El ransomware Ppam - ¿Como eliminarlo?

El ransomware Ppam es un tipo de malware que usa técnicas de ofuscación y scareware junto con criptografía para comprometer sistemas operativos Windows, hace que la mayoría de archivos estén inaccesibles y piden un rescate a las víctimas si quieren recuperar sus datos. Los cripto virus son de los virus más notorios y difíciles de resolver, porque incluso aunque logre eliminar el malware, los archivos seguirán bloqueados, y los únicos que sabem cómo desencriptar todo son los criminales.

Hace unos pocos días, un investigador de malware conocido en Twitter como # informó sobre el virus Ppam, distribuyéndose por la World Wide Web, esperando ganar algo de dinero a través de las víctimas poco afortunadas. Si sus archivos están inaccesibles, han sido marcados con la extensión .ppam y hay algún archivo de texto Notepad extraño en el escritorio, probablemente sea uno de esos usuarios poco afortunados. No sabemos si su sistema se ha infectado debido a que no tiene un antivirus fiable o el ransomware Ppam se las arregló para encontrar algún nuevo camino, estamos seguros de que ahora estará preocupado y necesitará ayuda para deshacerse de este desagradable virus de manera inmediata.

En este artículo, encontrará toda la información crucial sobre el ransomware Ppam, cómo funciona y opciones para limpiar la infección y posiblemente restaurar los archivos encriptados por .ppam. Por lo tanto, si está interesado, siga leyendo.

Qué es el ransomware Ppam

Los rumores de que los cripto mineros está desplazando a los ransomware no son completamente ciertos, porque obviamente están siendo publicadas más y más amenazas que exigen rescates al ciber espacio. Ppam es de los criptovirus más recientes que actúa como extorsionador, bloquea los datos personales virtuales de las víctimas y promete la clave para desencriptarlos a cambio de dinero. La cantidad que desea el ransomware Ppam definitivamente no es una cantidad que suele llevar en la cartera (0.197 Bitcoin o 700$), sin embargo, es ligeramente menor al promedio que suele estar en unos 1000$. Quizás por eso tratamos principalmente con usuarios de países ricos de habla inglesa.

El ransomware Ppam técnicamente funciona como cualquier otro virus del mismo tipo, por ejemplo Crypt0r, Ahihi, Boom, Vulston y otros, sin embargo, uno de los investigadores de malware dijo que podría ser una nueva variante del virus Globeimposter 2.0. Esto lleva a creer que incluso aunque los cifrados usados para la encriptación sean desconocidos, es probable que sea el mismo algoritmo RSA simétrico.

Desde que el virus Ppam se infiltra en el sistema, toma el control de las carpetas más importantes para sortear al antivirus y asegurar su persistencia, luego empieza a buscar archivos por su extensión que sean apropiados para encriptar. Esos datos suelen ser imágenes, vídeos, documentos y otros, a excepción de archivos de sistema, para que la víctima pueda seguir usando el ordenador para seguir las instrucciones y pagar. Tras ello, el ransomware Ppam adjunta la extensión ‘.ppam’ al final de los nombres afectados (‘importantfile.pdf’ se convierte en ‘importantfile.pdf.ppam’) y deja una nota de rescate ‘Restore-My-Files.txt‘ en el escritorio para explicar la situación del usuario:

¡Sus archivos están Encriptados!

Para la recuperación de datos necesita un desencriptador.

Cómo comprar un desencriptador:

—————————————————–

1. Descargar el “Navegador Tor” de https://www.torproject.org/ e instalar.
2. Abrir este enlace en el “Navegador Tor”

http://huhighwfn4jihtlz.onion/sdlsnhtjwbhr

¡Nota! Este enlace solo está disponible para el “Navegador Tor”.

————————————————————

Desencriptación gratuita como garantía

Antes de pagar puede enviarnos 2 archivos para una desencriptación gratuita.

————————————————————

Dirección alternativa – http://isb5f7dxc6gjpprt.onion/sdlsnhtjwbhr

Su ID única

Esta nota de rescate no da mucha información además del enlace del Navegador Tor, que las víctimas deben revisar para saber lo que quieren los desarrolladores del virus Ppam. Hemos descubierto que los criminales están pidiendo 700$ (0.197 BTC) en dos días, y si no se paga, tras ello, el precio aumenta a más del doble, hasta 0.394 BTC ($1422,74). También le ofrecen desencriptar 2 archivos bloqueados de manera gratuita para probar que no están mintiendo, sin embargo, confiar en los hackers nunca es una buena idea, porque pueden acabar cogiendo su dinero sin darle la herramienta prometida. Por eso, en lugar de hacer todo lo que dicte el ransomware Ppam, siga nuestras instrucciones y elimine este virus antes de que infecte más archivos.

Cómo se distribuye el ransomware Ppam

La mayoría de ransomwares, virus Ppam incluido, se distribuyen a través de adjuntos maliciosos en emails. Este es un método popular y bastante sencillo para que los criminales diseminen sus creaciones en comparación a otros, por ej. redes P2P, descargas directas, Troyanos, inyecciones Web y más cosas, que requieren de un conocimiento técnico más sofisticado, además de fondos. Todos lo que necesitan los desarrolladores de cripto virus son muchos emails de víctimas, que pueden comprarse en la Darknet o recogerse usando alguna página redirecciones con estafas y más cosas. Desde que los criminales tienen suficientes emails para distribuir el ransomware Ppam, envían cientos, si no miles o millones de (como Locky) Emails de ingeniería social.

Estos mensajes son muy engañosos y normalmente son cortos pero intrigantes/terroríficos y le urgen a abrir el archivo .docx, .pdf añadido. Si echa un Vistazo más de cerca y analiza el destinatario tiene algunos nombres de dominios maliciosos, pero estos emails suelen ser tan convincentes que los usuarios simplemente se olvidan de revisarlo, como la cantidad excesiva de errores gramaticales en el texto. Los mensajes llenos del ransowmare Ppam pueden hacerse pasar por el gobierno, utilidades sanitarias u otros empleados oficiales, abogados, clientes de su negocio y muchas cosas más. Como el email no contiene datos claros, las víctimas abrirán los adjuntos y tras activar las Macros para ver el contenido se inicia la instalación del virus. Y puede suponer lo que ocurre tras ello.

Cómo eliminar el virus Ppam

El ransomware Ppam no es un problema para los que tengan copias de seguridad hechas, de lo contrario, es una infección bastante preocupante. Las copias de seguridad (encontrará la guía completa debajo sobre cómo recuperar su Windows con ellas) deberían ser su solución número uno en este caso, pero es entendible que muchos no tengan. Si fuese ese el caso, la parte de la eliminación y restauración podría ser más larga y no promete un éxito absoluto. Antes de recuperar sus archivos, tiene que deshacerse del virus Ppam, o sino podría bloquear dos veces sus datos sin posibilidad de recuperarlos.

La mejor manera de eliminar el virus Ppam es hacerlo con los programas de eliminación de malware Spyhunter o Malwarebytes. Son productos anti-spyware sofisticados que le asistirán en este caso de infección. En realidad, no importa el software que escoja (segúnVirustotal.com la tasa detección del criptovirus Ppam es bastante alta) siempre que no lo intente con algún antivirus malicioso.

Herramientas de extracción Malware automática

Cómo recuperar los archivos bloqueados por el ransomware Ppam

Como sabrá, eliminar el virus Ppam o cualquier otro ransomware no desencriptará automáticamente los archivos que han sido afectados. Para ello, necesita una herramienta especial para descifrar sus datos. Una manera de hacerlo es pagar a los hackers y esperar que se la envíen (Lo cual no recomendamos en absoluto), y otra es revisar el proyecto de anti-ransomware online más grande Nomoreransom.org y ver si lo ofrecen ahí. Desafortunadamente, en este momento, los especialistas de ciber-seguridad todavía no han publicado un desencriptador oficial. Pero no se apresure a pagar a los criminales.

Parece que el ransomware Ppam tiene la capacidad de eliminar las Shadow Copies, pero hay muchos casos y posibilidades de que el virus no se haya instalado adecuadamente y potencialmente no funcione como debería, por lo tanto, intentar dicha recuperación también sería una opción. También, hay Algunos programas de recuperación de datos, que puede encontrar bajo las instrucciones de la eliminación manual. Si ninguno le funciona, simplemente mantenga guardados sus archivos en algún lugar de su PC y siga revisando si publican el desencriptador oficial.

¿Cómo eliminar El ransomware Ppam usando Restauración del Sistema?

1. Reinicie su ordenador en Modo Seguro con Solicitud de Comando

1. Modo seguro

Para Windows 7/ Vista/ XP

• l Inicio → Apagar → Reiniciar → OK.
• l Presione la tecla F8 repetidamente hasta que la pantalla de Opciones de Inicio Avanzado aparece.
• l Elegir Modo Seguro con Solicitud de Comando.

Para Windows 8 / 10

• l Presione Potencia en la pantalla de acceso de Windows. Luego presione y mantenga la tecla Shift y haga clic en Reiniciar.
• l Elija solucionar problemas → Opciones Avanzadas → Configuración de Inicio y haga clic en Reiniciar.
• l Cuando se cargue, seleccione Permitir Modo Seguro con Solicitud de Comando en la lista de Configuraciones de Inicio.

2. Restaurar archivos y configuraciones del Sistema.

• l Cuando el modo de Solicitud de Comando se cargue, introduzca cd restore y presione Intro.
• l Luego introduzca rstrui.exe y presione Intro otra vez.
• l Haga clic en “Siguiente” en la ventana que apareció.
• l Seleccione uno de los Puntos de Restauración que están disponibles antes de que se infiltrase el Ppam ransomware en su sistema y luego haga clic en “Siguiente”.
• l Para iniciar la restauración del Sistema haga clic en “Sí”.

2. Complete la eliminación del El ransomware Ppam

Tras restaurar su sistema, se recomienda escanear su ordenador con un programa anti-malware, como Malwarebytes, Spyhunter y elimine todos los archivos maliciosos relacionados con Ppam ransomware.

3. Restaure los archivos afectados por El ransomware Ppam usando Shadow Volume Copies

Si no usa la opción de Restaurar Sistema en su sistema operativo, existe la posibilidad de usar capturas de shadow copy. Almacenan copias de sus archivos en el punto temporal en el que la captura de restauración del sistema fue creada. Normalmente Ppam ransomware intenta eliminar todas las posibles Shadow Volume Copies, así que este método puede que no funcione en todos los ordenadores. Sin embargo, puede que falle al hacerlo.

Shadow Volume Copies sólo está disponible con Windows XP Service Pack 2, Windows Vista, Windows 7 y Windows 8. Hay dos maneras de recuperar sus archivos a través de Shadow Volume Copu. Puede hacerlo usando las versiones anteriores nativas de Windows o a través de Shadow Explorer.

a) Versiones Anteriores nativas de Windows

Haga clic derecho en un archivo encriptado y seleccione Propiedades>Pestaña de versiones anteriores. Ahora verá todas las copias disponibles de ese archivo particular y del momento cuando fue almacenado en un Shadow Volume Copy. Elija la versión del archivo que quiera recuperar y haga clic en Copiar si quiere guardarlo en algún directorio suyo, o Restaurar si quiere reemplazar el archivo encriptado existente. Si quiere ver el contenido del archivo previamente, simplemente haga clic en Abrir.

b) Shadow Explorer

Es un programa que puede encontrarse online de manera gratuita. Puede descargar tanto una versión completa o portable de Shadow Explorer. Abra el programa. En la esquina superior derecha el disco donde el archivo que está buscando está almacenado. Verá todas las carpetas en ese disco. Para recuperar la carpeta completa, haga clic derecho en ella y seleccione “Exportar”. Luego escoja dónde quiere que se almacene.

Nota: En muchos casos es imposible restaurar archivos de datos afectados por un ransomware moderno. Por eso recomiendo usar un software de copias de seguridad en la nube decente como precaución. Le recomendamos echar un vistazo a Carbonite, BackBlaze, CrashPlan o Mozy Home.