thanatos – un virus ransomware descifrable que se difunde activamente

Ransom note by Thanatos ransomware

Thanatos es un virus ransomware que pertenece a la familia de criptowares. Está escrito en lenguaje de programación Thanatos.pdb y se difunde principalmente a través de archivos maliciosos adjuntos en emails spam. En cuanto la infiltración tiene éxito, el ransomware activa la carga y bloquea todos los archivos usando el algoritmo AES para hacer que los archivos del ordenador queden bloqueados. Para diferenciar los archivos bloqueados, el virus añade la extensión de archivo .THANATOS a los archivos afectados y coloca el archivo «the README.txt» donde se pide a las víctimas contactar con los hackers a través del email [email protected] y piden pagar 0,01 Bitcoin a cambio de la clave de descifrado.

Nombre Thanatos
Tipo Ransomware
Extensión de archivo .THANATOS
Nota de pago README.txt
Email de contacto [email protected]
Cantidad a pagar 0.01 BTC
Distribución Spam, programas ilegales, falsos pop-ups
Descifrado Descargar gratis la herramienta de descifrado de Thanatos de GitHub
Eliminación Descargar e instalar FortectIntego o SpyHunterCombo Cleaner

Thanatos apareció por primera vez en Febrero del 2018 y pronto regresó con una versión actualizada tras un mes. De acuerdo con los investigadores, los autores del ransomware no tenían un descifrador, por lo que pagar era inútil. A finales de Junio del 2018, los expertos en seguridad de Cisco lograron descifrar el código malicioso y crear un Descifrador para Thanatos gratuito. Los investigadores lograron encontrar una vulnerabilidad en el procedimiento de encriptación usado por el virus.

El engaño se basaba en cómo el virus determinaba la clave para cada uno de los archivos bloqueados. Se basaba en el tiempo (en milisegundos) desde que Windows fue ejecutado por última vez. Usando los Registros de Windows Event, los expertos en seguridad lograron hacerse con una clave. Los investigadores de Cisco explicaron lo siguiente: 

Since Thanatos does not modify the file creation dates on encrypted files, the key search space can be further reduced to approximately the number of milliseconds within the 24-hour period leading up to the infection. At an average of 100,000 brute-force attempts per second (which was the baseline in a virtual machine used for testing), it would take roughly 14 minutes to successfully recover the encryption key in these conditions.

Thanatos malware

Lo que hace a Thanatos exclusivo del resto de virus ransomware son los tipos de monedas virtuales que acepta como forma de pago. A la víctima se le permite transferir el dinero en Ethereum, Bitcoin y BitCoin Cash. Por ello, es el primer cripto-ransomware que registra pagos a través de la cartera de BitCoin Cash (BCH).

Justo después del ataque del ransomware Thanatos, la víctima no será capaz de abrir documentos, imágenes, archivos multimedia, bases de datos y otros archivos almacenados en el ordenador. Sin embargo, deberían ver el archivo «the README.txt» que es básicamente una nota de pago colocada en cada carpeta que contiene archivos bloqueados. El archivo proporciona la información de contacto ([email protected] o [email protected]) y las direcciones de las carteras de las moneda virtuales:

Thanatos v1.1

Your files was encrypted. To decrypt your files,
follow next steps:

1. Send $200 to one of these wallets:
BTC: 1HvEZ1jZ7BWgBYPxqCvWtKja3a9hsNa9Eh
ETH: 0x92420e4D96E5A2EbC617f1225E92cA82E24B03ef
BCH: qzuexhcqmkzcdazq6jjk69hkhgnme25c35s9tamz6f

2. Send your TXID and your MachineID to mail
E-Mail: [email protected]
Machine ID: {ID HERE}

—————————————————
Do not waste your time, files can only be
decrypted by our decode tool.

Parece que los desarrolladores del ransomware Thanatos lo han mejorado tras lanzar su primera versión y atacar a sus víctimas, ya que inicialmente los ladrones proporcionaban la dirección email [email protected] y aceptaban 0,01 Bitcoin como pago. Sin embargo, la versión del virus no ha cambiado. Los expertos detectan la misma versión 1.1 circulando, pero ten cuidado ya que puede proporcionar información diversa.

La nota de pago declara que una vez el pago sea realizado, el usuario debe recibir el descifrador a través de email. La verdad es que no existe tal descifrador para Thanatos – ni de pago ni gratuito. De acuerdo con los analistas de ransomware, este virus encripta los archivos pero no genera una clave de descifrado. No está claro aún si la decisión de bloquear los datos de la gente permanentemente ha sido realizada de manera intencionada o accidentalmente. No obstante, está claro que no serás capaz de desbloquear los archivos cifrados por el ransomware Thanatos incluso aunque llegues a pagar.

Por ello, deberías centrarte en la eliminación de Thanatos en vez de arriesgarte a incrementar tu daño. Por desgracia, la eliminación del virus no restaurará tus archivos, pero serás capaz de usar tu PC de forma segura de nuevo. Si tienes copias de seguridad, simplemente inserta un dispositivo de almacenamiento externo tras eliminar el virus y recupera fácilmente tus archivos.

Aquellos que no tengan copias de seguridad de sus archivos, deberían usar los métodos alternativos de recuperación de datos que aparecen al final de este artículo. Sin embargo, no podemos garantizarte que funcionen. Los investigadores en ciber seguridad declaran que el modo más efectivo y que consume menos tiempo para desbloquear los archivos comprometidos por el ransomware es usar el algoritmo a fuerza bruta. Para ello, deberías contactar con informáticos profesionales y expertos.

Para eliminar Thanatos de manera segura del ordenador, tienes que obtener una buena herramienta de eliminación de malware, como FortectIntego o MalwarebytesMalwarebytes. Si no puedes instalar un programa de seguridad, por favor, sigue la guía de a continuación. Recuerda que la eliminación manual no es recomendable debido a la complejidad del ransomware.

Thanatos pertenece a los tipos más complejos de ciber amenazas. Aquí, tras el ataque, puede instalar numerosos archivos peligrosos, inyectar códigos maliciosos entre los procesos legítimos del sistema y causar otros cambios en el sistema que no pueden ser solucionados de forma segura manualmente.

Image of Thanatos ransomware

Los autores de virus ransomware usan múltiples métodos de distribución para infectar dispositivos

Normalmente, los virus ransomware se difunden a través de emails spam maliciosos. Por ello, el malware puede infiltrarse en el sistema cuando un usuario es engañado para que abra un archivo Word, PDF o ZIP que incluya una carga maliciosa. No obstante, los especialistas en seguridad de DieViren.de también reportan sobre otras amenazas.

El ransomware puede también ser distribuido como:

  • falsas actualizaciones de programas que aparecen como pop-up mientras navegas por Internet;
  • programas ilegales u ofuscados en sitios o redes de compartición de archivos;
  • anuncios maliciosos.

Por ello, deberías tener cuidado con el contenido en el que haces click o descargas. Adicionalmente, para evitar los ransomwares, instala las actualizaciones más recientes y un robusto programa de seguridad.

Acabar con el virus ransomware Thanatos

Hemos mencionado a comienzos que deberías no intentar eliminar manualmente Thanatos. Queremos aclarar que solo los especialistas técnicos experimentados pueden limpiar tu PC sin dañarlo. Por ello, en vez de localizar los archivos o entradas del registro creadas por el ransomware, deberías optar por el método automático de eliminación.

La eliminación automática de Thanatos puede ser llevada a cabo por cualquier programa profesional de eliminación de malware. Sin embargo, te recomendamos encarecidamente que uses FortectIntego o MalwarebytesMalwarebytes. Si el virus es resistente y te previene que accedas a tu programa de seguridad, sigue estos pasos.

Sé el primero en comentar

Lee en tu idioma

LosVirus
Preferencias de privacidad

Usamos cookies para mejorar tu experiencia y analizar el tráfico. Algunas cookies habilitan contenido incrustado como vídeos y publicaciones sociales. Elige qué permites: puedes cambiarlo cuando quieras.