El ransomware LLTP - ¿Como eliminarlo?

El cripto virus LLTP (Locker) está clasificado entre las muestras ransomware que usan una combinación de cifrados para complicar el proceso de desencriptación de sus víctimas. Primero se aplica un algoritmo AES para arruinar los datos con la clave de encriptación pública, mientras que la clave privada se encripta con criptografía RSA. Después de que estos procesos terminen, los datos de los usuarios ya no se podrán usar. En la nota de rescate, los hackers se refieren a sí mismos como el Equipo LLTP Locker y piden que todos los pagos se realicen a través de un sistema anónimo: bitcoin. [email protected] es la dirección de email a la que las víctimas pueden acudir si tienen dificultades a la hora de enviar el pago necesario. El email también será necesario para contactar con ellos después de realizar el pago con éxito a la cartera de bitcoins 19fhNi9L2aYXTaTFWueRhJYGsGDaN6WGcP. Se da un período de 72 horas para que la gente se decida y se anime a pagar el valor del rescate. Incluso aunque los hackers digan eliminar de manera permanente la clave de desencriptación privada después de que pase cierto tiempo, aún no creemos que pagar el rescate sea la mejor opción.

Procedimientos que inicia el ransomware LLTP

El cripto virus LLTP parece tener un par de cosas en común con las infecciones TrumpLocker y VenusLocker. Su bloqueador de pantalla incluye la misma fotografía con una versión de dibujos de una silueta oscura, que lleva la icónica máscara de Anonymous. Parece que este ransomware no se ve influenciado por el hecho de que podría no haber conexión a Internet en el dispositivo infectado.

La encriptación de archivos puede iniciarse en modo sin conexión. El dominio Moniestealer.co.nf parece ser el que el virus LLTP usa para contactarse y proporcionar algunos detalles sobre la víctima infectada. Como respuesta, los hackers no dudarán en enviar una clave pública para la encriptación. Sin embargo, para que se llegue a este escenario, el dispositivo tiene que estar conectado a Internet. Si no es así, el ransomware LLTP aún podrá realizar con éxito el inicio de la encriptación.

El ransomware creará nuevas carpetas y subcarpetas para guardar ejecutables maliciosos y coloca todos los datos encriptados en una ubicación llamada ‘vault’. También genera un archivo RAR pero el propósito de este archivo todavía no se ha determinado. Mientras trata con sus asuntos el virus LLTP iniciará un comando para eliminar todas las Shadow Volume Copies ya que esta característica puede ayudar a la gente a restaurar sus archivos de manera completamente gratuita. Ransom notes are called ReadMe.txt ad LEAME.txt.

También hay una versión española de la nota de rescate, lo que significa que no sólo intenta infectar a los usuarios de habla inglesa. Los datos encriptados incluyen una larga y única extensión: .ENCRYPTED_BY_LLTP. Va tras una gran cantidad diferente de archivos, lo que significa, que no tendrá ningún problema en saber que ejecutables encriptar con AES -256.

¿Cómo puedo restaurar mis archivos? El ransomware LLTP los ha arruinado

Si nos está haciendo esta pregunta, no podemos darle buenas noticias. La desencriptación todavía está pendiente, pero esperamos que no se vea tentado a pagar el rescate que piden los hackers. Presumiblemente, le pedirán unas 0.2 Bitcoins que son aproximadamente unos 203.66 dólares americanos. Si está preocupado por si la creación de las herramientas de recuperación de archivos sea un problema, debe recordar que ya hay una gran cantidad de herramientas. Puede intentar desencriptar sus archivos con cualquiera de ellas: podrían funcionar. Sin embargo, como el ransomware LLTP amenaza con destruir de manera permanente los archivos, debe copiar todos los archivos infectados en una ubicación segura (memoria USB o algo diferente). Luego, elimine la infección. Esta tarea se puede llevar a cabo de manera automática o manual. Spyhunter o Hitman le ayudarán en la eliminación automática. Para las posibles opciones de desencriptación, debería leer este artículo entero.

Distribución del ransomware LLTP

Los hackers distribuirán el ransomware LLTP de un par de maneras. Para empezar, enviarán campañas de spam que ofrecerán descargar adjuntos, que serían cargas de una infección. No debe abrir mensajes aleatorios de su bandeja de entrada, e intente mantener su dispositivo limpio de archivos desconocidos. Además de eso, reaccionar a anuncios engañosos y visitar webs cuestionables, también puede dar lugar fácilmente a una infección con malware. Si desea tener una navegación más segura, le recomendamos que sea cliente de dominios y servicios legítimos.

¿Cómo eliminar El ransomware LLTP usando Restauración del Sistema?

1. Reinicie su ordenador en Modo Seguro con Solicitud de Comando

1. Modo seguro

Para Windows 7/ Vista/ XP

• l Inicio → Apagar → Reiniciar → OK.
• l Presione la tecla F8 repetidamente hasta que la pantalla de Opciones de Inicio Avanzado aparece.
• l Elegir Modo Seguro con Solicitud de Comando.

Para Windows 8 / 10

• l Presione Potencia en la pantalla de acceso de Windows. Luego presione y mantenga la tecla Shift y haga clic en Reiniciar.
• l Elija solucionar problemas → Opciones Avanzadas → Configuración de Inicio y haga clic en Reiniciar.
• l Cuando se cargue, seleccione Permitir Modo Seguro con Solicitud de Comando en la lista de Configuraciones de Inicio.

2. Restaurar archivos y configuraciones del Sistema.

• l Cuando el modo de Solicitud de Comando se cargue, introduzca cd restore y presione Intro.
• l Luego introduzca rstrui.exe y presione Intro otra vez.
• l Haga clic en “Siguiente” en la ventana que apareció.
• l Seleccione uno de los Puntos de Restauración que están disponibles antes de que se infiltrase el LLTP ransomware en su sistema y luego haga clic en “Siguiente”.
• l Para iniciar la restauración del Sistema haga clic en “Sí”.

2. Complete la eliminación del LLTP virus

Tras restaurar su sistema, se recomienda escanear su ordenador con un programa anti-malware, como Malwarebytes, Spyhunter y elimine todos los archivos maliciosos relacionados con LLTP Locker ransomware.

3. Restaure los archivos afectados por El ransomware LLTP usando Shadow Volume Copies

Si no usa la opción de Restaurar Sistema en su sistema operativo, existe la posibilidad de usar capturas de shadow copy. Almacenan copias de sus archivos en el punto temporal en el que la captura de restauración del sistema fue creada. Normalmente LLTP ransomware intenta eliminar todas las posibles Shadow Volume Copies, así que este método puede que no funcione en todos los ordenadores. Sin embargo, puede que falle al hacerlo.

Shadow Volume Copies sólo está disponible con Windows XP Service Pack 2, Windows Vista, Windows 7 y Windows 8. Hay dos maneras de recuperar sus archivos a través de Shadow Volume Copu. Puede hacerlo usando las versiones anteriores nativas de Windows o a través de Shadow Explorer.

a) Versiones Anteriores nativas de Windows

Haga clic derecho en un archivo encriptado y seleccione Propiedades>Pestaña de versiones anteriores. Ahora verá todas las copias disponibles de ese archivo particular y del momento cuando fue almacenado en un Shadow Volume Copy. Elija la versión del archivo que quiera recuperar y haga clic en Copiar si quiere guardarlo en algún directorio suyo, o Restaurar si quiere reemplazar el archivo encriptado existente. Si quiere ver el contenido del archivo previamente, simplemente haga clic en Abrir.

b) Shadow Explorer

Es un programa que puede encontrarse online de manera gratuita. Puede descargar tanto una versión completa o portable de Shadow Explorer. Abra el programa. En la esquina superior derecha el disco donde el archivo que está buscando está almacenado. Verá todas las carpetas en ese disco. Para recuperar la carpeta completa, haga clic derecho en ella y seleccione “Exportar”. Luego escoja dónde quiere que se almacene.

Nota: En muchos casos es imposible restaurar archivos de datos afectados por un ransomware moderno. Por eso recomiendo usar un software de copias de seguridad en la nube decente como precaución. Le recomendamos echar un vistazo a Carbonite, BackBlaze, CrashPlan o Mozy Home.

Herramientas de extracción Malware automática