Amnesia es un virus ransomware que funciona como la mayoría de los demás cripto-virus. El nombre Amnesia se refiere no sólo al virus, sino a una familia específica de infecciones de este estilo. Una muestra parecida se llama CryptoBoss y es una variante posterior, pero está estructurada de manera similar a su predecesor. Además, hay una gran cantidad de extensiones diferentes que las muestras de esta marca pueden fijar en los ejecutables encriptados. Las siguientes son las extensiones con las que se ha visto proceder a esta familia: .01, .02, .amnesia, .[[email protected]].LOCKED, .CRYPTOBOSS, .[[email protected]].SON and .@decrypt_2017. Estas extensiones son indicadores de qué muestras de ransomware ha llevado a cabo el fructífero ataque. Providencialmente, los investigadores de Emsisoft ya han presentado un desencriptador con éxito para las víctimas. Clic aquí para descargar el software recuperador de archivos.
Tecnicismos de este cripto-virus
Para empezar esta parte del análisis, debemos indicar que el ransomware Amnesia se las ha arreglado para conseguir un record: ¡coge como objetivo a 7763 tipos de archivos y se las arregla para encriptarlos! Los investigadores de seguridad explican que ninguna otra variante había sido programada para afectar a una cantidad tan alta de archivos. Además, esta variante debería asignarse a la categoría de infecciones de ransomware que están escritas en el lenguaje de programación Delphi, lo que significa que no es un virus sofisticado. Probablemente, por ello los investigadores de seguridad ya han producido una cura para él.
Esta infección que pide dinero ha sido identificada encriptando archivos con ayuda de un algoritmo seleccionado de manera común. Para complicar la situación incluso más, la infección ejecutará un comando, que acaba en una destrucción total de las Shadow Volume Copies. Los sistemas operativos individuales se disociarán unos de otros dando distintos números ID. Contienen una gran cantidad de números diferentes y son más largos de lo normal.
Sin embargo, ha surgido un poco de confusión cuando se detectó por primera vez esta infección. Ha copiado muchos aspectos del ransomware Globe, pero se descubrió rápidamente que Amnesia era un virus independiente. En algunas de sus variantes, pide a los usuarios que contacten con las direcciones de email [email protected] o [email protected].
Los investigadores también han distinguido un par de posibles cargas de esta infección: Happier.exe bstarb.exe, guide.exe, podrían ser la fuente de las actividades maliciosas en los sistemas operativos. Otra característica que se ha notado: la transformación total de los nombres de los archivos que se han visto influidos por la encriptación. En lugar de los nombres de archivo normales, los ejecutables serán renombrados. Después de este cambio radical, los nombres normales cambiarán por secuencias aleatorias de letras y números.
Además, se ha detectado una muestra hace una semana, haciéndose pasar por CTB-Locker. Mientras que la variante principal ubicada como HOW TO RECOVER The ENCRYPTED files.txt como la nota de rescate, las muestras siguientes ofrecían otros ejecutables: RECOVER-FILES.HTML o __ P_R_O_CH_T_I__CTB-Locker__PROChTI__PROChTI.TXT.
No hay necesidad de pagar el rescate: recuperación de archivos gratuita
Emsisoft ha publicado un desencriptador para esta variante y está disponible de manera completamente gratuita. Las instrucciones para la recuperación de archivos se deberán usar como se explica en la web oficial de Emsisoft. Si tiene cualquier pregunta, podrá contactar con ellos o dejar un comentario debajo e intentaremos ayudarle. Como esta infección ha sido solucionada, no hay necesidad si quiera de considerar el pago del rescate. La cantidad exacta para la desencriptación no se menciona en ninguna de las notas de rescate. Presumimos que esta información se proporcionaría a través de los correos de email.
¿Cómo se distribuye el ransomware?
Las cargas maliciosas podrían transmitirse a través de campañas de spam. En los mensajes que se originan a partir de fuentes poco fiables, a los usuarios se les recomienda descargar adjuntos específicos o seguir enlaces a webs de algún tipo. Sin embargo, esto no es una buena idea porque la gente podría descargar infecciones Troyanas en lugar de los archivos prometidos. Al entrar en webs dañinas, podría instalar en secreto una infección de ransomware u otra variante de malware, como un secuestrador de navegador.
Spyhunter o Malwarebytes son las herramientas que le asistirán con la eliminación del virus ransomware Amnesia. Además, le protegerán del malware en el futuro.
Actualización del 5 de Junio, 2017. Amnesia 2 ya ha sido detectado. Añade la extensión .TRMT a los archivos digitales encriptados. También se inserta el ejecutable HOW TO RECOVER ENCRYPTED FILES.TXT. Afortunadamente, esta variante es desencriptable. Todo lo que tiene que hacer es descargar el software para la desencriptación.
¿Cómo eliminar Amnesia ransomware usando Restauración del Sistema?
1. Reinicie su ordenador en Modo Seguro con Solicitud de Comando
1. Modo seguro
Para Windows 7/ Vista/ XP- l Inicio → Apagar → Reiniciar → OK.
- l Presione la tecla F8 repetidamente hasta que la pantalla de Opciones de Inicio Avanzado aparece.
- l Elegir Modo Seguro con Solicitud de Comando.
- l Presione Potencia en la pantalla de acceso de Windows. Luego presione y mantenga la tecla Shift y haga clic en Reiniciar.
- l Elija solucionar problemas → Opciones Avanzadas → Configuración de Inicio y haga clic en Reiniciar.
- l Cuando se cargue, seleccione Permitir Modo Seguro con Solicitud de Comando en la lista de Configuraciones de Inicio.
2. Restaurar archivos y configuraciones del Sistema.
- l Cuando el modo de Solicitud de Comando se cargue, introduzca cd restore y presione Intro.
- l Luego introduzca rstrui.exe y presione Intro otra vez.
- l Haga clic en “Siguiente” en la ventana que apareció.
- l Seleccione uno de los Puntos de Restauración que están disponibles antes de que se infiltrase el CryptoBoss ransomware virus en su sistema y luego haga clic en “Siguiente”.
- l Para iniciar la restauración del Sistema haga clic en “Sí”.
2. Complete la eliminación del Amnesia virus
Tras restaurar su sistema, se recomienda escanear su ordenador con un programa anti-malware, como Malwarebytes, Spyhunter y elimine todos los archivos maliciosos relacionados con Amnesia ransomware.
3. Restaure los archivos afectados por CryptoBoss ransomware virus usando Shadow Volume Copies
Si no usa la opción de Restaurar Sistema en su sistema operativo, existe la posibilidad de usar capturas de shadow copy. Almacenan copias de sus archivos en el punto temporal en el que la captura de restauración del sistema fue creada. Normalmente Amnesia virus intenta eliminar todas las posibles Shadow Volume Copies, así que este método puede que no funcione en todos los ordenadores. Sin embargo, puede que falle al hacerlo.
Shadow Volume Copies sólo está disponible con Windows XP Service Pack 2, Windows Vista, Windows 7 y Windows 8. Hay dos maneras de recuperar sus archivos a través de Shadow Volume Copu. Puede hacerlo usando las versiones anteriores nativas de Windows o a través de Shadow Explorer.
a) Versiones Anteriores nativas de Windows
Haga clic derecho en un archivo encriptado y seleccione Propiedades>Pestaña de versiones anteriores. Ahora verá todas las copias disponibles de ese archivo particular y del momento cuando fue almacenado en un Shadow Volume Copy. Elija la versión del archivo que quiera recuperar y haga clic en Copiar si quiere guardarlo en algún directorio suyo, o Restaurar si quiere reemplazar el archivo encriptado existente. Si quiere ver el contenido del archivo previamente, simplemente haga clic en Abrir.
b) Shadow Explorer
Es un programa que puede encontrarse online de manera gratuita. Puede descargar tanto una versión completa o portable de Shadow Explorer. Abra el programa. En la esquina superior derecha el disco donde el archivo que está buscando está almacenado. Verá todas las carpetas en ese disco. Para recuperar la carpeta completa, haga clic derecho en ella y seleccione “Exportar”. Luego escoja dónde quiere que se almacene.
Nota: En muchos casos es imposible restaurar archivos de datos afectados por un ransomware moderno. Por eso recomiendo usar un software de copias de seguridad en la nube decente como precaución. Le recomendamos echar un vistazo a Carbonite, BackBlaze, CrashPlan o Mozy Home.
Herramientas de extracción Malware automática
(Win)
Nota: Ensayo Spyhunter proporciona la detección de parásitos como Amnesia Ransomware y ayuda a su eliminación de forma gratuita. versión de prueba limitada es disponible, Terms of use, Privacy Policy, Uninstall Instructions,
(Mac)
Nota: Ensayo Combo Cleaner proporciona la detección de parásitos como Amnesia Ransomware y ayuda a su eliminación de forma gratuita. versión de prueba limitada es disponible,