Enero rápidamente cambió de cara cuando los investigadores de seguridad detectaron una de las muestras de ransomware más complicadas de todo el 2017 que llevamos. El cripto virus Spora es una infección agresiva, claramente desarrollada por profesionales que ponen su esfuerzo y sudor en este proyecto. Se distribuye a través de campañas de correos maliciosos que llegan en su mayoría a usuarios de habla rusa: son las víctimas potenciales a recibir esta muestra. Incluso aunque use la misma estrategia que muchos otros miembros anteriores de la categoría de ransomware, el virus sobresale por su complejo proceso de encriptación y una web inteligentemente diseñada para el pago/desencriptación. Además, es diferente a los otros, ya que no quita las extensiones ni añade otras nuevas a los ejecutables que codifica con algoritmos. Cada víctima infectada está marcada con número ID que tiene que usarse en la web Spora.bz para acceder. Quizás los hackers han asumido que construir un dominio menos convencional para el pago/desencriptación daría mayores posibilidades de recibir las sumas de dinero exigidas. El número ID que escribe en el campo de acceso leerá automáticamente los detalles sobre su infección: lo más importante es el número de archivos que se encriptan. Para más información, continúe leyendo este artículo.
Detalles más útiles sobre el virus Spora y su originalidad
Bajo nuestra experiencia y muchos años de escribir artículos sobre ciber infecciones, ya nos hemos enfrentado a muchas. Hoy en día, cualquier aspirante a hacker puede desarrollar un ransomware simple, usando códigos de fuente abierta. Sin embargo, de vez en cuando, hay programadores con experiencia que diseñan obras maestras que son increíbles por su complejidad. El ransomware Spora definitivamente es una de esas infecciones que vienen con un BANG, que muestra a los investigadores de seguridad que tendrán que enfrentarla de manera eficiente para poder conseguir una cura. Esta infección se distribuye en correos de email, adjuntos con ejecutables que van a empezar los procesos de Spora después de haberse ejecutado. Sorprendentemente, el ransomware no se centra en muchos archivos, pero se centra en los tipos más populares que están presentes en cualquier ordenador. De hecho, ¿por qué molestarse en fijarse en cientos de tipos de archivos, cuando los populares son los que están presentes en la mayoría de dispositivos? El virus Spora intentará afectar a documentos de Word, archivos PDF, fotografías, archivos ZIP y RAR y etc. El archivo .KEY implemente un proceso de encriptación extremadamente complejo. No vamos a adentrarnos demasiado en detalles. Sin embargo, debemos mencionar que se usa una combinación de algoritmos RSA y AES para realizar este proceso y así asegurarse de que los investigadores de seguridad tengan muy pocas posibilidades de crear un desencriptador gratuito. El virus Spora también destruye todas las Shadow Volume Copies para que tenga menos posibilidades de recuperar todos los archivos.
Se ha descubierto que el ransomware opera con tres ejecutables. En primer lugar, después de ejecutarse, coloca un archivo close.js, presumiblemente, en la carpeta Temp. Después de ello, este archivo se ve acompañado por un ejecutable adicional, responsable del proceso de encriptación entero. No tiene un título específico y puede crearse de manera diferente en cada víctima. El tercer archivo que puede asignarse al virus Spora es un tipo .docx de ejecutable que activará un mensaje, que sugiere que “Word no puede abrir el archivo porque el formato no coincide con la extensión del archivo”.
Ya hemos mencionado que la web del pago/desencriptación del virus Spora es un poco diferente. Las víctimas infectadas tienen que introducir su número de ID para poder acceder a la versión completa de la web. Eso significa que, si no ha sido comprometido por el virus Spora, no será invitado a esta fiesta. Sin embargo, escribir la combinación ID no será suficiente: también tendrá que añadir el archivo .KEY en la web. Sólo luego, la web será capaz de generar presupuestos para la desencriptación, dependiendo del número de archivos que han sido codificados. Además de ofrecer la desencriptación de archivos y una restauración completa de sistema, los hackers definitivamente están aprovechando todo de esta oportunidad. La gente puede comprar la inmunidad para otras infecciones de ransomware que están siendo desarrolladas por estos programadores maliciosos. Esto indica que planean generar virus ransomware adicionales en el futuro. En la siguiente fotografía, puede ver un ejemplo de un correo malicioso (en inglés).
Una estrategia complicada para la encriptación: ¿hay alguna posibilidad de vencer al virus Spora?
Conocer el camino que el virus Spora elige para encriptar los archivos de sus víctimas, es muy difícil decir si se va a publicar una versión gratuita para la recuperación de los archivos pronto. Las muestras complicadas como este, podrían necesitar más análisis si el desencriptador fuera a ser publicado. Le recomendamos que siga calmado y sea racional: no se deje engañar para pagar a los hackers por la desencriptación. Sin embargo, debe restaurar 2 archivos de manera gratuita: esto puede ayudar a los investigadores de seguridad a generar una herramienta gratuita. Incluso aunque este virus se centra principalmente en los usuarios de habla rusa, por ahora, podemos ver rápidamente que salta a otras corrientes cuando el momento es el adecuado. Si está buscando conejos, podemos indicar dos métodos de ayuda para inmunizarse al ransomware: guarde sus archivos en copias de seguridad o manténgalos protegidos en otras ubicaciones seguras. Si se ve infectado, no tendrá que preocuparse por la recuperación de archivos, ya que será capaz de recuperarlos de otra fuente.
Tácticas que el virus Spora puede aprovechar para llegar a los dispositivos informáticos
Los desarrolladores del ransomware Spora envían correos de email a gente al azar con adjuntos infecciosos. Si ejecuta el archivo infectado, permitirá que el virus empiece su trabajo sucio. Por esta razón, siempre debe mantener sus bandejas de entrada limpias y sin spam. Sin embargo, a veces es muy difícil marcar una línea clara entre un mensaje fiable y una estafa. Recomendamos que nunca abra correos de fuentes que no sean familiares. Sólo abra los adjuntos después de haberse asegurado de que son seguros de abrir.
Como el virus Spora elimina las Shadow Volume Copies y usa otros trucos para complicar la desencriptación de los archivos, tenemos poco que ofrecerle. Sin embargo, debe eliminar el ransomware lo antes posible. Spyhunter o Malwarebytes pueden ayudarle durante este proceso.
Actualización del 24 de Enero, 2017. Justo como predijimos, esta infección de ransomware no tardó mucho en fijarse en diferentes ubicaciones, y no sólo su primera elección. En primer lugar, la gente de Rusia eran los primeros destinatarios de los correos de spam malicioso. Ahora, hay personas de varios países que se han convertido en víctimas potenciales del virus Spora. Además de ello, Spora ha sido detectado transmitiéndose por un servidor que distribuye gigantes del ransomware como Cerber y Locky. Esto no puede acabar bien: por favor, sea extremadamente precavido, ya que todavía no se sabe qué países van a añadirse a la lista de objetivos.
Actualización del 6 de Febrero, 2017. Los expertos de seguridad han notado que el virus Spora incorporó una nueva estrategia para su distribución. Ahora, se distribuye a través de Google Chrome, cuando los usuarios actualizan su navegador. EITest Chrome Font Update es la ventana que presumiblemente aparecería, pero los usuarios no deben instalarla.
Actualización del 20 de Marzo, 2017. Gracias a los análisis de los investigadores de seguridad, es mucho más fácil reconocer la infección Spora. Además, parece que una nueva web ha incorporado esta variante: Torifyme.com.
¿Cómo eliminar El virus Spora usando Restauración del Sistema?
1. Reinicie su ordenador en Modo Seguro con Solicitud de Comando
1. Modo seguro
Para Windows 7/ Vista/ XP- l Inicio → Apagar → Reiniciar → OK.
- l Presione la tecla F8 repetidamente hasta que la pantalla de Opciones de Inicio Avanzado aparece.
- l Elegir Modo Seguro con Solicitud de Comando.
- l Presione Potencia en la pantalla de acceso de Windows. Luego presione y mantenga la tecla Shift y haga clic en Reiniciar.
- l Elija solucionar problemas → Opciones Avanzadas → Configuración de Inicio y haga clic en Reiniciar.
- l Cuando se cargue, seleccione Permitir Modo Seguro con Solicitud de Comando en la lista de Configuraciones de Inicio.
2. Restaurar archivos y configuraciones del Sistema.
- l Cuando el modo de Solicitud de Comando se cargue, introduzca cd restore y presione Intro.
- l Luego introduzca rstrui.exe y presione Intro otra vez.
- l Haga clic en “Siguiente” en la ventana que apareció.
- l Seleccione uno de los Puntos de Restauración que están disponibles antes de que se infiltrase el virus Spora en su sistema y luego haga clic en “Siguiente”.
- l Para iniciar la restauración del Sistema haga clic en “Sí”.
2. Complete la eliminación del Spora ransomware
Tras restaurar su sistema, se recomienda escanear su ordenador con un programa anti-malware, como Malwarebytes, Spyhunter y elimine todos los archivos maliciosos relacionados con El virus Spora.
3. Restaure los archivos afectados por virus Spora usando Shadow Volume Copies
Si no usa la opción de Restaurar Sistema en su sistema operativo, existe la posibilidad de usar capturas de shadow copy. Almacenan copias de sus archivos en el punto temporal en el que la captura de restauración del sistema fue creada. Normalmente Spora ransomware intenta eliminar todas las posibles Shadow Volume Copies, así que este método puede que no funcione en todos los ordenadores. Sin embargo, puede que falle al hacerlo.
Shadow Volume Copies sólo está disponible con Windows XP Service Pack 2, Windows Vista, Windows 7 y Windows 8. Hay dos maneras de recuperar sus archivos a través de Shadow Volume Copu. Puede hacerlo usando las versiones anteriores nativas de Windows o a través de Shadow Explorer.
a) Versiones Anteriores nativas de Windows
Haga clic derecho en un archivo encriptado y seleccione Propiedades>Pestaña de versiones anteriores. Ahora verá todas las copias disponibles de ese archivo particular y del momento cuando fue almacenado en un Shadow Volume Copy. Elija la versión del archivo que quiera recuperar y haga clic en Copiar si quiere guardarlo en algún directorio suyo, o Restaurar si quiere reemplazar el archivo encriptado existente. Si quiere ver el contenido del archivo previamente, simplemente haga clic en Abrir.
b) Shadow Explorer
Es un programa que puede encontrarse online de manera gratuita. Puede descargar tanto una versión completa o portable de Shadow Explorer. Abra el programa. En la esquina superior derecha el disco donde el archivo que está buscando está almacenado. Verá todas las carpetas en ese disco. Para recuperar la carpeta completa, haga clic derecho en ella y seleccione “Exportar”. Luego escoja dónde quiere que se almacene.
Nota: En muchos casos es imposible restaurar archivos de datos afectados por un ransomware moderno. Por eso recomiendo usar un software de copias de seguridad en la nube decente como precaución. Le recomendamos echar un vistazo a Carbonite, BackBlaze, CrashPlan o Mozy Home.
Herramientas de extracción Malware automática
(Win)
Nota: Ensayo Spyhunter proporciona la detección de parásitos como El Virus Spora y ayuda a su eliminación de forma gratuita. versión de prueba limitada es disponible, Terms of use, Privacy Policy, Uninstall Instructions,
(Mac)
Nota: Ensayo Combo Cleaner proporciona la detección de parásitos como El Virus Spora y ayuda a su eliminación de forma gratuita. versión de prueba limitada es disponible,