Malware que cifra tu información

ACTUALIZACIÓN: En las últimas horas se está produciendo una infección masiva mediante el ransomware Cryptolocker.

Los ciberdelincuentes han iniciado una campaña de envío de correos electrónicos que simulan proceder de Correos. Te recomendamos que estés atento a estas circunstancias para evitar infectarte.

El motivo del mensaje es un supuesto paquete que no ha sido entregado.

¿Cómo puedes detectar la amenaza?

Los correos se envían desde un dominio llamado correos24.net que ha sido registrado con fecha de 3 de diciembre de 2014. Van personalizados con tu nombre y apellidos, por lo que son difíciles de detectar. Además, pocos antivirus detectan esta nueva variante. La mejor recomendación que podemos hacer es desconfiar de este tipo de correos electrónicos y, en caso de duda, contactar por teléfono con tu oficina de Correos más cercana.

Abajo tienes más información y consejos para intentar deshacerte de Cryptolocker. Te exponemos un método que funcionaba cuando salió el malware, pero que es posible que no sea eficaz con las nuevas variantes.

Eliminar Cryptolocker original

Cuando aún nos estamos recuperando del virus policía que bloqueaba nuestros ordenadores, aparece una nueva amenaza: Cryptolocker. Este peligroso virus se transmite fundamentalmente a través del correo electrónico y su objetivo son nuestros archivos personales (fotografías, vídeos, documentos, etc.). Se trata de un virus del llamado tipo ransomware, un software malicioso que amenaza al usuario, normalmente por dinero o por datos. En este caso, Cryptolocker encriptará nuestros archivos y nos pedirá una cantidad económica a cambio de la contraseña que liberará los ficheros.

Virus Cryptolocker

Secuestro de tus datos

Cryptolocker se transmite fundamentalmente a través de archivos adjuntos en los correos electrónicos de supuestas entidades bancarias. Por tanto, es muy importante que tengas especial cuidado con este tipo de emails sospechosos. Una vez el virus ha accedido a tu ordenador lo que se produce en una codificación de los ficheros del ordenador. Es decir, tus archivos pasan a estar bloqueados bajo contraseña. Usan un método llamado encriptación asimétrica, que requiere dos contraseñas, una pública y una privada. En el siguiente gráfico se muestra cómo funciona este proceso.

Encriptación asimétrica

El usuario verá en su pantalla la ventana de Cryptolocker en la que se le comunica que si no entrega la cantidad de 300 euros, la contraseña privada necesaria para desbloquear los archivos será eliminada, y además, se nos da un plazo para realizar el pago: una cuenta atrás del tiempo que tenemos antes de que la clave sea eliminada. Escalofriante, ¿verdad?

¿Qué podemos hacer si hemos sido infectados por Cryptolocker?

Virus cuenta atrás

Dependiendo de la importancia que tengan para nosotros los archivos bloqueados, se nos pasará por la cabeza la idea de pagar. El realizar el pago a estos cibercriminales no nos asegura que podamos recuperar nuestros archivos. Por tanto, el pago no es una buena idea.

Afortunadamente, Cryptolocker puede ser eliminado de nuestro ordenador. Pero, desgraciadamente, no podemos desbloquear los archivos que han sido encriptados. La única solución para salvar los archivos sería restaurarlos a una versión anterior.

Vamos a explicar cómo limpiar nuestro PC del virus Cryptolocker, y cómo intentar restaurar copias anteriores de nuestros archivos.

Cómo eliminar el virus Cryptolocker

En primer lugar tenemos que reiniciar el ordenador en modo seguro. Para hacerlo tenemos que presionar F8 cuando esté arrancando el sistema, antes de que aparezca el logo de Windows. Cuando aparezcan las diferentes opciones, elegimos Modo seguro con funciones de red, y pulsamos Enter.

Iniciar Windows en modo seguro

A continuación, instalaremos una aplicación para detener y eliminar procesos maliciosos ocultos. Se trata de RogueKiller. Tras la instalación, iniciaremos el proceso de análisis para que localice el virus Cryptolocker y podamos detenerlo. Una vez haya concluido el análisis, haremos clic en el botón Eliminar.

Escanear con RogueKillerEliminar con RogueKiller

Ahora vamos a instalar en el ordenador un antivirus que acabe con cualquier amenaza que puede persistir en el sistema. En este caso vamos a utilizar Malwarebytes Anti-Malware. Cuando esté instalado el antivirus, y actualizada su base de datos, elegimos la pestaña Escáner de la ventana principal y la opción Realizar un análisis rápido.

Analizar con Malwarebytes Anti-Malware

Una vez concluido el análisis, debemos acceder al botón Mostrar resultados y eliminar todas las amenazas encontradas. Para finalizar la limpieza, debemos reiniciar el ordenador.

El siguiente paso consiste en eliminar también los archivos ocultos de Cryptolocker. Para poder hacerlo tenemos que habilitar desde Opciones de carpeta del Panel de control la opción para que sean visible los ficheros ocultos. Buscaremos estos ficheros en los siguientes directorios:

Para Windows XP:

C:Documents and SettingsApplication DataRandomFileName.exe Por ejemplo: {DAEB88E5-FA8E-E0D1-8FCD-BFC7D2F6ED25}.exe C:WINDOWSsystem32msctfime.ime

Para Windows Vista o Windows 7:

C:UsuariosAppDataRoamingRandomFileName.exe Por ejemplo: {DAEB88E5-FA8E-E0D1-8FCD-BFC7D2F6ED25}.exe C:WINDOWSsystem32msctfime.ime

Y por último eliminaremos todos los archivos temporales que hayan en nuestro ordenador. Los podemos localizar en las siguientes carpetas:

Para Windows XP:

C:Documents and SettingsLocal SettingsTemp C:WindowsTemp

Para Windows Vista o Windows 7:

C:UsuariosAppDataLocalTemp C:WindowsTemp

Cómo restaurar tus datos

Una vez hemos desinfectado nuestro ordenador del virus Cryptolocker, tenemos que intentar restaurar nuestros ficheros desde un estado anterior al momento de ser infectados. Para hacerlo utilizamos la función de Windows Shadow Copy. Este servicio de Windows crea copias de seguridad periódicas de nuestro equipo, para poder realizar restauraciones cuando sea necesario, como es nuestro caso.

Es muy importante que tuviéramos este servicio activo antes de ser infectado por el virus, porque de lo contrario, no podremos realizar la restauración ni recuperar nuestros ficheros. Para activarlo tenemos que acceder al Panel de Control > Sistema y seguridad > Sistema y acceder a Protección del sistema en la columna de la izquierda.

Activar protección del sistema

Si teníamos esta función activa, podremos acceder a nuestros ficheros de la siguiente forma:

  1. Navegamos hasta la carpeta o archivo que queramos restaurar, y hacemos clic con el botón derecho.
  2. En el menú que aparece seleccionamos la opción Restaurar versiones anteriores.
  3. En la ventana que se abre podremos ver los puntos de restauración que tenemos disponibles. Basta con elegir uno anterior a la infección del virus. Y podremos abrir los ficheros o carpetas, copiarlos a otra ubicación o a un disco duro externo, o restaurarlo sustituyendo al fichero o carpeta infectados.
Restaurar archivos

De esta forma podemos restaurar los archivos y carpetas infectados a un estado anterior a la aparición del virus Cryptolocker.

Aún así, es conveniente siempre proteger nuestro ordenador con antivirus, no descargar ficheros de los que desconozcamos la procedencia, y realizar copias de seguridad periódicas de nuestros datos.

Relacionados

Opiniones de los usuarios

Nos encanta escucharte ¿Nos dejas tu opinión?